(RESOLU)Deux processus iexplore ? et bien resolu!

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)
Répondre

(RESOLU)Deux processus iexplore ? et bien resolu!

Messagepar bouldingue » 08 Avr 2008 13:46

Bonjour cher amis.
Voilà, j'ai sur le portable d'une amie un problème dont la recherche de la solution sur le net s'est avoué assez complexe. Alors je viens à vous pour savoir si quelqu'un de chez vous n'aurez pas la solution.
J'ai dans la liste des processus de windows 2 iexplore. Quand je lance ie7 cela fait 3 processus et en plus d'autres fenêtres de pub s'ouvrent également. J'ai passé plus de d'antispyware et de scan anti virus que sur mon propre ordinateur.
Et même en mode sans échec. Rien de trouvé. Alors je viens en dernier recours vous voir en espérant..
je tiens à votre disposition le rapport hijackthis.
A tout de suite.
Dernière édition par bouldingue le 09 Avr 2008 09:52, édité 1 fois.
je suis là pour apprendre et partager.
Avatar de l’utilisateur
bouldingue
Libellulien Junior
Libellulien Junior
 
Messages: 299
Inscription: 31 Juil 2005 22:42
Localisation: France du haut
Haut

Re: Deux processus iexplore ?

Messagepar bouldingue » 08 Avr 2008 14:43

Au fait j'ai oublié de préciser qu'il s'agit de XP avec le Sp2 et IE7 bien sur.
Merci
je suis là pour apprendre et partager.
Avatar de l’utilisateur
bouldingue
Libellulien Junior
Libellulien Junior
 
Messages: 299
Inscription: 31 Juil 2005 22:42
Localisation: France du haut
Haut

Re: Deux processus iexplore ?

Messagepar Frank » 08 Avr 2008 15:29

Bonjour,

2 (ou même un seul) processus de iexplorer.exe juste apres le demarrage de xp alors qu'on a rien fait, est pratiquement à coup sur le signe d'une infection.
Tu peux deja nous indiquer quels sont les Avirus et Aspyware que tu as deja passé sur l'ordi, et pour le coup tu peux deja aussi poster ton log hijackthis ici...
Avatar de l’utilisateur
Frank
Libellulien
Libellulien
 
Messages: 59
Inscription: 07 Juil 2007 13:55
Localisation: en france, mais pas loin de la suisse ;)
Haut

Re: Deux processus iexplore ?

Messagepar bouldingue » 08 Avr 2008 16:38

Je te remercie de prendre le temps de répondre.
Pour l'antivirus Nod32 version 2.70.39, pour les anti spy ewido micro, spybot, malwarebytes ou quelque chose d'approchant.
J'ai aussi passé rootkit buster et un coup de vundofix à tout hasard.
Voilà le rapport:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:42:36, on 08/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\Explorer.EXE
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\drivers\RMC.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
F:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/r ... key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RMC] C:\WINDOWS\system32\drivers\RMC.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [deaf poll] C:\DOCUME~1\toto\APPLIC~1\TRUSTC~1\Sign Poke.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by128fd.bay128.hotmail.msn.com/r ... nPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3243D28B-04C0-4BC8-8547-EA4A5C66E52E}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{3243D28B-04C0-4BC8-8547-EA4A5C66E52E}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Upapostdaw - Promise Technology, Inc. - (no file)

--
End of file - 8351 bytes

Il y a une ligne qui me semble suspect mais quand je la fixe elle revient au demarrage suivant.
A tout de suite.
je suis là pour apprendre et partager.
Avatar de l’utilisateur
bouldingue
Libellulien Junior
Libellulien Junior
 
Messages: 299
Inscription: 31 Juil 2005 22:42
Localisation: France du haut
Haut

Re: Deux processus iexplore ?

Messagepar Falkra » 08 Avr 2008 19:06

Bonsoir,

Relance, HijackThis, coche cette ligne et fais "fix checked" (bouton en bas à gauche) :
O4 - HKCU\..\Run: [deaf poll] C:\DOCUME~1\toto\APPLIC~1\TRUSTC~1\Sign Poke.exe


Rends toi sur ce lien : Virus Total
  • Clique sur Parcourir
  • Rends toi jusque sur ce fichier si tu le trouves :
    C:\WINDOWS\system32\drivers\RMC.exe
  • Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : Image
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

Si les fichiers ne s'affichent pas, demande d'afficher les fichiers cachés, temporairement.

@ toute
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1
Haut

Re: Deux processus iexplore ?

Messagepar bouldingue » 08 Avr 2008 19:22

merci falkra, je my colle.
:supers:
je suis là pour apprendre et partager.
Avatar de l’utilisateur
bouldingue
Libellulien Junior
Libellulien Junior
 
Messages: 299
Inscription: 31 Juil 2005 22:42
Localisation: France du haut
Haut

Re: Deux processus iexplore ?

Messagepar bouldingue » 08 Avr 2008 20:26

Voilà le rapport!

Fichier RMC.exe reçu le 2008.04.08 21:19:04 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.9.0 2008.04.08 -
AntiVir 7.6.0.81 2008.04.08 -
Authentium 4.93.8 2008.04.08 -
Avast 4.8.1169.0 2008.04.08 -
AVG 7.5.0.516 2008.04.08 -
BitDefender 7.2 2008.04.08 -
CAT-QuickHeal 9.50 2008.04.08 -
ClamAV 0.92.1 2008.04.08 -
DrWeb 4.44.0.09170 2008.04.08 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5681 2008.04.08 -
Ewido 4.0 2008.04.08 -
F-Prot 4.4.2.54 2008.04.08 -
F-Secure 6.70.13260.0 2008.04.08 -
FileAdvisor 1 2008.04.08 -
Fortinet 3.14.0.0 2008.04.08 -
Ikarus T3.1.1.26 2008.04.08 -
Kaspersky 7.0.0.125 2008.04.08 -
McAfee 5269 2008.04.08 -
Microsoft 1.3408 2008.04.06 -
NOD32v2 3010 2008.04.08 -
Norman 5.80.02 2008.04.08 -
Panda 9.0.0.4 2008.04.08 -
Prevx1 V2 2008.04.08 -
Rising 20.39.12.00 2008.04.08 -
Sophos 4.28.0 2008.04.08 -
Sunbelt 3.0.1032.0 2008.04.08 -
Symantec 10 2008.04.08 -
TheHacker 6.2.92.268 2008.04.08 -
VBA32 3.12.6.4 2008.04.06 -
VirusBuster 4.3.26:9 2008.04.07 -
Webwasher-Gateway 6.6.2 2008.04.08 -

Information additionnelle
File size: 24576 bytes
MD5...: 975e24a344c4bcbaca89b51aec1987bc
SHA1..: e0b9fcd4ceb37f0e2bf049b86aa8e4d617bdcf9f
SHA256: d0eca337ec6ead471d9c5ca7a5cc12b3bfadf181900667d312bcccbc8cf8bd55
SHA512: 4912dddd21b3d0dc5d4982aeacccf30e9da03f9205c45ebd2489574a6d362bfa<BR>053b831e58f18d8ec561d25b7fa9ae96fb2c345982a91ad1145186fa51e42b37
PEiD..: Armadillo v1.71
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x401d90<BR>timedatestamp.....: 0x4247d486 (Mon Mar 28 09:55:18 2005)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x1040 0x2000 3.63 a4f7d0f997e52d8563fbcc8539892134<BR>.rdata 0x3000 0xcce 0x1000 4.36 c5ad752797e6b3fa0d5c27a9de6ee49f<BR>.data 0x4000 0x444 0x1000 0.58 b8160653b57996f60069ef673fb5e5aa<BR>.rsrc 0x5000 0xb58 0x1000 2.48 1736cba871aa6c1599867103698dd958<BR><BR>( 6 imports ) <BR>&gt; HookKey.dll: _MXKeyHook_Initialize@@YGXPAUHWND__@@@Z, _MXKeyHook_SetHookScanCode@@YGXQAGH@Z<BR>&gt; MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -<BR>&gt; MSVCRT.dll: _setmbcp, _controlfp, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, __CxxFrameHandler, _except_handler3, __set_app_type, _strcmpi<BR>&gt; KERNEL32.dll: FindFirstFileA, WinExec, Process32Next, CloseHandle, OpenProcess, GetProcAddress, Process32First, CreateToolhelp32Snapshot, LoadLibraryA, GetModuleHandleA, GetStartupInfoA, FreeLibrary<BR>&gt; USER32.dll: GetClientRect, GetSystemMetrics, DrawIcon, SetForegroundWindow, AppendMenuA, GetSystemMenu, FindWindowA, PostMessageA, UnregisterHotKey, EnableWindow, IsIconic, LoadIconA, keybd_event, RegisterHotKey, SendMessageA<BR>&gt; SHELL32.dll: Shell_NotifyIconA<BR><BR>( 0 exports ) <BR>

A toi de jouer!
Merci
je suis là pour apprendre et partager.
Avatar de l’utilisateur
bouldingue
Libellulien Junior
Libellulien Junior
 
Messages: 299
Inscription: 31 Juil 2005 22:42
Localisation: France du haut
Haut

Re: Deux processus iexplore ?

Messagepar Falkra » 08 Avr 2008 20:35

Ok, merci pour ça, il y avait plusieurs doutes sur le fichier. N'y touchons pas.

Si tu as le rapport VundoFix, j'aimerais le lire, surtout s'il a effacé des choses.
Le rapport est situé dans C:\vundofix.txt
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1
Haut

Re: Deux processus iexplore ?

Messagepar bouldingue » 08 Avr 2008 20:39

je ne l'ai plus malheureusement!
J'en fait un autre vite fait.
je suis là pour apprendre et partager.
Avatar de l’utilisateur
bouldingue
Libellulien Junior
Libellulien Junior
 
Messages: 299
Inscription: 31 Juil 2005 22:42
Localisation: France du haut
Haut

Re: Deux processus iexplore ?

Messagepar Falkra » 08 Avr 2008 20:47

Ne le fais pas, cela ne sert à rien, et il n'y a pas d'infection de ce type. :wink:

Poste un nouveau rapport HJT.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1
Haut

Re: Deux processus iexplore ?

Messagepar bouldingue » 08 Avr 2008 20:53

une indication pour les fenêtres qui s'ouvrent: elles sont marquées CID:http://www.(là le nom d'un site quelconque).
C'est CID qui est troublant non!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:53:08, on 08/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\drivers\RMC.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\toto\Bureau\VundoFix.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/r ... key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RMC] C:\WINDOWS\system32\drivers\RMC.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [deaf poll] C:\DOCUME~1\toto\APPLIC~1\TRUSTC~1\Sign Poke.exe
O4 - HKCU\..\RunOnce: [SWHelper] "C:\WINDOWS\system32\Macromed\Shockwave 8\PostUpdate.exe" 1014021
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by128fd.bay128.hotmail.msn.com/r ... nPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3243D28B-04C0-4BC8-8547-EA4A5C66E52E}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{3243D28B-04C0-4BC8-8547-EA4A5C66E52E}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Upapostdaw - Promise Technology, Inc. - (no file)

--
End of file - 8583 bytes
Voilà
je suis là pour apprendre et partager.
Avatar de l’utilisateur
bouldingue
Libellulien Junior
Libellulien Junior
 
Messages: 299
Inscription: 31 Juil 2005 22:42
Localisation: France du haut
Haut

Re: Deux processus iexplore ?

Messagepar Falkra » 08 Avr 2008 20:55

Voilà exactement ce qu'il fallait me dire. :wink:

Désactive tes protections résidentes ( Antivirus , ... ) tu les réactiveras ensuite.

Télécharge Lop S&D.exe sur ton bureau

[*]Double-clique dessus pour lancer l'installation
[*]Puis double-clique sur le raccourci Lop S&D présent sur ton bureau
[*]Séléctionne la langue souhaitée, puis choisis l'Option 1 ( Recherche )
[*]Patiente jusqu'à la fin du scan
[*]Poste le rapport généré ( C:\lopR.txt )

( Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1
Haut

Re: Deux processus iexplore ?

Messagepar bouldingue » 08 Avr 2008 21:12

Aussitôt dit....


-----------------------[ Lop S&D 4.1.0-8 XP/Vista ]---------------------

[ Windows XP (NT 5.1) Build 2600, Service Pack 2 ]
[ USER : toto ] [ "C:\Lop SD" ]
[ 08/04/2008 | 22:04:43,67 ] [ PC : SNNECCI ]
[ MAJ : 06-04-2008 | 11:07 ]

-------------[ Listing des dossiers dans Application Data ]------------

[07/04/2008|09:06] C:\DOCUME~1\ADMINI~1\APPLIC~1\.
[07/04/2008|09:06] C:\DOCUME~1\ADMINI~1\APPLIC~1\..
[16/08/2004|18:55] C:\DOCUME~1\ADMINI~1\APPLIC~1\desktop.ini
[16/08/2004|19:19] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
[07/04/2008|09:06] C:\DOCUME~1\ADMINI~1\APPLIC~1\Malwarebytes
[03/11/2005|17:38] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
[03/11/2005|17:27] C:\DOCUME~1\ADMINI~1\APPLIC~1\Real
[03/11/2005|17:08] C:\DOCUME~1\ADMINI~1\APPLIC~1\Sun
[03/11/2005|17:23] C:\DOCUME~1\ADMINI~1\APPLIC~1\Symantec
[03/11/2005|17:21] C:\DOCUME~1\ADMINI~1\APPLIC~1\You've Got Pictures Screensaver

[06/04/2008|20:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\.
[06/04/2008|20:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\..
[07/03/2008|18:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[03/11/2005|17:20] C:\DOCUME~1\ALLUSE~1\APPLIC~1\AOL
[26/02/2008|00:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Azureus
[25/02/2008|14:22] C:\DOCUME~1\ALLUSE~1\APPLIC~1\BONE ABOUT BOOK BOWS
[03/11/2005|17:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
[16/08/2004|18:55] C:\DOCUME~1\ALLUSE~1\APPLIC~1\desktop.ini
[29/02/2008|17:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\EPSON
[06/03/2008|22:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FindBoltForkNew
[24/10/2006|18:41] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Macrovision
[06/04/2008|20:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[06/10/2006|20:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
[28/02/2008|17:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[07/04/2008|10:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
[06/10/2006|11:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
[16/08/2004|19:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SBSI
[05/10/2006|16:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
[23/03/2007|06:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SSScanAppDataDir
[23/03/2007|06:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SSScanWizard
[11/12/2006|00:29] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec
[29/02/2008|17:48] C:\DOCUME~1\ALLUSE~1\APPLIC~1\UDL
[03/11/2005|17:21] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viewpoint
[25/02/2008|14:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Winamp Toolbar
[28/11/2006|09:25] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[28/02/2008|17:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

[03/11/2005|17:23] C:\DOCUME~1\DEFAUL~1\APPLIC~1\.
[03/11/2005|17:23] C:\DOCUME~1\DEFAUL~1\APPLIC~1\..
[16/08/2004|18:55] C:\DOCUME~1\DEFAUL~1\APPLIC~1\desktop.ini
[16/08/2004|19:19] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Identities
[03/11/2005|17:38] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft
[03/11/2005|17:27] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Real
[03/11/2005|17:08] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Sun
[03/11/2005|17:23] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Symantec
[03/11/2005|17:21] C:\DOCUME~1\DEFAUL~1\APPLIC~1\You've Got Pictures Screensaver

[16/08/2004|19:18] C:\DOCUME~1\LOCALS~1\APPLIC~1\.
[16/08/2004|19:18] C:\DOCUME~1\LOCALS~1\APPLIC~1\..
[06/07/2007|19:16] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[16/08/2004|19:18] C:\DOCUME~1\NETWOR~1\APPLIC~1\.
[16/08/2004|19:18] C:\DOCUME~1\NETWOR~1\APPLIC~1\..
[16/08/2004|18:54] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

[18/10/2006|18:51] C:\DOCUME~1\PROPRI~1\APPLIC~1\.
[18/10/2006|18:51] C:\DOCUME~1\PROPRI~1\APPLIC~1\..
[18/10/2006|18:51] C:\DOCUME~1\PROPRI~1\APPLIC~1\You've Got Pictures Screensaver

[06/04/2008|20:50] C:\DOCUME~1\toto\APPLIC~1\.
[06/04/2008|20:50] C:\DOCUME~1\toto\APPLIC~1\..
[10/03/2008|23:44] C:\DOCUME~1\toto\APPLIC~1\Adobe
[09/10/2006|19:02] C:\DOCUME~1\toto\APPLIC~1\AdobeUM
[06/06/2007|13:45] C:\DOCUME~1\toto\APPLIC~1\ArcSoft
[06/04/2008|20:43] C:\DOCUME~1\toto\APPLIC~1\Azureus
[06/10/2006|12:29] C:\DOCUME~1\toto\APPLIC~1\CyberLink
[16/08/2004|18:55] C:\DOCUME~1\toto\APPLIC~1\desktop.ini
[08/10/2006|11:47] C:\DOCUME~1\toto\APPLIC~1\DivX
[25/10/2006|20:54] C:\DOCUME~1\toto\APPLIC~1\GDIPFONTCACHEV1.DAT
[16/08/2004|19:19] C:\DOCUME~1\toto\APPLIC~1\Identities
[29/02/2008|17:41] C:\DOCUME~1\toto\APPLIC~1\InstallShield
[06/10/2006|11:43] C:\DOCUME~1\toto\APPLIC~1\Leadertech
[05/10/2006|16:06] C:\DOCUME~1\toto\APPLIC~1\Macromedia
[06/04/2008|20:50] C:\DOCUME~1\toto\APPLIC~1\Malwarebytes
[25/02/2008|18:32] C:\DOCUME~1\toto\APPLIC~1\Microsoft
[08/10/2006|21:59] C:\DOCUME~1\toto\APPLIC~1\MSNInstaller
[13/03/2008|23:32] C:\DOCUME~1\toto\APPLIC~1\OpenOffice.org2
[25/02/2008|18:33] C:\DOCUME~1\toto\APPLIC~1\Opera
[18/10/2006|23:23] C:\DOCUME~1\toto\APPLIC~1\Real
[23/03/2007|06:28] C:\DOCUME~1\toto\APPLIC~1\ScanSoft
[05/10/2006|16:04] C:\DOCUME~1\toto\APPLIC~1\Skype
[06/10/2006|11:44] C:\DOCUME~1\toto\APPLIC~1\Sonic
[03/11/2005|17:08] C:\DOCUME~1\toto\APPLIC~1\Sun
[05/10/2006|15:59] C:\DOCUME~1\toto\APPLIC~1\Symantec
[03/06/2007|22:09] C:\DOCUME~1\toto\APPLIC~1\TribalWeb
[06/03/2008|22:13] C:\DOCUME~1\toto\APPLIC~1\trust cake second
[21/01/2007|21:48] C:\DOCUME~1\toto\APPLIC~1\vlc
[03/11/2005|17:21] C:\DOCUME~1\toto\APPLIC~1\You've Got Pictures Screensaver

----------------[ Tâches planifiées dans C:\WINDOWS\tasks ]---------------

[08/04/2008 22:00][--ah-----] C:\WINDOWS\tasks\A7688DB591A300FD.job
[30/09/2006 09:21][--a------] C:\WINDOWS\tasks\Rappel d'enregistrement 1.job
[07/04/2008 10:52][--a------] C:\WINDOWS\tasks\HDReg.job
[08/04/2008 20:42][--ah-----] C:\WINDOWS\tasks\SA.DAT
[05/08/2004 15:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

---------------[ Listing des dossiers dans C:\Program Files ]--------------

[08/04/2008|20:40] C:\Program Files\.
[08/04/2008|20:40] C:\Program Files\..
[07/03/2008|18:41] C:\Program Files\Adobe
[03/11/2005|17:06] C:\Program Files\AMD
[03/11/2005|17:21] C:\Program Files\AOL 9.0
[03/11/2005|17:21] C:\Program Files\AOL Compagnon
[23/03/2007|06:25] C:\Program Files\ArcSoft
[03/11/2005|17:07] C:\Program Files\ATI Technologies
[27/02/2008|16:53] C:\Program Files\avast
[26/02/2008|00:40] C:\Program Files\Azureus
[23/03/2007|13:15] C:\Program Files\Canon
[16/08/2004|19:05] C:\Program Files\ComPlus Applications
[11/10/2006|20:41] C:\Program Files\Creative
[03/11/2006|00:08] C:\Program Files\Cube
[03/11/2005|17:17] C:\Program Files\CyberLink
[08/10/2006|11:46] C:\Program Files\DivX
[10/03/2008|22:00] C:\Program Files\EClea2_0
[06/04/2008|20:43] C:\Program Files\eMule
[29/02/2008|17:47] C:\Program Files\epson
[06/04/2008|20:39] C:\Program Files\ESET
[28/02/2008|17:40] C:\Program Files\Fichiers communs
[08/03/2008|14:55] C:\Program Files\Google
[29/02/2008|17:49] C:\Program Files\InstallShield Installation Information
[07/03/2008|12:01] C:\Program Files\Internet Explorer
[01/03/2008|18:06] C:\Program Files\Java
[03/11/2005|17:21] C:\Program Files\Learn2.com
[16/08/2004|19:03] C:\Program Files\Messenger
[07/04/2008|11:55] C:\Program Files\Messenger Plus! Live
[29/02/2008|02:43] C:\Program Files\Microsoft CAPICOM 2.1.0.2
[08/10/2006|21:54] C:\Program Files\Microsoft Encarta
[16/08/2004|19:11] C:\Program Files\microsoft frontpage
[14/01/2007|17:41] C:\Program Files\Microsoft Office
[19/06/2007|15:15] C:\Program Files\Microsoft Works
[08/10/2006|21:38] C:\Program Files\Microsoft Works Suite 2003
[14/01/2007|17:40] C:\Program Files\Microsoft.NET
[16/08/2004|19:06] C:\Program Files\Movie Maker
[05/03/2008|11:33] C:\Program Files\MSBuild
[08/10/2006|21:59] C:\Program Files\MSN
[16/08/2004|19:03] C:\Program Files\MSN Gaming Zone
[28/02/2008|17:55] C:\Program Files\MSN Messenger
[20/11/2006|18:37] C:\Program Files\MSXML 4.0
[06/03/2008|18:57] C:\Program Files\MSXML 6.0
[16/08/2004|19:06] C:\Program Files\NetMeeting
[16/08/2004|19:03] C:\Program Files\Online Services
[23/10/2006|17:30] C:\Program Files\OpenOffice.org 2.0
[06/04/2008|19:08] C:\Program Files\Opera
[13/06/2007|20:40] C:\Program Files\Outlook Express
[03/11/2005|17:21] C:\Program Files\QuickTime
[03/11/2005|17:20] C:\Program Files\Real
[03/11/2005|17:07] C:\Program Files\Realtek
[04/03/2008|18:17] C:\Program Files\Reference Assemblies
[23/03/2007|06:27] C:\Program Files\ScanSoft
[16/08/2004|19:07] C:\Program Files\Services en ligne
[03/11/2005|17:29] C:\Program Files\Sonic
[03/11/2005|16:56] C:\Program Files\Synaptics
[23/05/2007|22:13] C:\Program Files\Thomson
[08/04/2008|20:40] C:\Program Files\Trend Micro
[03/06/2007|20:16] C:\Program Files\TribalWeb
[03/06/2007|20:15] C:\Program Files\tribalweb_setup235.exe
[25/02/2008|14:22] C:\Program Files\trust cake second
[16/08/2004|19:19] C:\Program Files\Uninstall Information
[21/01/2007|21:46] C:\Program Files\VideoLAN
[03/11/2005|17:20] C:\Program Files\Viewpoint
[12/06/2007|15:13] C:\Program Files\WinAircrackPack
[08/03/2008|16:20] C:\Program Files\Winamp
[25/02/2008|14:37] C:\Program Files\Winamp Toolbar
[01/03/2008|18:00] C:\Program Files\Windows Live
[09/10/2006|20:25] C:\Program Files\Windows Media Player
[16/08/2004|19:03] C:\Program Files\Windows NT
[16/08/2004|19:07] C:\Program Files\WindowsUpdate
[07/10/2006|19:39] C:\Program Files\WinRAR
[16/08/2004|19:11] C:\Program Files\xerox

------[ Listing des dossiers dans C:\Program Files\Fichiers communs ]------

[28/02/2008|17:40] C:\Program Files\Fichiers communs\.
[28/02/2008|17:40] C:\Program Files\Fichiers communs\..
[07/03/2008|18:42] C:\Program Files\Fichiers communs\Adobe
[24/10/2006|18:40] C:\Program Files\Fichiers communs\Adobe Systems Shared
[03/11/2005|17:21] C:\Program Files\Fichiers communs\AOL
[03/11/2005|17:20] C:\Program Files\Fichiers communs\aolshare
[08/10/2006|21:48] C:\Program Files\Fichiers communs\Designer
[07/10/2006|20:02] C:\Program Files\Fichiers communs\InstallShield
[03/11/2005|17:08] C:\Program Files\Fichiers communs\Java
[07/03/2008|20:13] C:\Program Files\Fichiers communs\Microsoft Shared
[16/08/2004|19:06] C:\Program Files\Fichiers communs\MSSoap
[03/11/2005|17:20] C:\Program Files\Fichiers communs\Nullsoft
[16/08/2004|18:57] C:\Program Files\Fichiers communs\ODBC
[03/11/2005|17:26] C:\Program Files\Fichiers communs\Real
[23/03/2007|06:27] C:\Program Files\Fichiers communs\ScanSoft Shared
[16/08/2004|19:06] C:\Program Files\Fichiers communs\Services
[03/11/2005|17:29] C:\Program Files\Fichiers communs\Sonic Shared
[16/08/2004|18:56] C:\Program Files\Fichiers communs\SpeechEngines
[03/11/2005|17:18] C:\Program Files\Fichiers communs\SureThing Shared
[13/06/2007|20:40] C:\Program Files\Fichiers communs\System
[07/10/2006|20:12] C:\Program Files\Fichiers communs\Vbox
[28/02/2008|17:56] C:\Program Files\Fichiers communs\WindowsLiveInstaller
[03/11/2005|17:26] C:\Program Files\Fichiers communs\xing shared

----------------------[ Recherche avec S_Lop ]---------------------

Aucun fichier / dossier Lop trouvé !

-----------------[ Recherche de Fichiers / Dossiers Lop ]-----------------

C:\DOCUME~1\ALLUSE~1\APPLIC~1\BONE ABOUT BOOK BOWS
C:\DOCUME~1\ALLUSE~1\APPLIC~1\BONE ABOUT BOOK BOWS\Team Play.exe
C:\WINDOWS\Tasks\A7688DB591A300FD.job

----------------------[ Verification du Registre ]----------------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

..... OK !

--------------------[ Verification du fichier Hosts ]---------------------

Fichier Hosts MODIFIE

127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 http://www.drivecleaner.com ## added by CiD
127.0.0.1 http://www.errorprotector.com ## added by CiD
127.0.0.1 http://www.errorsafe.com ## added by CiD
127.0.0.1 http://www.systemdoctor.com ## added by CiD
127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD
127.0.0.1 http://www.win-virus-pro.com ## added by CiD
127.0.0.1 http://www.winantispam.com ## added by CiD
127.0.0.1 http://www.winantispy.com ## added by CiD
127.0.0.1 http://www.winantispyware.com ## added by CiD
127.0.0.1 http://www.winantivirus.com ## added by CiD
127.0.0.1 http://www.winantiviruspro.com ## added by CiD
127.0.0.1 http://www.windrivecleaner.com ## added by CiD
127.0.0.1 http://www.windrivesafe.com ## added by CiD
127.0.0.1 http://www.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 http://www.utils.winfixer.com ## added by CiD
127.0.0.1 http://www.winfixer2006.com ## added by CiD
127.0.0.1 http://www.winsoftware.com ## added by CiD

-> 72 ( 70 ## added by CiD )

/!\ 1 Not 127.0.0.1 !!

----------------[ Recherche de fichiers avec Catchme ]-----------------

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-08 22:05:34
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------[ Recherche d'autres infections ]---------------------

Aucune autre infection trouvée !

/!\ [Fich:35][Doss:63] C:\DOCUME~1\toto\LOCALS~1\Temp
/!\ [Fich:50][Doss:0] C:\DOCUME~1\toto\Cookies
/!\ [Fich:354][Doss:5] C:\DOCUME~1\toto\LOCALS~1\TEMPOR~1\content.IE5

--------------------[ Fin du rapport a 22:07:35,18 ]----------------------
Ohla je crois qu'il ya quelque chose hum?
je suis là pour apprendre et partager.
Avatar de l’utilisateur
bouldingue
Libellulien Junior
Libellulien Junior
 
Messages: 299
Inscription: 31 Juil 2005 22:42
Localisation: France du haut
Haut

Re: Deux processus iexplore ?

Messagepar Falkra » 08 Avr 2008 21:16

Bingo. On passe facilement à côté de cette saleté, et elle est bien là. L'outil va la virer.
Par contre elle n'est pas venue seule, mais par un programme, elle a été installée avec,
On en parle juste après, pour ne pas réinstaller.

Voilà pour la 2eme partie et le nettoyage.
Relance Lop S&D

[*]Choisis cette fois ci l'Option 2 ( Suppression )
[*]Ne ferme pas la fenêtre lors de la suppression !
[*]Poste le rapport généré ( C:\lopR.txt )

(Si le Bureau ne réapparît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide)
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1
Haut

Re: Deux processus iexplore ?

Messagepar bouldingue » 08 Avr 2008 21:23

Quelle expert dis donc!
"té rudemin fort" en cht'is dans le texte!


-----------------------[ Lop S&D 4.1.0-8 XP/Vista ]---------------------

[ Windows XP (NT 5.1) Build 2600, Service Pack 2 ]
[ USER : toto ] [ "C:\Lop SD" ]
[ 08/04/2008 | 22:19:37,17 ] [ PC : SNNECCI ]
[ MAJ : 06-04-2008 | 11:07 ]

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION /////////////////////////////

Supprimé! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\BONE ABOUT BOOK BOWS\Team Play.exe
Supprimé! - C:\WINDOWS\Tasks\A7688DB591A300FD.job
Supprimé! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\BONE ABOUT BOOK BOWS
Restauré! - Fichier Hosts

//////////////////////////////////////-\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\


-------------[ Listing des dossiers dans Application Data ]------------

[07/04/2008|09:06] C:\DOCUME~1\ADMINI~1\APPLIC~1\.
[07/04/2008|09:06] C:\DOCUME~1\ADMINI~1\APPLIC~1\..
[16/08/2004|18:55] C:\DOCUME~1\ADMINI~1\APPLIC~1\desktop.ini
[16/08/2004|19:19] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
[07/04/2008|09:06] C:\DOCUME~1\ADMINI~1\APPLIC~1\Malwarebytes
[03/11/2005|17:38] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
[03/11/2005|17:27] C:\DOCUME~1\ADMINI~1\APPLIC~1\Real
[03/11/2005|17:08] C:\DOCUME~1\ADMINI~1\APPLIC~1\Sun
[03/11/2005|17:23] C:\DOCUME~1\ADMINI~1\APPLIC~1\Symantec
[03/11/2005|17:21] C:\DOCUME~1\ADMINI~1\APPLIC~1\You've Got Pictures Screensaver

[08/04/2008|22:19] C:\DOCUME~1\ALLUSE~1\APPLIC~1\.
[08/04/2008|22:19] C:\DOCUME~1\ALLUSE~1\APPLIC~1\..
[07/03/2008|18:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[03/11/2005|17:20] C:\DOCUME~1\ALLUSE~1\APPLIC~1\AOL
[26/02/2008|00:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Azureus
[03/11/2005|17:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
[16/08/2004|18:55] C:\DOCUME~1\ALLUSE~1\APPLIC~1\desktop.ini
[29/02/2008|17:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\EPSON
[06/03/2008|22:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FindBoltForkNew
[24/10/2006|18:41] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Macrovision
[06/04/2008|20:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[06/10/2006|20:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
[28/02/2008|17:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[07/04/2008|10:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
[06/10/2006|11:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
[16/08/2004|19:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SBSI
[05/10/2006|16:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
[23/03/2007|06:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SSScanAppDataDir
[23/03/2007|06:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SSScanWizard
[11/12/2006|00:29] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec
[29/02/2008|17:48] C:\DOCUME~1\ALLUSE~1\APPLIC~1\UDL
[03/11/2005|17:21] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viewpoint
[25/02/2008|14:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Winamp Toolbar
[28/11/2006|09:25] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[28/02/2008|17:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

[03/11/2005|17:23] C:\DOCUME~1\DEFAUL~1\APPLIC~1\.
[03/11/2005|17:23] C:\DOCUME~1\DEFAUL~1\APPLIC~1\..
[16/08/2004|18:55] C:\DOCUME~1\DEFAUL~1\APPLIC~1\desktop.ini
[16/08/2004|19:19] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Identities
[03/11/2005|17:38] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft
[03/11/2005|17:27] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Real
[03/11/2005|17:08] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Sun
[03/11/2005|17:23] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Symantec
[03/11/2005|17:21] C:\DOCUME~1\DEFAUL~1\APPLIC~1\You've Got Pictures Screensaver

[16/08/2004|19:18] C:\DOCUME~1\LOCALS~1\APPLIC~1\.
[16/08/2004|19:18] C:\DOCUME~1\LOCALS~1\APPLIC~1\..
[06/07/2007|19:16] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[16/08/2004|19:18] C:\DOCUME~1\NETWOR~1\APPLIC~1\.
[16/08/2004|19:18] C:\DOCUME~1\NETWOR~1\APPLIC~1\..
[16/08/2004|18:54] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

[18/10/2006|18:51] C:\DOCUME~1\PROPRI~1\APPLIC~1\.
[18/10/2006|18:51] C:\DOCUME~1\PROPRI~1\APPLIC~1\..
[18/10/2006|18:51] C:\DOCUME~1\PROPRI~1\APPLIC~1\You've Got Pictures Screensaver

[06/04/2008|20:50] C:\DOCUME~1\toto\APPLIC~1\.
[06/04/2008|20:50] C:\DOCUME~1\toto\APPLIC~1\..
[10/03/2008|23:44] C:\DOCUME~1\toto\APPLIC~1\Adobe
[09/10/2006|19:02] C:\DOCUME~1\toto\APPLIC~1\AdobeUM
[06/06/2007|13:45] C:\DOCUME~1\toto\APPLIC~1\ArcSoft
[06/04/2008|20:43] C:\DOCUME~1\toto\APPLIC~1\Azureus
[06/10/2006|12:29] C:\DOCUME~1\toto\APPLIC~1\CyberLink
[16/08/2004|18:55] C:\DOCUME~1\toto\APPLIC~1\desktop.ini
[08/10/2006|11:47] C:\DOCUME~1\toto\APPLIC~1\DivX
[25/10/2006|20:54] C:\DOCUME~1\toto\APPLIC~1\GDIPFONTCACHEV1.DAT
[16/08/2004|19:19] C:\DOCUME~1\toto\APPLIC~1\Identities
[29/02/2008|17:41] C:\DOCUME~1\toto\APPLIC~1\InstallShield
[06/10/2006|11:43] C:\DOCUME~1\toto\APPLIC~1\Leadertech
[05/10/2006|16:06] C:\DOCUME~1\toto\APPLIC~1\Macromedia
[06/04/2008|20:50] C:\DOCUME~1\toto\APPLIC~1\Malwarebytes
[25/02/2008|18:32] C:\DOCUME~1\toto\APPLIC~1\Microsoft
[08/10/2006|21:59] C:\DOCUME~1\toto\APPLIC~1\MSNInstaller
[13/03/2008|23:32] C:\DOCUME~1\toto\APPLIC~1\OpenOffice.org2
[25/02/2008|18:33] C:\DOCUME~1\toto\APPLIC~1\Opera
[18/10/2006|23:23] C:\DOCUME~1\toto\APPLIC~1\Real
[23/03/2007|06:28] C:\DOCUME~1\toto\APPLIC~1\ScanSoft
[05/10/2006|16:04] C:\DOCUME~1\toto\APPLIC~1\Skype
[06/10/2006|11:44] C:\DOCUME~1\toto\APPLIC~1\Sonic
[03/11/2005|17:08] C:\DOCUME~1\toto\APPLIC~1\Sun
[05/10/2006|15:59] C:\DOCUME~1\toto\APPLIC~1\Symantec
[03/06/2007|22:09] C:\DOCUME~1\toto\APPLIC~1\TribalWeb
[06/03/2008|22:13] C:\DOCUME~1\toto\APPLIC~1\trust cake second
[21/01/2007|21:48] C:\DOCUME~1\toto\APPLIC~1\vlc
[03/11/2005|17:21] C:\DOCUME~1\toto\APPLIC~1\You've Got Pictures Screensaver

----------------[ Tâches planifiées dans C:\WINDOWS\tasks ]---------------

[30/09/2006 09:21][--a------] C:\WINDOWS\tasks\Rappel d'enregistrement 1.job
[07/04/2008 10:52][--a------] C:\WINDOWS\tasks\HDReg.job
[08/04/2008 20:42][--ah-----] C:\WINDOWS\tasks\SA.DAT
[05/08/2004 15:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

---------------[ Listing des dossiers dans C:\Program Files ]--------------

[08/04/2008|20:40] C:\Program Files\.
[08/04/2008|20:40] C:\Program Files\..
[07/03/2008|18:41] C:\Program Files\Adobe
[03/11/2005|17:06] C:\Program Files\AMD
[03/11/2005|17:21] C:\Program Files\AOL 9.0
[03/11/2005|17:21] C:\Program Files\AOL Compagnon
[23/03/2007|06:25] C:\Program Files\ArcSoft
[03/11/2005|17:07] C:\Program Files\ATI Technologies
[27/02/2008|16:53] C:\Program Files\avast
[26/02/2008|00:40] C:\Program Files\Azureus
[23/03/2007|13:15] C:\Program Files\Canon
[16/08/2004|19:05] C:\Program Files\ComPlus Applications
[11/10/2006|20:41] C:\Program Files\Creative
[03/11/2006|00:08] C:\Program Files\Cube
[03/11/2005|17:17] C:\Program Files\CyberLink
[08/10/2006|11:46] C:\Program Files\DivX
[10/03/2008|22:00] C:\Program Files\EClea2_0
[06/04/2008|20:43] C:\Program Files\eMule
[29/02/2008|17:47] C:\Program Files\epson
[08/04/2008|22:05] C:\Program Files\ESET
[28/02/2008|17:40] C:\Program Files\Fichiers communs
[08/03/2008|14:55] C:\Program Files\Google
[29/02/2008|17:49] C:\Program Files\InstallShield Installation Information
[07/03/2008|12:01] C:\Program Files\Internet Explorer
[01/03/2008|18:06] C:\Program Files\Java
[03/11/2005|17:21] C:\Program Files\Learn2.com
[16/08/2004|19:03] C:\Program Files\Messenger
[07/04/2008|11:55] C:\Program Files\Messenger Plus! Live
[29/02/2008|02:43] C:\Program Files\Microsoft CAPICOM 2.1.0.2
[08/10/2006|21:54] C:\Program Files\Microsoft Encarta
[16/08/2004|19:11] C:\Program Files\microsoft frontpage
[14/01/2007|17:41] C:\Program Files\Microsoft Office
[19/06/2007|15:15] C:\Program Files\Microsoft Works
[08/10/2006|21:38] C:\Program Files\Microsoft Works Suite 2003
[14/01/2007|17:40] C:\Program Files\Microsoft.NET
[16/08/2004|19:06] C:\Program Files\Movie Maker
[05/03/2008|11:33] C:\Program Files\MSBuild
[08/10/2006|21:59] C:\Program Files\MSN
[16/08/2004|19:03] C:\Program Files\MSN Gaming Zone
[28/02/2008|17:55] C:\Program Files\MSN Messenger
[20/11/2006|18:37] C:\Program Files\MSXML 4.0
[06/03/2008|18:57] C:\Program Files\MSXML 6.0
[16/08/2004|19:06] C:\Program Files\NetMeeting
[16/08/2004|19:03] C:\Program Files\Online Services
[23/10/2006|17:30] C:\Program Files\OpenOffice.org 2.0
[06/04/2008|19:08] C:\Program Files\Opera
[13/06/2007|20:40] C:\Program Files\Outlook Express
[03/11/2005|17:21] C:\Program Files\QuickTime
[03/11/2005|17:20] C:\Program Files\Real
[03/11/2005|17:07] C:\Program Files\Realtek
[04/03/2008|18:17] C:\Program Files\Reference Assemblies
[23/03/2007|06:27] C:\Program Files\ScanSoft
[16/08/2004|19:07] C:\Program Files\Services en ligne
[03/11/2005|17:29] C:\Program Files\Sonic
[03/11/2005|16:56] C:\Program Files\Synaptics
[23/05/2007|22:13] C:\Program Files\Thomson
[08/04/2008|20:40] C:\Program Files\Trend Micro
[03/06/2007|20:16] C:\Program Files\TribalWeb
[03/06/2007|20:15] C:\Program Files\tribalweb_setup235.exe
[25/02/2008|14:22] C:\Program Files\trust cake second
[16/08/2004|19:19] C:\Program Files\Uninstall Information
[21/01/2007|21:46] C:\Program Files\VideoLAN
[03/11/2005|17:20] C:\Program Files\Viewpoint
[12/06/2007|15:13] C:\Program Files\WinAircrackPack
[08/03/2008|16:20] C:\Program Files\Winamp
[25/02/2008|14:37] C:\Program Files\Winamp Toolbar
[01/03/2008|18:00] C:\Program Files\Windows Live
[09/10/2006|20:25] C:\Program Files\Windows Media Player
[16/08/2004|19:03] C:\Program Files\Windows NT
[16/08/2004|19:07] C:\Program Files\WindowsUpdate
[07/10/2006|19:39] C:\Program Files\WinRAR
[16/08/2004|19:11] C:\Program Files\xerox

------[ Listing des dossiers dans C:\Program Files\Fichiers communs ]------

[28/02/2008|17:40] C:\Program Files\Fichiers communs\.
[28/02/2008|17:40] C:\Program Files\Fichiers communs\..
[07/03/2008|18:42] C:\Program Files\Fichiers communs\Adobe
[24/10/2006|18:40] C:\Program Files\Fichiers communs\Adobe Systems Shared
[03/11/2005|17:21] C:\Program Files\Fichiers communs\AOL
[03/11/2005|17:20] C:\Program Files\Fichiers communs\aolshare
[08/10/2006|21:48] C:\Program Files\Fichiers communs\Designer
[07/10/2006|20:02] C:\Program Files\Fichiers communs\InstallShield
[03/11/2005|17:08] C:\Program Files\Fichiers communs\Java
[07/03/2008|20:13] C:\Program Files\Fichiers communs\Microsoft Shared
[16/08/2004|19:06] C:\Program Files\Fichiers communs\MSSoap
[03/11/2005|17:20] C:\Program Files\Fichiers communs\Nullsoft
[16/08/2004|18:57] C:\Program Files\Fichiers communs\ODBC
[03/11/2005|17:26] C:\Program Files\Fichiers communs\Real
[23/03/2007|06:27] C:\Program Files\Fichiers communs\ScanSoft Shared
[16/08/2004|19:06] C:\Program Files\Fichiers communs\Services
[03/11/2005|17:29] C:\Program Files\Fichiers communs\Sonic Shared
[16/08/2004|18:56] C:\Program Files\Fichiers communs\SpeechEngines
[03/11/2005|17:18] C:\Program Files\Fichiers communs\SureThing Shared
[13/06/2007|20:40] C:\Program Files\Fichiers communs\System
[07/10/2006|20:12] C:\Program Files\Fichiers communs\Vbox
[28/02/2008|17:56] C:\Program Files\Fichiers communs\WindowsLiveInstaller
[03/11/2005|17:26] C:\Program Files\Fichiers communs\xing shared

----------------------[ Recherche avec S_Lop ]---------------------

Aucun fichier / dossier Lop trouvé !

-----------------[ Recherche de Fichiers / Dossiers Lop ]-----------------

Aucun fichier / dossier Lop trouvé !

----------------------[ Verification du Registre ]----------------------

..... OK !

--------------------[ Verification du fichier Hosts ]---------------------

Fichier Hosts PROPRE


----------------[ Recherche de fichiers avec Catchme ]-----------------

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-08 22:20:10
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------[ Recherche d'autres infections ]---------------------

Aucune autre infection trouvée !

/!\ [Fich:35][Doss:63] C:\DOCUME~1\toto\LOCALS~1\Temp
/!\ [Fich:50][Doss:0] C:\DOCUME~1\toto\Cookies
/!\ [Fich:354][Doss:5] C:\DOCUME~1\toto\LOCALS~1\TEMPOR~1\content.IE5

--------------------[ Fin du rapport a 22:21:42,90 ]----------------------
je suis là pour apprendre et partager.
Avatar de l’utilisateur
bouldingue
Libellulien Junior
Libellulien Junior
 
Messages: 299
Inscription: 31 Juil 2005 22:42
Localisation: France du haut
Haut

Re: Deux processus iexplore ?

Messagepar Falkra » 08 Avr 2008 21:25

Tu n'aurais pas installé MSN/WML Plus! avec le "sponsor" ?
Infection ça, si c'est le cas.

Poste un nouveau rapport HJT, as-tu encore des pubs ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1
Haut

Re: Deux processus iexplore ?

Messagepar bouldingue » 08 Avr 2008 21:32

oui la soeur de ma femme (c'est à elle le portable!) a effectivement installer le sponsor avec wml plus avec le sponsor. Je l'avais soupçonné un instant et je l'avais désinstaller puis réinstaller sans le sponsor.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:32:24, on 08/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\drivers\RMC.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/r ... key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RMC] C:\WINDOWS\system32\drivers\RMC.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [deaf poll] C:\DOCUME~1\toto\APPLIC~1\TRUSTC~1\Sign Poke.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by128fd.bay128.hotmail.msn.com/r ... nPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3243D28B-04C0-4BC8-8547-EA4A5C66E52E}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{3243D28B-04C0-4BC8-8547-EA4A5C66E52E}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Upapostdaw - Promise Technology, Inc. - (no file)

--
End of file - 8461 bytes

Voilà pour le rapport!
je suis là pour apprendre et partager.
Avatar de l’utilisateur
bouldingue
Libellulien Junior
Libellulien Junior
 
Messages: 299
Inscription: 31 Juil 2005 22:42
Localisation: France du haut
Haut

Re: Deux processus iexplore ?

Messagepar bouldingue » 08 Avr 2008 21:33

Et pour l'instant plus de pub!!!
je suis là pour apprendre et partager.
Avatar de l’utilisateur
bouldingue
Libellulien Junior
Libellulien Junior
 
Messages: 299
Inscription: 31 Juil 2005 22:42
Localisation: France du haut
Haut

Re: Deux processus iexplore ?

Messagepar Falkra » 08 Avr 2008 21:38

Ca venait bien de là, mais désinstaller MSN/WML n'a pas désinstallé ce "sponsor", en fait c'est prévu pour rester et casser les pieds au maximum.

Il y a toujours ça :
C:\DOCUME~1\toto\APPLIC~1\trust cake second\Sign Poke.exe

Je pense que c'est de la même infection, mais pas forcément détecté encore par l'outil.
On va envoyer le fichier aux développeurs. (manip à suivre)

Edit : c'est Trust cake second le nom.

C:\DOCUME~1\toto\APPLIC~1\trust cake second\Sign Poke.exe

Peux-tu zipper ce fichier ? (vérifie qu'il est bien dedans, après).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1
Haut

Re: Deux processus iexplore ?

Messagepar bouldingue » 08 Avr 2008 21:44

C'est "trust cake second"
Il contient 4 exe, dont le fameux sign poke.exe. Il y a aussi Okayvgatimehtm.exe, samjkrzt.exe, et SURF SOFT COAL.exe
je suis là pour apprendre et partager.
Avatar de l’utilisateur
bouldingue
Libellulien Junior
Libellulien Junior
 
Messages: 299
Inscription: 31 Juil 2005 22:42
Localisation: France du haut
Haut
Suivante
Répondre
Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités
Développé par phpBB® Forum Software © phpBB Group
Traduction par phpBB-fr.com
phpBB SEO