Se connecter / S'enregistrer
Votre question

Analyse HijackThis log s.v.p.

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Juin 2007 06:13:34

Si un helper peut m'aider, je ne sais plus quoi faire avec les publicités qui n'arrêtent pas d'ouvrir !!!

Voici mon rapport HijackThis. :bounce: 


Logfile of HijackThis v1.99.1
Scan saved at 00:11:41, on 2007-06-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Java\jre1.5.0_03\bin\jucheck.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.guzzomedieval.piczo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/?lang=fr-ca
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gcasServ] "E:\Microsoft anti-spyware\gcasServ.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu1000137.exe 61A847B5BBF72813329B385771FE01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [P2P Networking2] C:\WINDOWS\System32\P2P Networking\P2P Networking2.exe /AUTOSTART
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [tunebite.exe] E:\MP3\Tunebite\tunebite.exe -tray
O4 - HKCU\..\Run: [Citt] "C:\DOCUME~1\Carole\MESDOC~1\FNTS~1\ping.exe" -vt yazb
O4 - HKCU\..\Run: [Ikdjvdks] C:\WINDOWS\system32\??mbols\netdde.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - Startup: Ad-watch 3.0.lnk = C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Search - http://kt.bar.need2find.com/KT/menusearch.html?p=KT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin...
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.ca...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe (file missing)

Autres pages sur : analyse hijackthis log

5 Juin 2007 08:55:05

Bonjour

Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis.
5 Juin 2007 15:19:45

Merci beaucoup chercheur_ !!

Je le fais immédiatement et je colle ensuite mon rapport!

Merci !
Contenus similaires
5 Juin 2007 15:25:55

J'ai un petit problème.

Ad-watch Event ouvre et il me donne un Warning.
"an attempt to alter a protected object has been detected.
Root HKEY_LOCAL_MACHINE
Key SOFTWARE\classes\regfile\shell\open\command
New date : regedit.exe "%1"
Si j'accepte, il me remet toujours la même boite et ne se ferme pas... si je bloque, est-ce que ca va bloquer combofix.exe ?

Merci pour l'aide !
5 Juin 2007 15:31:25

J'ai dû bloquer mais il m'a sorti environ 15 autres clefs à accepter ou bloquer... j'ai bloqué partout... enfin... Vous me direz si j'ai fait la bonne chose et si je peux revenir en arrière si ce n'était pas bon.
5 Juin 2007 15:42:27

Voici mon rapport combofix.exe

"Carole" - 2007-06-05 9:28:31 Service Pack 2 NTFS
ComboFix 07-06-3 - Running from: "C:\Documents and Settings\Carole\Bureau\"


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



-- Purity Folders:
C:\install.log
C:\Program Files\Fichiers communs\Yazzle1396OinUninstaller.exe
C:\Program Files\install.log
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\MBOLS~1
C:\WINDOWS\system32\system
C:\WINDOWS\system32\system\CsLsp.dll
C:\WINDOWS\wr.txt


((((((((((((((((((((((((( Files Created from 2007-05-05 to 2007-06-05 )))))))))))))))))))))))))))))))


2007-06-05 09:20 <REP> d-------- C:\Program Files\combofix 5 juin 07
2007-06-04 14:04 <REP> d-------- C:\Program Files\Hijackthis 5 juin 07
2007-06-02 22:03 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-06-02 21:35 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
2007-06-02 21:32 <REP> d-------- C:\WINDOWS\LastGood
2007-06-01 12:01 60,928 --------- C:\WINDOWS\system32\djofrnjk.dll
2007-06-01 12:00 167 --a------ C:\WINDOWS\system32\1368.bat
2007-06-01 11:59 32,768 --a------ C:\WINDOWS\system32\setup9x.exe
2007-06-01 11:06 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-06-01 10:15 <REP> d-------- C:\DOCUME~1\Carole\Incomplete
2007-06-01 10:14 <REP> d-------- C:\DOCUME~1\Carole\APPLIC~1\LimeWire
2007-05-24 12:57 <REP> d-------- C:\Program Files\VirtualLTD
2007-05-24 11:53 <REP> d-------- C:\DOCUME~1\GUILLA~1\APPLIC~1\Google
2007-05-15 21:14 <REP> d-------- C:\DOCUME~1\Carole\APPLIC~1\tunebite
2007-05-15 20:35 3,300 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpowerAMP Windows Media Audio 9 Codec.dat
2007-05-15 17:41 513,152 --a------ C:\WINDOWS\system32\drivers\WmaCDriverV32.sys
2007-05-14 21:20 <REP> d-------- C:\Program Files\NCH Swift Sound
2007-05-14 21:20 <REP> d-------- C:\DOCUME~1\Carole\APPLIC~1\NCH Swift Sound
2007-05-07 20:37 <REP> d-------- C:\DOCUME~1\GUILLA~1\Contacts
2007-05-07 16:08 1,310,720 --ah----- C:\DOCUME~1\GUILLA~1\NTUSER.DAT
2007-05-07 16:08 <REP> dr------- C:\DOCUME~1\GUILLA~1\Mes documents
2007-05-07 16:08 <REP> dr------- C:\DOCUME~1\GUILLA~1\Menu D‚marrer
2007-05-07 16:08 <REP> dr------- C:\DOCUME~1\GUILLA~1\Favoris
2007-05-07 16:08 <REP> d--h----- C:\DOCUME~1\GUILLA~1\Voisinage r‚seau
2007-05-07 16:08 <REP> d--h----- C:\DOCUME~1\GUILLA~1\Voisinage d'impression
2007-05-07 16:08 <REP> d--h----- C:\DOCUME~1\GUILLA~1\ModŠles
2007-05-07 16:08 <REP> d-------- C:\DOCUME~1\GUILLA~1\Bureau


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-04 19:00:24 -------- d-----w C:\Program Files\Norton Security Scan
2007-06-03 00:42:28 -------- d-----w C:\Program Files\WildTangent
2007-06-01 16:58:08 -------- d-----w C:\Program Files\Winamp
2007-05-25 19:00:55 -------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2007-05-16 00:44:51 133,632 -c--a-w C:\WINDOWS\system32\SpoonUninstall.exe
2007-05-15 21:40:20 -------- d-----w C:\Program Files\Common Files
2007-05-06 14:43:53 -------- d-----w C:\Program Files\MSN Messenger
2007-05-03 04:58:46 -------- d-----w C:\DOCUME~1\Carole\APPLIC~1\Apple Computer
2007-05-03 04:01:16 -------- d-----w C:\Program Files\Google
2007-04-09 07:52:09 63,614 ----a-w C:\WINDOWS\system32\perfc00C.dat
2007-04-09 07:52:09 445,016 ----a-w C:\WINDOWS\system32\perfh00C.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-04-16 16:39]
{9030D464-4C02-4ABF-8ECC-5164760863C6}=C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-04-17 13:32]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\program files\google\googletoolbar4.dll [2007-01-20 00:56]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll [2007-05-03 00:01]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 12:01 C:\WINDOWS\AGRSMMSG.exe]
"REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2001-07-25 14:04]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 19:58]
"gcasServ"="E:\Microsoft anti-spyware\gcasServ.exe" []
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-10-30 10:36]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" []
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 03:48]
"My Web Search Bar"="C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-03 00:01]
"tunebite.exe"="E:\MP3\Tunebite\tunebite.exe" []
"Citt"="C:\DOCUME~1\Carole\MESDOC~1\FNTS~1\ping.exe" []
"Ikdjvdks"="C:\WINDOWS\system32\??mbols\netdde.exe" []
"MyWebSearch Email Plugin"="C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisallowRun"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Exif Launcher.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Exif Launcher.lnk
backup=C:\WINDOWS\pss\Exif Launcher.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^GStartup.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\GStartup.lnk
backup=C:\WINDOWS\pss\GStartup.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager]
c:\program files\altnet\points manager\points manager.exe -s

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CMESys]
"C:\Program Files\Fichiers communs\CMEII\CMESys.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaLoads Installer]
"C:\Program Files\DownloadWare\dw.exe" /H

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Tray]
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Jeux\Games.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MULTIMEDIA KEYBOARD]
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\My Web Search Bar]
rundll32 C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL,S

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MyWebSearch Email Plugin]
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup]
rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking2]
C:\WINDOWS\System32\P2P Networking\P2P Networking2.exe /AUTOSTART

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PromulGate]
"C:\Program Files\DelFin\PromulGate\PgMonitr.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SaveNow]
C:\Program Files\SaveNow\SaveNow.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchUpgrader]
C:\Program Files\Common files\SearchUpgrader\SearchUpgrader.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updmgr]
C:\Program Files\Common files\updmgr\updmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]
%systemroot%\system32\dumprep 0 -u

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wcmdmgr]
C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WildTangent CDA]
RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"C:\Program Files\Winamp3\winampa.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WT GameChannel]
C:\Program Files\WildTangent\Apps\GameChannel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Usnsvc usnsvc

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*

*Newly Created Service* - CO_MON

Contents of the 'Scheduled Tasks' folder
2007-06-05 12:12:05 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-06-02 02:28:15 C:\WINDOWS\tasks\Norton Security Scan.job

**************************************************************************

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-05 09:36:13
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-05 9:39:15
C:\ComboFix-quarantined-files.txt ... 2007-06-05 09:38

--- E O F ---


Voici aussi mon rapport HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 09:42:01, on 2007-06-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Java\jre1.5.0_03\bin\jucheck.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Hijackthis 5 juin 07\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.guzzomedieval.piczo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O2 - BHO: (no name) - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gcasServ] "E:\Microsoft anti-spyware\gcasServ.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL,S
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [tunebite.exe] E:\MP3\Tunebite\tunebite.exe -tray
O4 - HKCU\..\Run: [Citt] "C:\DOCUME~1\Carole\MESDOC~1\FNTS~1\ping.exe" -vt yazb
O4 - HKCU\..\Run: [Ikdjvdks] C:\WINDOWS\system32\??mbols\netdde.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - Startup: Ad-watch 3.0.lnk = C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Search - http://kt.bar.need2find.com/KT/menusearch.html?p=KT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin...
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.ca...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe (file missing)

5 Juin 2007 19:34:33

Y a-t-il toujours qqn pour m'aider?
5 Juin 2007 20:04:09

Aussi, quelqu'un m'avait suggéré de télécharger a-squared Free 2.1, ce que j'ai fait. Le premier scan d'ordi, je me suis retrouvé avec 200 objets détectés. J'ai mis en quarantaine et supprimé, puis rescanné. J'ai supprimé et recommencé 3 ou 4 fois. Maintenant, il en reste 16 mais j'ai beau aller chercher chaque ligne HKEY directement avec exécuter et regedit mais on me dit que c'est impossible de supprimer... Voici ce qui me reste :
Trace.REgistry.MyWebSearch Toolbar 2 traces - risque moyen HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run --> MyWebSearch Email Plugin
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run--> My Web Search Bar

Trace.Registry.Virtual Screen Spy 7 traces - risque moyen
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_COPDAD_1.0_SERVICE\0000 --> Class
et tous les autres sur la même clef : GlassGUID, ConfigFlags, Device Desc, Legacy, Service, NextInstance.

Trace.Registry.Zwinky Toolbar 1 trace - risque moyen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run --> My Web Search Bar

Trace.TrackingCookie 6 cookies - faible risque
Ok ceux-là, sont dans mes documents and setting et je delete régulièrement les cookies.

Heuristic.Dialer 1 fichier - haut risque
C:\Program Files\combofix 5 juin 07\Combofix.exe/nircmd.exe


Mes questions : pourquoi My Web Search Bar est toujours là quand moi j'utilise google bar ????
Pourquoi on me fait télécharger Combofix.exe et on me dit que c'est un fichier à haut risque ?

Est-ce que tout ça est normal ?
5 Juin 2007 21:33:26

Certain processus sont puissant et peuvent être utilisé à des fins infectieuses. C'est pour cela que Combofix, comme d'autres utilitaires, sont reconnus dangereux.

Si My Web Search Bar est toujours la, on va s'en occuper, comme des autres infections. Et s'il est la, c'est parce que tu l'as téléchargé.

Télécharge DiagHelp.zip (de Malekal_Morte) sur ton bureau
http://www.malekal.com/download/DiagHelp.zip
- Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
- A la fin de l'analyse, il te sera peut-être redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller

Poste aussi un nouveau Hijackthis.
6 Juin 2007 15:38:55

Voici mon resultat.txt de DiagHelp.zip

DiagHelp version v1.1.1 - http://www.malekal.com
excute le 2007-06-06 à 9:20:50,58


Liste des derniers fichies modifies/crees dans windir\system32
C:\WINDOWS\System32/drivers\CO_Mon.sys -->2007-06-02 21:35:27
C:\WINDOWS\System32/drivers\WmaCDriverV32.sys -->2007-04-03 15:12:42
C:\WINDOWS\System32/drivers\GEARAspiWDM.sys -->2006-09-19 16:44:04
C:\WINDOWS\System32/drivers\rdbss.sys -->2006-05-05 05:47:57
C:\WINDOWS\System32/drivers\mrxsmb.sys -->2006-05-05 05:41:45
C:\WINDOWS\System32/drivers\tcpip.sys -->2006-04-20 07:51:50
C:\WINDOWS\System32/drivers\aec.sys -->2006-02-14 20:22:26

C:\WINDOWS\System32\ClickToFindandFixErrors_Intl.ico -->2007-06-01 18:13:43
C:\WINDOWS\System32\1368.bat -->2007-06-01 12:00:36
C:\WINDOWS\System32\setup9x.exe -->2007-06-01 11:59:57
C:\WINDOWS\System32\vbzip10.dll -->2007-06-01 11:42:07
C:\WINDOWS\System32\jupdate-1.5.0_03-b07.log -->2007-06-01 10:13:23
C:\WINDOWS\System32\wpa.dbl -->2007-06-01 10:04:33
C:\WINDOWS\System32\cospisock2.nim -->2007-05-24 13:05:32
C:\WINDOWS\System32\djofrnjk.dll -->2007-05-21 09:59:50
C:\WINDOWS\System32\Log_20070515_212714_8E4.txt -->2007-05-15 21:27:14
C:\WINDOWS\System32\Log_20070515_212712_82C.txt -->2007-05-15 21:27:12
C:\WINDOWS\System32\Log_20070515_212710_4E8.txt -->2007-05-15 21:27:10
C:\WINDOWS\System32\Log_20070515_212705_D98.txt -->2007-05-15 21:27:05
C:\WINDOWS\System32\Log_20070515_212020_D7C.txt -->2007-05-15 21:20:20
C:\WINDOWS\System32\Log_20070515_212018_DD8.txt -->2007-05-15 21:20:18
C:\WINDOWS\System32\Log_20070515_212016_D44.txt -->2007-05-15 21:20:16
C:\WINDOWS\System32\Log_20070515_212011_BA4.txt -->2007-05-15 21:20:11
C:\WINDOWS\System32\Log_20070515_211629_75C.txt -->2007-05-15 21:16:29
C:\WINDOWS\System32\FNTCACHE.DAT -->2007-05-15 20:49:27
C:\WINDOWS\System32\SpoonUninstall.exe -->2007-05-15 20:44:51
C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Windows Media Audio 9 Codec.dat -->2007-05-15 20:44:51
C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Windows Media Audio 9 Codec.bmp -->2007-05-15 20:44:14
C:\WINDOWS\System32\PerfStringBackup.INI -->2007-04-09 03:52:09
C:\WINDOWS\System32\perfh00C.dat -->2007-04-09 03:52:09
C:\WINDOWS\System32\perfh009.dat -->2007-04-09 03:52:09
C:\WINDOWS\System32\perfc00C.dat -->2007-04-09 03:52:09

C:\WINDOWS\IE4 Error Log.txt -->2007-06-05 13:45:30
C:\WINDOWS\QTFont.for -->2007-06-05 10:28:30
C:\WINDOWS\QTFont.qfn -->2007-06-05 10:28:29
C:\WINDOWS\setupapi.log -->2007-06-02 22:03:28
C:\WINDOWS\winamp.ini -->2007-06-01 14:00:26
C:\WINDOWS\0.log -->2007-06-01 10:05:17
C:\WINDOWS\WindowsUpdate.log -->2007-06-01 10:05:04
C:\WINDOWS\bootstat.dat -->2007-06-01 10:04:31
C:\WINDOWS\SchedLgU.Txt -->2007-06-01 10:03:43
C:\WINDOWS\catchme.exe -->2007-05-28 04:23:11
C:\WINDOWS\SConfig.ini -->2007-05-24 12:36:13
C:\WINDOWS\wmsetup.log -->2007-05-20 18:30:00
C:\WINDOWS\WMSysPr9.prx -->2007-05-15 20:38:19
C:\WINDOWS\LEXSTAT.INI -->2007-05-07 22:23:35
C:\WINDOWS\wiadebug.log -->2007-05-07 16:38:52


Le volume dans le lecteur C s'appelle Systeme
Le numéro de série du volume est 1047-6458

Répertoire de C:\WINDOWS\system

1994-10-27 00:00 4 128 QTNOTIFY.EXE
1 fichier(s) 4 128 octets
0 Rép(s) 4 657 692 672 octets libres
Le volume dans le lecteur C s'appelle Systeme
Le numéro de série du volume est 1047-6458

Répertoire de C:\WINDOWS\system32

2004-08-19 19:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 4 657 692 672 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle Systeme
Le numéro de série du volume est 1047-6458

Répertoire de C:\WINDOWS\Downloaded Program Files

2007-06-02 22:48 <REP> .
2007-06-02 22:48 <REP> ..
2006-05-17 14:32 231 072 avsniff.dll
2006-05-17 14:29 878 avsniff.inf
2006-05-17 14:32 198 304 avsniffdlgs.dll
2006-05-17 14:26 537 704 AXXPEE.dll
2004-12-07 17:07 32 bdcore.dll
2006-05-25 01:21 118 784 bdupd.dll
2006-05-17 14:29 241 CabSA.inf
2007-05-30 01:00 2 504 catalog.dat
2002-12-21 09:52 65 desktop.ini
2007-05-30 01:00 6 899 ecbootil.vxd
2006-05-17 14:26 42 112 ecmldr32.dll
2007-05-30 01:00 271 992 ecmsvr32.dll
2006-06-15 19:33 1 132 192 EPUWALcontrol.dll
2006-05-25 01:21 53 248 ipsupd.dll
2005-03-16 12:34 7 407 lang.ini
2004-12-07 17:07 32 libfn.dll
2005-03-14 14:38 126 live.ini
2000-01-20 15:25 1 162 Microsoft XML Parser for Java.osd
1999-11-18 13:48 1 237 msaud.inf
2006-06-20 15:44 379 704 MsnPUpld.dll
2006-06-19 14:40 393 MsnPUpld.inf
2006-05-17 14:28 6 850 navapi.vxd
2006-05-17 14:28 201 896 navapi32.dll
2007-05-30 01:00 120 440 naveng32.dll
2007-05-30 01:00 902 776 navex32a.dll
2006-06-01 02:57 1 331 oscan8.inf
2006-06-01 02:54 471 040 oscan8.ocx
2006-05-31 04:15 10 oscan81.ocx_x
2006-06-20 15:44 117 560 PURen-us.dll
2007-01-09 08:30 110 592 PURfr-ca.dll
2004-10-15 08:59 110 592 PURfr-xx.dll
2006-05-17 14:32 161 480 rufsi.dll
2005-03-14 14:58 7 073 scanoptions.tsi
2007-05-30 01:00 97 744 scrauth.dat
2006-11-09 15:36 5 019 swflash.inf
2007-05-30 01:00 11 875 symaveng.cat
2007-05-30 01:00 1 061 symaveng.inf
2007-05-30 01:00 191 582 tcdefs.dat
2007-05-30 01:00 1 501 442 tcscan7.dat
2007-05-30 01:00 353 469 tcscan8.dat
2007-05-30 01:00 847 967 tcscan9.dat
2007-05-30 01:00 453 tinf.dat
2007-05-30 01:00 148 tinfidx.dat
2007-05-30 01:00 1 957 tinfl.dat
2007-05-30 01:00 67 060 tscan1.dat
2007-05-30 01:00 3 199 tscan1hd.dat
2007-05-30 01:00 4 778 v.grd
2007-05-30 01:00 2 267 v.sig
2007-05-30 01:00 106 244 virscan.inf
2007-05-30 01:00 985 623 virscan1.dat
2007-05-30 01:00 570 636 virscan2.dat
2007-05-30 01:00 149 312 virscan3.dat
2007-05-30 01:00 320 253 virscan4.dat
2007-05-30 01:00 3 840 528 virscan5.dat
2007-05-30 01:00 391 041 virscan6.dat
2007-05-30 01:00 8 858 258 virscan7.dat
2007-05-30 01:00 1 743 419 virscan8.dat
2007-05-30 01:00 4 521 267 virscan9.dat
2007-05-30 01:00 32 virscant.dat
2007-06-02 22:48 2 072 vscanmsx.dat
2007-05-30 01:00 224 zdone.dat
61 fichier(s) 29 776 658 octets

Total des fichiers listés :
61 fichier(s) 29 776 658 octets
2 Rép(s) 4 657 688 576 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2



Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

Rechercher adresses sensibles dans le fichier HOSTS...


Et voici mon rapport HijackThis de maintenant.

Logfile of HijackThis v1.99.1
Scan saved at 09:38:17, on 2007-06-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Java\jre1.5.0_03\bin\jucheck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis 5 juin 07\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.guzzomedieval.piczo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/?lang=fr-ca
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O2 - BHO: (no name) - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gcasServ] "E:\Microsoft anti-spyware\gcasServ.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [P2P Networking2] C:\WINDOWS\System32\P2P Networking\P2P Networking2.exe /AUTOSTART
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [tunebite.exe] E:\MP3\Tunebite\tunebite.exe -tray
O4 - HKCU\..\Run: [Citt] "C:\DOCUME~1\Carole\MESDOC~1\FNTS~1\ping.exe" -vt yazb
O4 - HKCU\..\Run: [Ikdjvdks] C:\WINDOWS\system32\??mbols\netdde.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - Startup: Ad-watch 3.0.lnk = C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Search - http://kt.bar.need2find.com/KT/menusearch.html?p=KT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin...
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.ca...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe (file missing)

Merci beauoup !!
6 Juin 2007 18:03:11

y a-t-il quelqu'un encore?
6 Juin 2007 23:58:46

Bonjour


Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer
.



1 Télécharge
CCleaner.

http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)


2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.


3 FAIS UN CLIC-DROIT sur le lien suivant
http://perso.orange.fr/Chercheur-perso/scripts/toolbar....
et choisis "Enregistrer la cible sous..." afin de télécharger Toolbar.bfu de Chercheur
Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : Toolbar.bfu et BFU.exe (très important).


4 Relance un scan HijackThis et coche les lignes ci-dessous :

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Citt] "C:\Documents and settings\Carole\Mes Documents\FNTS~1\ping.exe" -vt yazb
O4 - HKCU\..\Run: [Ikdjvdks] C:\WINDOWS\system32\??mbols\netdde.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


5 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


6 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINDOWS\system32\??mbols
C:\Documents and settings\Carole\Mes Documents\FNTS~1

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.


7 Lance le nettoyage avec CCleaner.


8 Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Toolbar.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Toolbar.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.


9 Redémarre normalement et poste un nouveau log HijackThis.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS