pub cid

Bonjour à tous,
infection avec pub cid, voici mon log hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 10:45:04, on 03/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Pense-bete\Pensbet78.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\LightSurf\Common\IconMgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Philips Photo Manager\Philips ThumbCam Monitor.exe
C:\Program Files\LightSurf\Colorific\hgcctl95.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\LightSurf\Color Indicator\TICIcon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Program Files\DAP\DAP.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Documents and Settings\Propriétaire\Bureau\Utile\Antivirus\bonjour.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.linternaute.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKCU\..\Run: [Pense-Bête] C:\Program Files\Pense-bete\Pensbet78.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Ball Hold] C:\DOCUME~1\PROPRI~1\APPLIC~1\PROCDA~1\Browseway.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Philips ThumbCam Monitor.lnk = C:\Program Files\Philips Photo Manager\Philips ThumbCam Monitor.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D96FF23-3F02-42EF-8B20-268B1709AB8F}: NameServer = 84.103.237.146 86.64.145.146
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


merci pour votre aide


[ Ce message a été modifié par : : pkable le 03-05-2007 20:25 ]

relancer hijack
cocher ces lignes et clic ensuite sur Fix Checked

O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKCU\..\Run: [Ball Hold] C:\DOCUME~1\PROPRI~1\APPLIC~1\PROCDA~1\Browseway.exe
---------
En ayant accés aux fichiers cachés
Démarrer =>Poste de travail =>Outils =>Options des dossiers =>Affichage
Cocher = Afficher les fichiers et dossiers cachés

supprimer
PROCDA~1 ==> C:\DOCUME~1\PROPRI~1\APPLIC~1\
le nom compler étant
PROC DATE CAST ==> dans C:\DOCUMENT and SETTING\PROPRIETAIRE\APPLICATION DATA\
--------
Télécharger sur le bureau
NoLop.exe
= Fermer tous les programmes
= Double-clic sur NoLop
= Clic sur Search and Destroy
= A la fin du Scan si infection
==> message demandant si l'on veut redémarrer ==> OK
= Clic REBOOT
= Un message au redémarrage
= un rapport dans C:\NoLop.log ==> le copier/coller dans la réponse

puis supprimer ce rapport dans C:
et "delete" ( symbole roue dentée)

et faire nouveau hijack

voici le rapport de nolop:


NoLop! Log by Skate_Punk_21

Fix running from: C:\Documents and Settings\Propriétaire\Bureau\Utile\Antivirus
[03/05/2007]
[12:28:25]

---Infection Files Found/Removed---
C:\WINDOWS\tasks\AD6B701F91A4E73B.job

Beginning Removal...
Rebooting...
Removing Lop's Leftover Files/Folders...
Editing Registry...
**Fix Complete!**

---Listing AppData sub directories---

C:\Documents and Settings\Administrateur\Application Data\Microsoft
C:\Documents and Settings\All Users\Application Data\Acd Systems
C:\Documents and Settings\All Users\Application Data\Adobe
C:\Documents and Settings\All Users\Application Data\Ahead
C:\Documents and Settings\All Users\Application Data\Dvd Shrink
C:\Documents and Settings\All Users\Application Data\Google
C:\Documents and Settings\All Users\Application Data\Installshield
C:\Documents and Settings\All Users\Application Data\Intervideo
C:\Documents and Settings\All Users\Application Data\Jardin8c
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
C:\Documents and Settings\All Users\Application Data\Macrovision
C:\Documents and Settings\All Users\Application Data\Microsoft
C:\Documents and Settings\All Users\Application Data\Msn6
C:\Documents and Settings\All Users\Application Data\Nview_profiles
C:\Documents and Settings\All Users\Application Data\Oberon Media
C:\Documents and Settings\All Users\Application Data\Pinnacle
C:\Documents and Settings\All Users\Application Data\Pinnacle Studio
C:\Documents and Settings\All Users\Application Data\Quicktime
C:\Documents and Settings\All Users\Application Data\Sbsi
C:\Documents and Settings\All Users\Application Data\Send Wait Draw Settings
C:\Documents and Settings\All Users\Application Data\Skype
C:\Documents and Settings\All Users\Application Data\Spieleentwicklungskombinat
C:\Documents and Settings\All Users\Application Data\Symantec
C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage
C:\Documents and Settings\Default User\Application Data\Identities
C:\Documents and Settings\Default User\Application Data\Microsoft
C:\Documents and Settings\Localservice\Application Data\Microsoft
C:\Documents and Settings\Localservice\Application Data\X10 Commander
C:\Documents and Settings\Networkservice\Application Data\Microsoft
C:\Documents and Settings\Propriétaire\Application Data\Acd Systems
C:\Documents and Settings\Propriétaire\Application Data\Adobe
C:\Documents and Settings\Propriétaire\Application Data\Adobeum
C:\Documents and Settings\Propriétaire\Application Data\Ahead
C:\Documents and Settings\Propriétaire\Application Data\Arcsoft
C:\Documents and Settings\Propriétaire\Application Data\Axialis
C:\Documents and Settings\Propriétaire\Application Data\Copytodvd -- EMPTY Directory
C:\Documents and Settings\Propriétaire\Application Data\Genie-soft
C:\Documents and Settings\Propriétaire\Application Data\Google
C:\Documents and Settings\Propriétaire\Application Data\Help
C:\Documents and Settings\Propriétaire\Application Data\Identities
C:\Documents and Settings\Propriétaire\Application Data\Installshield
C:\Documents and Settings\Propriétaire\Application Data\Intervideo
C:\Documents and Settings\Propriétaire\Application Data\Leadertech
C:\Documents and Settings\Propriétaire\Application Data\Macromedia
C:\Documents and Settings\Propriétaire\Application Data\Mailfrontier
C:\Documents and Settings\Propriétaire\Application Data\Microsoft
C:\Documents and Settings\Propriétaire\Application Data\Msn6
C:\Documents and Settings\Propriétaire\Application Data\Pinnacle Systems
C:\Documents and Settings\Propriétaire\Application Data\Proc Date Cast -- EMPTY Directory
C:\Documents and Settings\Propriétaire\Application Data\Real
C:\Documents and Settings\Propriétaire\Application Data\Simple Sudoku
C:\Documents and Settings\Propriétaire\Application Data\Sonic
C:\Documents and Settings\Propriétaire\Application Data\Sony Corporation
C:\Documents and Settings\Propriétaire\Application Data\Vlc


et mon log avec hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 13:05:11, on 03/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Pense-bete\Pensbet78.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\LightSurf\Common\IconMgr.exe
C:\Program Files\Philips Photo Manager\Philips ThumbCam Monitor.exe
C:\Program Files\LightSurf\Colorific\hgcctl95.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\LightSurf\Color Indicator\TICIcon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Bureau\Utile\Antivirus\bonjour.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKCU\..\Run: [Pense-Bête] C:\Program Files\Pense-bete\Pensbet78.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Ball Hold] C:\DOCUME~1\PROPRI~1\APPLIC~1\PROCDA~1\Browseway.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Philips ThumbCam Monitor.lnk = C:\Program Files\Philips Photo Manager\Philips ThumbCam Monitor.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D96FF23-3F02-42EF-8B20-268B1709AB8F}: NameServer = 86.64.145.145 84.103.237.145
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


[ Ce message a été modifié par : : pkable le 03-05-2007 20:27 ]

tu as bien fixé les lignes avec Hijack puis effectuées les suppressions ?
car tout est encore présent
-----------
Jardin8c : est-ce que tu connais ? ( c'est dans tes applications Data)
--------
Télécharger sur le bureau LopResearch.zip
= Clic-Droit sur LopResearch.zip
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= Double-Clic Scan ( symbole roue dentée)
= Copier et coller dans la réponse le rapport qui est crée

j'ai refixé à nouveau les 2 lignes spécifiées.
jardin8c est un ancien logiciel.
scan:


Rapport fait à 17:11:26,65 le 03/05/2007

Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est 4468-4F2D

R‚pertoire de C:\Documents and Settings\All Users\Application Data

01/04/2007 09:11 <REP> InstallShield
19/03/2007 16:21 <REP> JARDIN8C
16/02/2007 09:14 <REP> SpieleEntwicklungsKombinat
19/11/2006 20:32 <REP> Kaspersky Lab
16/09/2006 18:55 <REP> Google
14/09/2006 12:51 <REP> Pinnacle Studio
14/09/2006 12:47 <REP> Pinnacle
29/01/2006 17:09 <REP> Oberon Media
05/09/2005 20:24 <REP> Ahead
05/09/2005 16:22 <REP> ACD Systems
07/08/2005 18:17 <REP> Windows Genuine Advantage
13/05/2005 08:26 <REP> Macrovision
18/04/2005 20:07 <REP> Skype
17/04/2005 18:11 <REP> SEND WAIT DRAW SETTINGS
20/02/2005 14:55 <REP> MSN6
10/12/2004 20:59 <REP> DVD Shrink
21/10/2004 21:39 <REP> QuickTime
08/10/2004 21:47 <REP> Symantec
10/02/2004 14:36 <REP> InterVideo
10/02/2004 13:24 <REP> Adobe
10/02/2004 13:08 <REP> nView_Profiles
09/02/2004 23:52 <REP> SBSI
09/02/2004 23:45 62 desktop.ini
09/02/2004 23:45 <REP> Microsoft
09/02/2004 23:45 <REP> .
09/02/2004 23:45 <REP> ..
1 fichier(s) 62 octets
25 R‚p(s) 3757809664 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est 4468-4F2D

R‚pertoire de C:\Documents and Settings\Default User\Application Data

09/02/2004 23:49 <REP> Identities
09/02/2004 23:45 62 desktop.ini
09/02/2004 23:45 <REP> ..
09/02/2004 23:45 <REP> Microsoft
09/02/2004 23:45 <REP> .
1 fichier(s) 62 octets
4 R‚p(s) 3757809664 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est 4468-4F2D

R‚pertoire de C:\Documents and Settings\Propri‚taire\Application Data

03/05/2007 13:50 <REP> BitDownload
03/05/2007 12:23 <REP> PROC DATE CAST
05/04/2007 16:18 <REP> Sony Corporation
23/03/2007 19:13 <REP> MailFrontier
23/10/2006 23:05 <REP> vlc
16/09/2006 22:21 <REP> Sonic
14/09/2006 14:18 <REP> InstallShield
14/09/2006 13:19 <REP> Pinnacle Systems
31/08/2006 08:12 1216 AdobeDLM.log
04/05/2006 20:38 <REP> Simple Sudoku
12/04/2006 09:48 <REP> Genie-Soft
12/04/2006 09:19 <REP> Axialis
20/10/2005 19:30 8192 00000A58_VTS_0.IFO
19/10/2005 15:49 8192 00000B50_VTS_0.IFO
19/10/2005 14:51 8192 00000F10_VTS_0.IFO
19/09/2005 17:09 51200 000001AC_VTS_0.IFO
19/09/2005 16:58 <REP> CopyToDvd
18/09/2005 14:54 <REP> Google
05/09/2005 16:30 <REP> ACD Systems
20/02/2005 14:55 <REP> MSN6
27/12/2004 17:03 <REP> Arcsoft
21/10/2004 19:32 <REP> Leadertech
13/10/2004 18:55 <REP> Real
09/10/2004 07:59 83 sversion.ini
10/02/2004 15:56 <REP> Help
10/02/2004 15:55 <REP> AdobeUM
10/02/2004 15:55 <REP> Adobe
10/02/2004 15:45 <REP> Ahead
10/02/2004 15:31 <REP> Macromedia
10/02/2004 14:05 <REP> InterVideo
09/02/2004 23:51 62 desktop.ini
09/02/2004 23:51 <REP> Identities
09/02/2004 23:51 <REP> ..
09/02/2004 23:51 <REP> Microsoft
09/02/2004 23:51 <REP> .
7 fichier(s) 77137 octets
28 R‚p(s) 3757809664 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle BOOT
Le num‚ro de s‚rie du volume est 4468-4F2D

R‚pertoire de C:\WINDOWS\Tasks

09/02/2004 23:49 6 SA.DAT
09/02/2004 23:47 <REP> ..
09/02/2004 23:47 <REP> .
09/02/2004 23:38 65 desktop.ini
2 fichier(s) 71 octets
2 R‚p(s) 3ÿ757ÿ805ÿ568 octets libres

******************************************
Recherche dans Program files


C:\Program Files\Bitdownload Présent !
******************************************
Recherche d'infections connues


C:\WINDOWS\system32\csrss.exe Wareout possible ! [#ff0000]faux-positif si csrss.exe ![/#f]
*************** Fin du rapport ****************


[ Ce message a été modifié par : : pkable le 03-05-2007 20:28 ]

Télécharger sur le bureau
navilog1.zip
= Double-Clic navilog1.zip
= Extraire tout sur le bureau
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

un rapport : fixnavi.txt
dans ==> C :
les copier/coller dans la réponse

voici le rapport fixnavi.txt:


Search Navipromo version 1.1.6 commencé le 03/05/2007 à 20:35:08,32

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Propri‚taire\Bureau
Mise a jour le 02.05.2007 a 08h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Propri‚taire\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 05/03/07 at 20:35:17.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .........................................................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 05/03/07 at 20:45:10 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********


*** Analyse Terminé le 03/05/2007 à 20:45:55,48 ***



[ Ce message a été modifié par : : pkable le 03-05-2007 21:29 ]

Télécharge sur ton bureau Clean (zip)
= Clic droit sur Clean.zip et Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
=double-clic Dossier Clean
= double-clic Clean. ( avec comme symbole une roue dentée)
= Option 1 = taper 1
= copier/coller le rapport dans la réponse

voici le rapport avec clean:
03/05/2007 a 22:59:34,03

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\browserxtras\ FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\bdod.bin FOUND
C:\WINDOWS\system32\DRIVERS\etc\serv-u.ini FOUND
C:\WINDOWS\system32\DRIVERS\etc\conf.dll FOUND
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\BitDownload" FOUND
"C:\Program Files\Internet\" FOUND
"C:\Program Files\virtual\" FOUND
*** Fin du rapport !

= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8, jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
Lance Clean >> cette fois-ci choisi l'option 2

redémarre en mode normal , copie colle son contenu