Votre question

photo équipe de foot virus msn

Tags :
  • msn
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Avril 2007 13:20:32

Bonjour,

J'ai accepté un fichier photo sur msn et depuis jé la photo d'une équipe de football qui apparait sur mon écran é je ne peu plus l'enlever.
Peu importe ce que j'ouvre elle reste toujours au premier plan é je ne voi pa ce qui se trouve derriere.
Pouvé vous m'aider svp?
merci d'avance

Autres pages sur : photo equipe foot virus msn

a b 8 Sécurité
20 Avril 2007 13:22:33

Bonjour,

Télécharge MSNFix.zip (de !aur3n7) sur ton Bureau.
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout).

Ouvre le dossier MSNFix puis double-clique sur MSNFix.bat.
- Execute l'option R.
-- Si l'infection est détectée, éxecute l'option N.
--- Un rapport apparaît, sauvegarde-le puis fais un copier/coller de ce rapport sur le forum, accompagné d'un nouveau rapport HijackThis.

Citation :
Télécharge Hijackthis (de Merjin).
Dézippe-le dans un dossier ou sur ton Bureau.

Lance l'application (Hijackthis.exe) :
- Choisis l'option "Do a system scan and save a logfile"
- Le Bloc-Notes s'ouvre, poste son contenu :

-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse


AIDE : Tuto en vidéo sur Hijackthis
23 Avril 2007 16:08:52

bonjour jé lancé msn fix qui na pa détecté d'erreur jé donc lancé hijackthis voici le rapport : Logfile of HijackThis v1.99.1
Scan saved at 16:01:31, on 23/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\wt\updater\wcmdmgr.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\DOCUME~1\guess\LOCALS~1\Temp\Rar$EX03.500\Photo.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\guess\LOCALS~1\Temp\Rar$EX02.141\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.loisirados.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Services/resultsma...
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B94E2DD7F557D412C3FC0 - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - c:\program files\hbtools\hbtv\hbtvhelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [GRAM PURE POKE LOGO] C:\Documents and Settings\All Users\Application Data\Bash Support Gram Pure\ref balm.exe
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ProgramFor] C:\DOCUME~1\guess\APPLIC~1\FOURRO~1\01Idol.exe
O4 - HKCU\..\Run: [Nassim] C:\DOCUME~1\guess\LOCALS~1\Temp\Rar$EX03.500\Photo.exe
O4 - Startup: BoontyBox 01net.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?040c973ab30a46c596742e01dccc6712
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?040c973ab30a46c596742e01dccc6712
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab312...
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_d...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.ca...
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267....
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown....
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

De plus lorsque je fé un double clic sur la photo on me reclame un mot de passe pour la fermeture et on me donne une adresse e-mail pour obtenir le code (milwel@hotmail.com ou nassim_allam3@hotmail.com). Jé donc pris contact avec eux é il me font du chantage é demande que je me montre a la webcam.

Merci d'avance ce seré vraiment sympa de votre part de m'aider.
Contenus similaires
23 Avril 2007 17:49:39

xD tro for ^^
a b 8 Sécurité
23 Avril 2007 18:33:05

Re,

Télécharge LopResearch.zip
Dézippe-le sur ton Bureau.
Lance le fichier Scan.bat
Un rapport sera généré, poste son contenu ici.
23 Avril 2007 18:35:13

si il ton fait du chantage sauvegarde tes conversations et porte pleinte
avec une adresse email on peut trouver un ip et l'adresse qui va avec
23 Avril 2007 18:42:50

Citation :
si il ton fait du chantage sauvegarde tes conversations et porte plainte
avec une adresse email on peut trouver un ip et l'adresse qui va avec


LOL.

Mais sinon pour en revenir au problème il faut le faire en mode sans échec et désactiver la restauration de système .
23 Avril 2007 20:36:38

Salut

Peux tu nous envoyer un fichier pour analyses?

Clique ici:
http://changelog.fr/upload/

Met ton pseudo, le lien de ton poste et clique sur Parcourir.
Recherche ce fichier:
C:\DOCUME~1\guess\LOCALS~1\Temp\Rar$EX03.500\Photo.exe

Et envoie le.

Merci pour ton implication ! :) 
25 Avril 2007 16:23:15

Bonjour, voici le rapport fait lopResearch


Rapport fait à 16:20:10,81 le 25/04/2007

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est BC92-A98A

R‚pertoire de C:\Documents and Settings\All Users\Application Data

24/01/2007 15:08 <REP> Messenger Plus!
17/01/2007 21:46 <REP> Google
13/01/2007 23:36 <REP> Bash Support Gram Pure
10/01/2007 13:28 <REP> Yahoo! Companion
04/01/2007 22:50 0 LauncherAccess.dt
17/11/2006 23:42 <REP> MumboJumbo
17/10/2006 12:51 <REP> Windows Live Toolbar
11/10/2006 11:13 <REP> pixelStorm
19/09/2006 21:55 <REP> Zylom
03/09/2006 21:03 <REP> ScanSoft
24/07/2006 18:05 <REP> CanonBJ
13/07/2006 11:43 <REP> Windows Genuine Advantage
27/06/2006 18:18 <REP> PlayFirst
26/05/2006 13:15 <REP> Kodak
17/05/2006 15:03 <REP> Sandlot Games
07/05/2006 17:27 <REP> BOONTY
07/05/2006 17:25 <REP> Macrovision
06/05/2006 20:49 <REP> SSScanWizard
06/05/2006 20:49 <REP> SSScanAppDataDir
06/05/2006 19:31 <REP> Viewpoint
06/05/2006 19:31 <REP> QuickTime
06/05/2006 19:29 <REP> AOL
06/05/2006 14:35 <REP> CyberLink
06/05/2006 12:38 62 desktop.ini
06/05/2006 12:38 <REP> Microsoft
06/05/2006 12:38 <REP> .
06/05/2006 12:38 <REP> ..
2 fichier(s) 62 octets
25 R‚p(s) 44926828544 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est BC92-A98A

R‚pertoire de C:\Documents and Settings\Default User\Application Data

06/05/2006 12:38 62 desktop.ini
06/05/2006 12:38 <REP> ..
06/05/2006 12:38 <REP> Microsoft
06/05/2006 12:38 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 44926828544 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est BC92-A98A

R‚pertoire de C:\Documents and Settings\guess\Application Data

18/03/2007 00:10 <REP> Screenshot Sender
30/01/2007 14:09 <REP> HbTools_Icons
30/01/2007 14:08 <REP> HbTools
17/01/2007 21:46 <REP> Google
13/01/2007 23:36 <REP> four roam poke
04/01/2007 22:50 <REP> ConvertTemp
04/01/2007 22:50 <REP> TransRender
04/01/2007 22:50 <REP> Temporary
04/01/2007 22:50 <REP> Samsung
15/11/2006 12:25 <REP> Sun
11/10/2006 22:14 <REP> Hulabee
19/09/2006 21:55 <REP> Zylom
01/07/2006 23:25 <REP> PTV Game
23/05/2006 14:48 <REP> PlayFirst
07/05/2006 17:47 <REP> Canon
07/05/2006 14:41 <REP> Macromedia
06/05/2006 20:58 <REP> Arcsoft
06/05/2006 20:49 <REP> ScanSoft
06/05/2006 20:18 <REP> CyberLink
06/05/2006 19:33 <REP> AOL
06/05/2006 19:31 <REP> You've Got Pictures Screensaver
06/05/2006 14:51 <REP> Adobe
06/05/2006 14:51 <REP> InterTrust
06/05/2006 14:32 <REP> Help
06/05/2006 11:51 <REP> Identities
06/05/2006 11:51 62 desktop.ini
06/05/2006 11:51 <REP> Microsoft
06/05/2006 11:51 <REP> .
06/05/2006 11:51 <REP> ..
1 fichier(s) 62 octets
28 R‚p(s) 44926828544 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est BC92-A98A

R‚pertoire de C:\WINDOWS\Tasks

18/03/2007 00:09 258 AC8CE23890679ECC.job
07/11/2006 04:02 256 V‚rifier les mises … jour de Windows Live Toolbar.job
06/05/2006 10:51 6 SA.DAT
06/05/2006 10:45 65 desktop.ini
06/05/2006 10:45 <REP> ..
06/05/2006 10:45 <REP> .
4 fichier(s) 585 octets
2 R‚p(s) 44 926 824 448 octets libres

******************************************
Recherche dans Program files


C:\Program Files\Adverts Présent !
******************************************
Recherche d'infections connues


C:\WINDOWS\system32\nvs2.inf Egdaccess possible !

C:\WINDOWS\system32\csrss.exe Wareout possible ! [#ff0000]faux-positif si csrss.exe ![/#f]
*************** Fin du rapport ****************


Merci
25 Avril 2007 16:31:13

Jé tenté de lancé un fichier pour analyse sur changelog afin de vous l'envoyer mé je ne sé pas ce que je dois rentré dans pseudo et URL.
Pouvez vous me dire ou je trouve cé infos.
Merci
25 Avril 2007 17:01:59

où la la j'ai regarde ton log et pas bon au non pas bon tu as pris un beau virus !!!!

tu ouvre hijackthistu fais un scan et tu supprime

O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B94E2DD7F557D412C3FC0 - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - c:\program files\hbtools\hbtv\hbtvhelper.dll


O4 - HKCU\..\Run: [ProgramFor] C:\DOCUME~1\guess\APPLIC~1\FOURRO~1\01Idol.exe


en cochant sa puis en cliquant sur fix checked
27 Avril 2007 13:32:34

bonjour

Jé supprimé lé 2 fichiers que tu avé noté mé pas d'avancement.
Au secours j'en peu plus de voir cette équipe de foot présente sur mon ordi. Moi qui suis loin d'etre sportive cé un comble.
A l'aide!!!!
28 Avril 2007 09:53:54

bonjour, encore moi.
Plus personne capable de résoudre mon problème?
Vous etes lé seul a pouvoir m'aider je compte sur vous.
Merci
29 Avril 2007 13:27:02

Bonjour,

Peux tu remettre un rapport HijackThis?

A+
29 Avril 2007 15:47:30

bonjour

je vous remet le rapport HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 15:40:14, on 29/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\wt\updater\wcmdmgr.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\guess\Local Settings\Temp\Rar$EX03.500\Photo.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\guess\LOCALS~1\Temp\Rar$EX11.953\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.loisirados.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Services/resultsma...
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [GRAM PURE POKE LOGO] C:\Documents and Settings\All Users\Application Data\Bash Support Gram Pure\ref balm.exe
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Nassim] C:\Documents and Settings\guess\Local Settings\Temp\Rar$EX03.500\Photo.exe
O4 - HKCU\..\Run: [ProgramFor] C:\DOCUME~1\guess\APPLIC~1\FOURRO~1\01Idol.exe
O4 - Startup: BoontyBox 01net.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?040c973ab30a46c596742e01dccc6712
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?040c973ab30a46c596742e01dccc6712
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab312...
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_d...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.ca...
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267....
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown....
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

merci

29 Avril 2007 18:43:30

Bonsoir,

Clique ici:
http://changelog.fr/upload/

Dans pseudo met: Regis59
URL de référence, met: http://www.infos-du-net.com/forum/267179-11-photo-equip...

Recherche ce fichier en cliquant sur parcourir:
C:\DOCUME~1\guess\LOCALS~1\Temp\Rar$EX03.500\Photo.exe

Puis clique sur [Envoyer]

Et enfin,

Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra...
Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2 sans notre avis/accord)
Patientes jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

A+
30 Avril 2007 19:12:36

Bonjour,

voici le rapport :

Search Navipromo version 1.1.5 commencé le 30/04/2007 à 19:09:21,31

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis D:\
Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\guess\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html



*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-1417001333-1202660629-725345543-1003\Software\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
C:\WINDOWS\system32\fbogsgszu.dat trouvé !
**
C:\WINDOWS\system32\fbogsgszu.dat trouvé !
***
****
*****
******
*******
********
C:\WINDOWS\system32\fbogsgszu.exe trouvé !


*** Analyse Terminé le 30/04/2007 à 19:09:50,75 ***



Merci pour votre aide a bientot
30 Avril 2007 19:48:42

Bonsoir,

Connais tu ces 2 adresses MSN?
milwel@hotmail.com
nassim_allam3@hotmail.com

Ensuite;

¤Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

Double clique sur navilog1.bat
Au menu principal, choisis 4 et valides.
A la question posé, choisis "mode manuel" en tapant M ou m puis valides
Il va te demander de saisir le nom de fichier, saisies ce qui est en gras ci-dessous et rien d'autre puis valides:

fbogsgszu

le fix va te demander de le resaisir, fais-le et valides
Ton bureau va disparaitre, c'est normal.
Laisses-toi guider
Patientes jusqu'au message :
*** Nettoyage Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Sauvegardes le rapport de manière à le retrouver
Refermes le blocnote. Ton bureau va réapparaitre.
Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Celà te fera apparaitre ton bureau


A+
1 Mai 2007 12:00:04

Bonjour,

Impossible de démarrer en mode sans échec car le clavier est inactif lorsque la page apparait du coup impossible de me déplacer sur le mode sans echec. sniff!!!!!
Puis je suivre la procédure sans etre en mode sans echec ou il y a t-il une autre solution?

Je desespere.... merci de votre aide a bientot
1 Mai 2007 13:34:53

Bonjour,

Ne desespere pas, il y a des solutions.

Connais tu ces 2 adresses MSN?
milwel@hotmail.com
nassim_allam3@hotmail.com

Et ensuite; retelecharge MSNfix, (supprime la version que tu avais)

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

A+
2 Mai 2007 17:18:15

bonjour,

L'infection n'a pa été détectée.
Et oui je conné cé deux adresses puisqu'elles apparaissent lorsque je clique sur la photo.
Alors y a t-il une autre solution?
Que puis je faire?
Merci d'avance.
2 Mai 2007 20:25:47

Bonsoir,

¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O4 - HKCU\..\Run: [Nassim] C:\Documents and Settings\guess\Local Settings\Temp\Rar$EX03.500\Photo.exe

Ferme HijackThis.

Execute ceci:
Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:( merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm

Et enfin:

Télécharge LopxpMH sur ton Bureau.

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2....

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir.

A+
6 Mai 2007 15:04:06

Bonjour,

Tout d'abord merci de votre patience, votre acharnement me donne espoir.

Voici le rapport merci d'avance.


Rapport lopxpMH2 version 2.0 fait à 14:59:10,62 le 06/05/2007
C:\Documents and Settings\guess\Mes documents

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BC92-A98A

Répertoire de C:\Documents and Settings\All Users\Application Data

06/05/2006 12:38 <REP> .
06/05/2006 12:38 <REP> ..
06/05/2006 19:29 <REP> AOL
13/01/2007 23:36 <REP> Bash Support Gram Pure
07/05/2006 17:27 <REP> BOONTY
24/07/2006 18:05 <REP> CanonBJ
06/05/2006 14:35 <REP> CyberLink
17/01/2007 21:46 <REP> Google
26/05/2006 13:15 <REP> Kodak
07/05/2006 17:25 <REP> Macrovision
24/01/2007 15:08 <REP> Messenger Plus!
06/05/2006 12:38 <REP> Microsoft
17/11/2006 23:42 <REP> MumboJumbo
11/10/2006 11:13 <REP> pixelStorm
27/06/2006 18:18 <REP> PlayFirst
06/05/2006 19:31 <REP> QuickTime
17/05/2006 15:03 <REP> Sandlot Games
03/09/2006 21:03 <REP> ScanSoft
06/05/2006 20:49 <REP> SSScanAppDataDir
06/05/2006 20:49 <REP> SSScanWizard
06/05/2006 19:31 <REP> Viewpoint
13/07/2006 11:43 <REP> Windows Genuine Advantage
17/10/2006 12:51 <REP> Windows Live Toolbar
10/01/2007 13:28 <REP> Yahoo! Companion
19/09/2006 21:55 <REP> Zylom
06/05/2006 12:38 62 desktop.ini
04/01/2007 22:50 0 LauncherAccess.dt
2 fichier(s) 62 octets
25 Rép(s) 46 050 598 912 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BC92-A98A

Répertoire de C:\Documents and Settings\Default User\Application Data

06/05/2006 12:38 <REP> .
06/05/2006 12:38 <REP> ..
06/05/2006 12:38 <REP> Microsoft
06/05/2006 12:38 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 46 050 598 912 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BC92-A98A

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

06/05/2006 12:38 <REP> .
06/05/2006 12:38 <REP> ..
06/05/2006 10:47 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 46 050 598 912 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BC92-A98A

Répertoire de C:\Documents and Settings\guess\Application Data

06/05/2006 11:51 <REP> .
06/05/2006 11:51 <REP> ..
06/05/2006 14:51 <REP> Adobe
06/05/2006 19:33 <REP> AOL
06/05/2006 20:58 <REP> Arcsoft
07/05/2006 17:47 <REP> Canon
04/01/2007 22:50 <REP> ConvertTemp
06/05/2006 20:18 <REP> CyberLink
13/01/2007 23:36 <REP> four roam poke
17/01/2007 21:46 <REP> Google
30/01/2007 14:08 <REP> HbTools
30/01/2007 14:09 <REP> HbTools_Icons
06/05/2006 14:32 <REP> Help
11/10/2006 22:14 <REP> Hulabee
06/05/2006 11:51 <REP> Identities
06/05/2006 14:51 <REP> InterTrust
07/05/2006 14:41 <REP> Macromedia
06/05/2006 11:51 <REP> Microsoft
23/05/2006 14:48 <REP> PlayFirst
01/07/2006 23:25 <REP> PTV Game
04/01/2007 22:50 <REP> Samsung
06/05/2006 20:49 <REP> ScanSoft
18/03/2007 00:10 <REP> Screenshot Sender
15/11/2006 12:25 <REP> Sun
04/01/2007 22:50 <REP> Temporary
04/01/2007 22:50 <REP> TransRender
06/05/2006 19:31 <REP> You've Got Pictures Screensaver
19/09/2006 21:55 <REP> Zylom
06/05/2006 11:51 62 desktop.ini
1 fichier(s) 62 octets
28 Rép(s) 46 050 594 816 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BC92-A98A

Répertoire de C:\Documents and Settings\guess\Local Settings\Application Data

06/05/2006 11:51 <REP> .
06/05/2006 11:51 <REP> ..
17/01/2007 21:46 <REP> Google
06/05/2006 14:32 <REP> Help
15/11/2006 17:40 <REP> Identities
08/12/2006 21:00 <REP> IM
06/05/2006 11:51 <REP> Microsoft
02/10/2006 19:53 <REP> RcIncidents
11/10/2006 14:04 10 752 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
26/05/2006 12:54 67 752 GDIPFONTCACHEV1.DAT
06/05/2006 12:21 3 173 044 IconCache.db
3 fichier(s) 3 251 548 octets
8 Rép(s) 46 050 594 816 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BC92-A98A

Répertoire de C:\Documents and Settings\LocalService\Application Data

06/05/2006 10:51 <REP> .
06/05/2006 10:51 <REP> ..
08/05/2006 20:45 <REP> Macromedia
06/05/2006 10:51 <REP> Microsoft
0 fichier(s) 0 octets
4 Rép(s) 46 050 594 816 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BC92-A98A

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

06/05/2006 10:51 <REP> .
06/05/2006 10:51 <REP> ..
06/05/2006 10:51 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 46 050 594 816 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BC92-A98A

Répertoire de C:\Documents and Settings\NetworkService\Application Data

06/05/2006 10:51 <REP> .
06/05/2006 10:51 <REP> ..
06/05/2006 10:51 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 46 050 594 816 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BC92-A98A

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

06/05/2006 10:51 <REP> .
06/05/2006 10:51 <REP> ..
06/05/2006 10:51 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 46 050 594 816 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BC92-A98A

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

06/05/2006 10:50 <REP> .
06/05/2006 10:50 <REP> ..
06/05/2006 10:50 <REP> Microsoft
06/05/2006 10:50 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 46 050 594 816 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BC92-A98A

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

06/05/2006 10:50 <REP> .
06/05/2006 10:50 <REP> ..
06/05/2006 10:50 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 46 050 594 816 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks


C:\WINDOWS\Tasks\AC8CE23890679ECC.job
”CˆàuK»ñyjXó”F Ð <
s "€!× 4 c : \ d o c u m e ~ 1 \ g u e s s \ a p p l i c ~ 1 \ f o u r r o ~ 1 \ m p 3 s a v e s e e k . e x e g u e s s 0 Î


C:\WINDOWS\Tasks\Vérifier
Vérifier inexploitable

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est BC92-A98A

Répertoire de C:\Program Files

06/05/2007 14:48 <REP> .
06/05/2007 14:48 <REP> ..
06/05/2006 14:51 <REP> Adobe
13/01/2007 23:35 <REP> Adverts
06/05/2006 14:35 <REP> Ahead
15/09/2006 13:14 <REP> Alice_Triway_WiFi
06/05/2006 15:00 <REP> Alwil Software
24/07/2006 17:57 <REP> ArcSoft
06/05/2006 14:22 <REP> ATI Technologies
01/04/2007 14:15 <REP> Boonty
20/04/2007 18:53 <REP> BoontyGames
24/07/2006 17:56 <REP> Canon
06/05/2007 14:48 <REP> CleanUp!
06/05/2006 12:26 <REP> C-Media 3D Audio
10/01/2007 00:04 <REP> Common Files
06/05/2006 14:35 <REP> CyberLink
06/05/2006 14:35 <REP> CyberLink DVD Solution
31/01/2007 12:06 <REP> Fichiers communs
18/03/2007 00:09 <REP> four roam poke
04/02/2007 13:13 <REP> Google
30/01/2007 14:08 <REP> HbTools
16/12/2006 09:54 <REP> IncrediMail
19/02/2007 04:05 <REP> Internet Explorer
06/04/2007 08:18 <REP> Java
08/05/2006 21:06 <REP> JoWood
26/05/2006 13:18 <REP> Kodak
24/03/2007 02:10 <REP> LimeWire
17/11/2006 23:39 <REP> Mes Jeux Téléchargés
08/05/2006 22:04 <REP> Messenger
18/03/2007 00:08 <REP> Messenger Plus! Live
13/09/2006 21:16 <REP> Micro Application
07/08/2006 20:11 <REP> Microsoft AutoRoute
06/05/2006 10:48 <REP> microsoft frontpage
07/08/2006 20:10 <REP> Microsoft Office
06/05/2006 14:56 <REP> Microsoft Visual Studio
18/10/2006 22:06 <REP> Microsoft Works
06/05/2006 14:57 <REP> Microsoft.NET
06/05/2006 10:45 <REP> Movie Maker
06/05/2006 19:15 <REP> MSN
06/05/2006 10:43 <REP> MSN Gaming Zone
24/03/2007 13:46 <REP> MSN Messenger
31/01/2007 11:47 <REP> NetMeeting
06/05/2006 10:43 <REP> Online Services
16/12/2006 04:02 <REP> Outlook Express
10/01/2007 00:26 <REP> Oxilog
15/01/2007 23:47 <REP> PhotoFiltre
06/05/2006 19:31 <REP> QuickTime
06/05/2006 19:30 <REP> Real
21/01/2007 17:28 <REP> RM-X Player V4
13/12/2006 20:57 <REP> Samsung
24/07/2006 18:00 <REP> ScanSoft
06/05/2006 10:45 <REP> Services en ligne
18/04/2007 20:44 <REP> Singles
31/03/2007 16:04 <REP> Singles2
06/05/2006 12:23 <REP> SiSLan
12/02/2007 21:10 <REP> Thrustmaster
17/09/2006 10:39 <REP> Ubi Soft
01/10/2004 15:00 40 960 Uninstall_CDS.exe
06/05/2006 19:31 <REP> Viewpoint
21/09/2006 19:40 <REP> WildTangent
05/05/2007 01:49 <REP> Windows Live Safety Center
07/11/2006 04:01 <REP> Windows Live Toolbar
25/12/2006 00:33 <REP> Windows Media Connect 2
31/01/2007 11:54 <REP> Windows Media Player
06/05/2006 10:43 <REP> Windows NT
08/10/2006 15:34 <REP> WinRAR
06/05/2006 10:48 <REP> xerox
10/01/2007 00:04 <REP> Yahoo!
16/12/2006 09:55 <REP> Zylom Games
1 fichier(s) 40 960 octets
68 Rép(s) 46 050 578 432 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
*.zylom.com REG_BINARY 00000000
zonenxt.msn-int.com REG_BINARY
zonenxt.msn-ppe.com REG_BINARY
zone.msn.com REG_BINARY
dns-look-up.com REG_SZ
www.dns-look-up.com REG_SZ
mysearchnow.com REG_SZ
www.mysearchnow.com REG_SZ
searchweb2.com REG_SZ
www.searchweb2.com REG_SZ
netbios-wait.com REG_SZ
www.netbios-wait.com REG_SZ

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
GRAM PURE POKE LOGO REG_SZ C:\Documents and Settings\All Users\Application Data\Bash Support Gram Pure\ref balm.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ProgramFor REG_SZ C:\DOCUME~1\guess\APPLIC~1\FOURRO~1\01Idol.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
6 Mai 2007 20:31:35

Bonsoir,

Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.

$$ Télécharge Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

$$ FAIS UN CLIC-DROIT sur le lien suivant
http://perso.orange.fr/Chercheur-perso/scripts/toolbar....
et choisis "Enregistrer la cible sous..." afin de télécharger Toolbar.bfu de Chercheur
Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : Toolbar.bfu et BFU.exe (très important).

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

1/Telecharge ceci: Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:( merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm

Déconnecte toi d'Internet et ferme tout les programmes en cours.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

$$ Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

O4 - HKLM\..\Run: [GRAM PURE POKE LOGO] C:\Documents and Settings\All Users\Application Data\Bash Support Gram Pure\ref balm.exe

O4 - HKCU\..\Run: [Nassim] C:\Documents and Settings\guess\Local Settings\Temp\Rar$EX03.500\Photo.exe

O4 - HKCU\..\Run: [ProgramFor] C:\DOCUME~1\guess\APPLIC~1\FOURRO~1\01Idol.exe

valider en cliquant sur le bouton [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Recherche et supprime ces dossiers:

Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

S'ils sont présents, supprime:

C:\Documents and Settings\All Users\Application Data\Bash Support Gram Pure

C:\Documents and Settings\guess\Application Data\four roam poke

C:\Program Files\Adverts

C:\Program Files\four roam poke

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite fais Démarrer > exécuter et tape cmd
puis valide avec ok

dans la fenêtre qui va s'ouvrir, copie et colle ceci:

del /a C:\WINDOWS\tasks\AC8CE23890679ECC.job

et valide en appuyant sur entrée

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

$$ Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Toolbar.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Toolbar.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.


-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, très important:

:: Supprimer les fichiers temporaires ::

Pour cela, exécute cleanup40.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

$$ Redémarre normalement

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Poste un nouveau hijackthis et dis moi ou en sont tes soucis.

A+
8 Mai 2007 20:39:13

bonjour,
Finalement pa la peine de mettre en application ton dernier message (enfin je pense) puisque quaprés la derniere manipulation que tu m'as demandé de faire la photo a totalement disparu.
Je te remercie sincerement de ton aide.
Je sais bien que je suis loin d'etre experte en informatique (sinon je n'auré pa eu besoin de tes conseils) mais si un jour je pe te rendre service n'hésite pas.
merci beaucoup
a +
8 Mai 2007 21:41:07

Coucou,

Justement, la dernière manip permet de supprimer d'autres infections.

A+
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS