Encore des pop-up

J'ai toujours des pops-up qui apparaissenr à l'ouverture de IE (web media, meetic,...). J'ai fait un scan avec AVG, AD-adawere, spybot, ccleaner et rien n'y fait. e vopus donne le rapport d'HijackThis pour que vous m'adiez, merci.

Répondre

Inscrivez-vous ou connectez-vous pour masquer ceci.

Voilà le rapport d'HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 09:12:23, on 23/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\HP\KBD\KBD.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Software Heck Debug Ooze] C:\Documents and Settings\All Users\Application Data\bike delete software heck\INSIDE START.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Close time] C:\DOCUME~1\HP_PRO~1\APPLIC~1\ARMYFI~1\default else.exe
O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/tec [...] SupCtl.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tec [...] mAData.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Répondre à thad2007

--->Télécharger VundoFix.exe
et le mettre sur le bureau.

Noter ou imprimer les instructions qui suivent avant de commencer :

-> Lancer VundoFix.exe
-> Cliquer sur le bouton Scan for Vundo
-> Une fois le scan terminé, cliquer sur le bouton Remove Vundo
-> Un message demandera confirmation, cliquer sur YES
-> Le bureau va disparaître. C'est normal.
-> Ensuite un message va indiquer que le PC va se fermer. Cliquer sur OK.
-> Redémarre le PC.
-> C:\vundofix.txt

Message édité par BIgSiLaB le 23-02-2007 à 11:12:25

Répondre à BIgSiLaB

ok, c'est parti

Répondre à thad2007

Voilà le rapport

VundoFix V6.3.9

Checking Java version...

Java version is 1.4.2.3

Java version is 1.5.0.6

Java version is 1.5.0.9

Scan started at 15:52:42 23/02/2007

Listing files found while scanning....

No infected files were found.

Cela dit les popups viennent d'ad.adserver et ad.adserverplus.com, entre autres

Répondre à thad2007

voilà mon rapport a moi :
VundoFix V6.3.9

Checking Java version...

Scan started at 17:45:13 23/02/2007

Listing files found while scanning....

No infected files were found.

Beginning removal...

Je peut savoir ques'qui faut faire après ?!
j'ai toujours les pops-up ( pub meetic ... )
ques'qui faut que je fasse Svp ?! Merci

Répondre à yaki7734

EDIT : thad2007 c'est toujours ton sujet

re,
Bon comme Mykerinos me l'a conseillé ( ), peux-tu faire ceci:

--->Télécharger Blacklight (de F-Secure)

clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-cliquer blbeta.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Tu peux consulter le tutorial de F-Secure BlackLight : (merci à Malekal)

http://www.malekal.com/tutorial_f- [...] Light.html

Message édité par BIgSiLaB le 23-02-2007 à 21:16:14

Répondre à BIgSiLaB

02/23/07 20:12:45 [Info]: BlackLight Engine 1.0.55 initialized
02/23/07 20:12:45 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/23/07 20:12:45 [Note]: 7019 4
02/23/07 20:12:45 [Note]: 7005 0
02/23/07 20:12:53 [Note]: 7006 0
02/23/07 20:12:53 [Note]: 7011 2020
02/23/07 20:12:53 [Note]: 7026 0
02/23/07 20:12:53 [Note]: 7026 0
02/23/07 20:12:53 [Note]: 7024 3
02/23/07 20:12:53 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
02/23/07 20:12:53 [Note]: 7024 3
02/23/07 20:12:53 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
02/23/07 20:13:00 [Note]: FSRAW library version 1.7.1021
02/23/07 20:13:02 [Info]: Hidden file: c:\Documents and Settings\SABRI\Shared\AlbumArtSmall.jpg
02/23/07 20:13:02 [Info]: Hidden file: c:\Documents and Settings\SABRI\Shared\AlbumArt_{18EB6E90-8259-4273-9D6E-C8285B6E658F}
02/23/07 20:13:02 [Info]: Hidden file: c:\Documents and Settings\SABRI\Shared\Folder.jpg
02/23/07 20:13:02 [Info]: Hidden file: c:\Documents and Settings\SABRI\Shared\AlbumArt_{18EB6E90-8259-4273-9D6E-C8285B6E658F}
02/23/07 20:13:02 [Info]: Hidden file: c:\Documents and Settings\SABRI\Shared\DESKTOP.INI
02/23/07 20:13:02 [Note]: 10002 2
02/23/07 20:13:02 [Note]: 10002 2
02/23/07 20:13:02 [Info]: Hidden file: c:\Documents and Settings\SABRI\Application Data\HIDIRES\HIDR.EXE
02/23/07 20:13:02 [Info]: Hidden file: c:\Documents and Settings\SABRI\Application Data\HIDIRES\M_HOOK.SYS
02/23/07 20:13:02 [Note]: 10002 2
02/23/07 20:13:02 [Note]: 10002 2
02/23/07 20:13:03 [Note]: 10002 2
02/23/07 20:13:03 [Note]: 10002 2
02/23/07 20:13:03 [Note]: 10002 2
02/23/07 20:13:03 [Note]: 10002 2
02/23/07 20:13:21 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
02/23/07 20:13:21 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
02/23/07 20:13:21 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\NEWS.PNG
02/23/07 20:13:21 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\PAINT.PNG
02/23/07 20:13:21 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
02/23/07 20:13:21 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
02/23/07 20:13:21 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
02/23/07 20:13:21 [Note]: 10002 2
02/23/07 20:13:21 [Note]: 10002 2
02/23/07 20:13:46 [Note]: 10002 2
02/23/07 20:13:46 [Note]: 10002 2
02/23/07 20:13:48 [Info]: Hidden file: C:\WINDOWS\system32\hldrrr.exe
02/23/07 20:13:48 [Note]: 10002 2
02/23/07 20:13:48 [Info]: Hidden file: C:\WINDOWS\system32\wintems.exe
02/23/07 20:13:48 [Note]: 10002 2
02/23/07 20:13:50 [Note]: 2000 1012
02/23/07 20:13:50 [Note]: 2000 1012
02/23/07 20:14:15 [Note]: 7007 0

Voilà le rapport

Répondre à yaki7734

étude en cours...

Répondre à BIgSiLaB

ok Merci beaucoup ...

Répondre à yaki7734

désolé si ça prend du temps....juste pour l'info infection Bagle....je reviens

Répondre à BIgSiLaB

Ok

Répondre à yaki7734

Alors :

--->Télécharger ELIBAGLA
Pour cela,
->Cliquer sur Descargar ELIBAGLA 10.13 en bas de la page.
->Enregistrer ce programme sur ton Bureau.

Si tu peux accéder au mode sans échec, le lancer à partir de ce mode.
Si ce n'est pas le cas, lance-le en mode normal.

Lorsqu'il a terminé poste le contenu du rapport se trouvant dans Poste de Travail-> C:-> infoSat.txt

Répondre à BIgSiLaB

Fri Feb 23 20:54:40 2007
EliBagle v10.18 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\HIDR.EXE.Muestra EliBagle v10.18
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\SABRI\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\M_HOOK.SYS.Muestra EliBagle v10.18
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\SABRI\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.18
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\WINLOG.EXE.Muestra EliBagle v10.18
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WINLOG.EXE --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

Fri Feb 23 20:55:38 2007
EliBagle v10.18 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Voilà le rapport

Répondre à yaki7734

Ok..peux-tu me refaire un log Blacklight stp

Répondre à BIgSiLaB

Merde dsl :s le rapport et en train de se faire Dsl ...

Répondre à yaki7734

j'ai foirée
le rapport se reffet dsl

Répondre à yaki7734

Pas grave lol pas besoin d'être dsl

Répondre à BIgSiLaB

Répondre à yaki7734

c'est normale qu'il prend du temps :s

Répondre à yaki7734

ça dépend...

Répondre à BIgSiLaB

ben la ca prend du temps :s

Répondre à yaki7734

Bah attendons !

Répondre à BIgSiLaB

oui lol

Répondre à yaki7734

Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP108\A0043183.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP108\A0043196.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP109\A0043360.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP109\A0043361.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP109\A0043405.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP109\A0043414.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP109\A0043523.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP109\A0043525.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP110\A0043765.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP110\A0043766.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP110\A0043822.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP110\A0043830.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP110\A0044085.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP110\A0045084.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP110\A0045090.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP111\A0045274.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP111\A0045275.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP111\A0045384.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP111\A0045447.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP111\A0045465.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP111\A0045475.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP112\A0045481.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP112\A0045482.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP112\A0045571.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP112\A0045580.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP112\A0045593.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP112\A0045605.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP113\A0045668.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP113\A0045669.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP114\A0045792.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP114\A0045793.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP114\A0046592.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP114\A0046602.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP114\A0046633.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP114\A0046736.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP116\A0046864.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP116\A0046871.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP116\A0046995.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP116\A0047010.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP116\A0047028.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP116\A0047036.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP116\A0047063.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP116\A0047066.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP117\A0047134.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP117\A0047135.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP117\A0047180.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP117\A0047195.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP117\A0047198.EXE --> Eliminado Bagle
C:\System Volume Information\_restore{17095EB8-413E-40E1-BD69-A6414AEEC720}\RP120\A0050304.EXE --> Eliminado Bagle

Voilà enfin xD

Répondre à yaki7734

heu..j'avais demander une analyse BLACKLIGHT..
Blacklight (de F-Secure)

clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Tu peux consulter le tutorial de F-Secure BlackLight : (merci à Malekal)

http://www.malekal.com/tutorial_f- [...] Light.html

Message édité par BIgSiLaB le 23-02-2007 à 21:17:59

Répondre à BIgSiLaB

passe a mozilla tout simplement

Répondre à scofr

je sui sur mozzila :s

Répondre à yaki7734

....merci pour ton intervention scofr.....tu fais le rapport yaki7734 ?

Répondre à BIgSiLaB

eeuuuhhh de quoi ?! ^o) je comprend pas la ? XD

Répondre à yaki7734

..ok on reprend depuis le début : fais une analyse avec Blacklight (de F-Secure) téléchargé auparavant....pas dur quand même...

Répondre à BIgSiLaB

lol mdrrr je les plus tu peut me repassé le lien stp
Sorry

Répondre à yaki7734

--->Télécharger Blacklight (de F-Secure)

clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-cliquer blbeta.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Tu peux consulter le tutorial de F-Secure BlackLight : (merci à Malekal)

http://www.malekal.com/tutorial_f- [...] Light.html

Répondre à BIgSiLaB

ok sa scan la ...

Répondre à yaki7734

02/23/07 21:28:30 [Info]: BlackLight Engine 1.0.55 initialized
02/23/07 21:28:30 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/23/07 21:28:35 [Note]: 7019 4
02/23/07 21:28:35 [Note]: 7005 0
02/23/07 21:28:38 [Note]: 7006 0
02/23/07 21:28:39 [Note]: 7011 2020
02/23/07 21:28:39 [Note]: 7026 0
02/23/07 21:28:39 [Note]: 7026 0
02/23/07 21:28:39 [Note]: 7024 3
02/23/07 21:28:39 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
02/23/07 21:28:39 [Note]: 7024 3
02/23/07 21:28:39 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
02/23/07 21:28:47 [Note]: FSRAW library version 1.7.1021
02/23/07 21:28:57 [Info]: Hidden file: c:\Documents and Settings\SABRI\Shared\AlbumArtSmall.jpg
02/23/07 21:28:57 [Info]: Hidden file: c:\Documents and Settings\SABRI\Shared\AlbumArt_{18EB6E90-8259-4273-9D6E-C8285B6E658F}
02/23/07 21:28:57 [Info]: Hidden file: c:\Documents and Settings\SABRI\Shared\Folder.jpg
02/23/07 21:28:57 [Info]: Hidden file: c:\Documents and Settings\SABRI\Shared\AlbumArt_{18EB6E90-8259-4273-9D6E-C8285B6E658F}
02/23/07 21:28:57 [Info]: Hidden file: c:\Documents and Settings\SABRI\Shared\DESKTOP.INI
02/23/07 21:28:57 [Note]: 10002 2
02/23/07 21:28:57 [Note]: 10002 2
02/23/07 21:28:58 [Note]: 10002 2
02/23/07 21:28:58 [Note]: 10002 2
02/23/07 21:28:59 [Note]: 10002 2
02/23/07 21:29:00 [Note]: 10002 2
02/23/07 21:29:45 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Empty.txt
02/23/07 21:29:45 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Filters.xml
02/23/07 21:29:45 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\NEWS.PNG
02/23/07 21:29:45 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\PAINT.PNG
02/23/07 21:29:45 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample1.jpg
02/23/07 21:29:45 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Sample2.jpg
02/23/07 21:29:45 [Info]: Hidden file: c:\Program Files\Movie Maker\Shared\Profiles\Blank.txt
02/23/07 21:29:45 [Note]: 10002 2
02/23/07 21:29:45 [Note]: 10002 2
02/23/07 21:31:33 [Note]: 10002 2
02/23/07 21:31:33 [Note]: 10002 2
02/23/07 21:31:50 [Note]: 2000 1012
02/23/07 21:31:50 [Note]: 2000 1012
02/23/07 21:31:50 [Note]: 7002 0
02/23/07 21:31:50 [Note]: 7003 1
02/23/07 21:31:50 [Note]: 7002 0
02/23/07 21:31:50 [Note]: 7003 1
02/23/07 21:33:02 [Note]: 7007 0

Voila...

Répondre à yaki7734

mec je revient je redémare 2seconde

Répondre à yaki7734

ok je suis la !
tu est la toi ?

Répondre à yaki7734

je reviens demain soir...

Répondre à BIgSiLaB

Pour Yaki7734

--->Télécharger KillBox d'Option^Explicit.
Dézippe le dans un dossier ou sur ton bureau (Clique droit puis Extraire Tout).

->Selectionner le texte dans le cadre :

Citation :

C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\wintems.exe

-> Clique Droit puis Copier.
----------

->Ouvrir Killbox.exe
->Choisir "Delete on reboot"
->Cliquer sur :
->" File " -> " Paste from Clipboard "
->" All Files "

Pour terminer clique sur [:angeldark:3]

Une question te sera alors posée :
" File will be Removed on Reboot, Do you want to reboot now ? "

-- Répond par OUI, un compte à rebours s'enclenche, ton PC va redémarrer.
-- Après redémarrage, relance Killbox puis clique sur le menu : Files -> Logs -> Actions History Log, poste ce rapport ici.

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!"
Redémarre ton PC manuellement.

AIDE : Tuto sur KillBox (Jesses)

Répondre à BIgSiLaB

Voila le rapport :

Pocket Killbox version 2.0.0.648
Running on Windows XP as SABRI(Administrator)
was started @ samedi, février 24, 2007, 3:46 PM

# 1 [Delete on Reboot]
Path = c:\windows\system32\hldrrr.exe

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 3:50:25 PM
Killbox Closed(Exit) @ 3:50:47 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as SABRI(Administrator)
was started @ samedi, février 24, 2007, 3:51 PM

# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\hldrrr.exe

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 3:52:06 PM
# 2 [Delete on Reboot]
Path = C:\WINDOWS\system32\hldrrr.exe

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 3:52:31 PM
Killbox Closed(Exit) @ 3:52:50 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as SABRI(Administrator)
was started @ samedi, février 24, 2007, 3:57 PM

Répondre à yaki7734

Il semblerait que j'ai été squatté

Comme c'est toujours mon post, voilà le rapport Blacklight

02/24/07 17:46:15 [Info]: BlackLight Engine 1.0.55 initialized
02/24/07 17:46:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/24/07 17:46:16 [Note]: 7019 4
02/24/07 17:46:16 [Note]: 7005 0
02/24/07 17:46:20 [Note]: 7006 0
02/24/07 17:46:20 [Note]: 7011 2528
02/24/07 17:46:20 [Note]: 7026 0
02/24/07 17:46:20 [Note]: 7026 0
02/24/07 17:46:33 [Note]: FSRAW library version 1.7.1021

Répondre à thad2007

...

Répondre à yaki7734

Bon ça va etre la merde là....
alors pour yaki : rposte un log Blacklight

Pour Thad ( désolé pour le squat ) je reviens tt de suite

Message édité par BIgSiLaB le 24-02-2007 à 19:56:49

Répondre à BIgSiLaB

ok pour thad : reposte un log hijackthis s'il te plaît

Répondre à BIgSiLaB

Voilà

02/24/07 19:57:34 [Info]: BlackLight Engine 1.0.55 initialized
02/24/07 19:57:34 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/24/07 19:57:34 [Note]: 7019 4
02/24/07 19:57:34 [Note]: 7005 0
02/24/07 19:57:37 [Note]: 7006 0
02/24/07 19:57:37 [Note]: 7011 2528
02/24/07 19:57:38 [Note]: 7026 0
02/24/07 19:57:38 [Note]: 7026 0
02/24/07 19:58:09 [Note]: FSRAW library version 1.7.1021

Répondre à thad2007

:pt1cable:

Voilà le log HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 20:07:12, on 24/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Documents and Settings\HP_Propriétaire\Bureau\eMule 0.47c MorphXT 9.2 - Bin [Par Ratiatum.com]\emule\eMule.exe
C:\Program Files\Visicom Media\WebExpert 6\wexpert6.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Software Heck Debug Ooze] C:\Documents and Settings\All Users\Application Data\bike delete software heck\INSIDE START.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Close time] C:\DOCUME~1\HP_PRO~1\APPLIC~1\ARMYFI~1\default else.exe
O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/tec [...] SupCtl.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tec [...] mAData.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Répondre à thad2007

Voilà le rapport de blacklight :
02/24/07 20:17:11 [Info]: BlackLight Engine 1.0.55 initialized
02/24/07 20:17:11 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/24/07 20:17:14 [Note]: 7019 4
02/24/07 20:17:14 [Note]: 7005 0
02/24/07 20:17:29 [Note]: 7006 0
02/24/07 20:17:30 [Note]: 7011 316
02/24/07 20:17:30 [Note]: 7026 0
02/24/07 20:17:30 [Note]: 7026 0
02/24/07 20:17:42 [Note]: FSRAW library version 1.7.1021
02/24/07 20:18:39 [Note]: 2000 1012
02/24/07 20:18:39 [Note]: 2000 1012
02/24/07 20:18:43 [Note]: 7007 0

Répondre à yaki7734

POUR thad

--->Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
Cela va créer un dossier clean.
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.

Répondre à BIgSiLaB

POUR Yaki : reposte un log Hijackthis

Répondre à BIgSiLaB

Tu peut me renvoyé le log Hijackthis je le retrouve pas :s

Répondre à yaki7734

Forum Sécurité - Virus : Encore des pop-up

Attention