| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
jblost
Inscrit le: 05 Mar 2006
Messages: 128
Localisation: paris
|
 Posté le: 18 Juil 2006 à 15:41 Sujet du message: [Résolu] Invasion virale? |
 |
|
J'ai recu un mail d'un ami, a ce que j'ai pu comprendre, son ordi subit des ralentissements, + des messages avertissements. Voila son log, je m'y connais pas donc je laisse le soin au pro, mais ca m'a pas l'air très propre -_-
| Citation: |
Et voila le log H
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\vphc700.exe
C:\Program Files\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\System32\c6a6a463.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\valve\steam\steam.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpoofBHO Class - {07A78AEA-4A54-4967-9A60-4B68592D30C7} - C:\WINDOWS\se_spoof.dll
O2 - BHO: ChangerBHO Class - {0D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\bitsprx3a.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\inetloader.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: TrustIn Bar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\Program Files\trustin bar\trustin.dll
O2 - BHO: ContextualAds Class - {FE6C16C4-16AD-47B6-B250-26AD1829E49A} - C:\Program Files\TrustIn Contextual\trustincontext.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: TrustIn Bar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\Program Files\trustin bar\trustin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [phc700] C:\WINDOWS\vphc700.exe
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [c6a6a463.exe] C:\WINDOWS\System32\c6a6a463.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [c6a6a463.exe] C:\Documents and Settings\Propriétaire\Local Settings\Application Data\c6a6a463.exe
O4 - HKCU\..\Run: [Trust Cleaner] "C:\Program Files\Trust Cleaner\Trust Cleaner.exe"
O4 - HKCU\..\Run: [TrustIn Popups] "C:\Program Files\TrustIn Popups\TrustInPopups.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CE7C9C7-1DF7-4639-A692-BB20DE4DD4E0}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
|
_________________
nul en info  |
|
| Revenir en haut de page |
|
 |
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 18 Juil 2006 à 16:11 Sujet du message: |
|
|
bonjour jblost,
Ce log fait état de plusieurs infections cepedant il me faut l'entete pour déterminer les outils adaptés
En plus du log hijackthis complet post les rapports de blacklight et smitfraudfix
Télécharge F-Secure Blacklight F-Secure) https://europe.f-secure.com/blacklight/try.shtml
Un tuto: http://www.malekal.com/tutorial_f-secure_BlackLight.html
- Clic en bas sur I accept
- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
- Lance-le en double-cliquant sur le fichier blbeta.exe
- Accepte la licence, et clique enfin sur Scan puis sur next
- Poste le rapport qui a été créé sur ton bureau dans le fichier fsbl-bxxxx.log (les xxxx sont des chiffres).
/!\ NE PAS choisir l'option Rename: nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe /!\
- Télécharge smitfraudfix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* Décompresse le sur ton bureau
* lance smitfraudfix.cmd et choisis l'option 1 et Entrée
/!\ ne touches surtout pas aux autres options pour le moment /!\
* Un rapport sera généré sauvegarde le
*Quitte smitfraudfix
/!\ process.exe est détecté par certains antivirus comme étant un virus ce qui bien evidement n'est pas le cas mais un utilitaire destiné à mettre fin à des processus. /!\
Autre point important il a 2 antivirus actifs il faut en désinstaller un sinon il riesque d'y avoir des conflits |
|
| Revenir en haut de page |
|
|
jblost
Inscrit le: 05 Mar 2006
Messages: 128
Localisation: paris
|
| Posté le: 18 Juil 2006 à 17:34 Sujet du message: |
|
|
Voila l'entete tout d'abord, on fait le reste, et on t'enverra tout ca.
Logfile of HijackThis v1.99.1
Scan saved at 17:32:56, on 18/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
_________________
nul en info |
|
| Revenir en haut de page |
|
|
jblost
Inscrit le: 05 Mar 2006
Messages: 128
Localisation: paris
|
| Posté le: 18 Juil 2006 à 17:50 Sujet du message: |
|
|
Donc voila le log F Secure.... Il a pas l'air d'avoir trouver grand chose, enfin j'y connais rien -_-
07/18/06 17:37:10 [Info]: BlackLight Engine 1.0.42 initialized
07/18/06 17:37:10 [Info]: OS: 5.1 build 2600 (Service Pack 1)
07/18/06 17:37:10 [Note]: 7019 4
07/18/06 17:37:10 [Note]: 7005 0
07/18/06 17:37:14 [Note]: 7006 0
07/18/06 17:37:14 [Note]: 7011 1928
07/18/06 17:37:14 [Note]: 7026 0
07/18/06 17:37:14 [Note]: 7026 0
07/18/06 17:37:21 [Note]: FSRAW library version 1.7.1019
07/18/06 17:40:16 [Note]: 7007 0
Et voila le rapport Smitfraud
Log supprimé
info: Norton desinstallé/ bitdefender gardé
_________________
nul en info |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 18 Juil 2006 à 20:08 Sujet du message: |
|
|
Je te conseille d'imprimer cette procédure et de suivre l'ordre donné
si tu as des questions n'hésites pas
bon courage
- Fais un clique droit sur ce lien
UnHookExec.inf
et choisis "enregistrer sous" ou "enegistrer la cible du lien sous" suivant le navigateur employé.
*Enregistre le sur le bureau
Télécharge
- Ewido version d'évaluation http://www.ewido.net/en/download/
Un tuto http://www.malekal.com/tutorial_ewidoV4.html
* Installe le
* Mets le à jour à partir du menu update en haut
* quitte ewido
ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
Enregistre le sur le bureau
- Redémarre ton PC en mode sans échec Impératif !!!
| Citation: |
Au démarrage de l'ordinateur "tapotte" la touche F8 ou F5 de ton clavier jusqu'à ce que les options de démarrage apparaissent.
A l'aide des touches de ton clavier descend jusque Mode sans echec puis valide par la touche [entrée]
|
dans le panneaux de config > ajout suppression de programme recherche et désinstalle
trustcleaner
TrustIn (tout ce qui y fait référence)
Fais un clique droit sur le fichier UnHookExec.inf et choisis "installer"
* Ouvre le dossier SmitfraudFix
* Double clic sur SmitfraudFix.cmd choisis l'option 2 et Entrée
* Réponds O (oui) à Voulez-vous nettoyer le registre ?
* Si cette question t'est posée
* Réponds n(Non) à Corriger le fichier infecté ?
* Un rapport sera généré sauvegarde le
*Quitte smitfraudfix
Relances Hijackthis (scanner seulement ou do a system scan only)
Coche les cases devant ces lignes
O2 - BHO: SpoofBHO Class - {07A78AEA-4A54-4967-9A60-4B68592D30C7} - C:\WINDOWS\se_spoof.dll
O2 - BHO: ChangerBHO Class - {0D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\bitsprx3a.dll
O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\inetloader.dll
O2 - BHO: TrustIn Bar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\Program Files\trustin bar\trustin.dll
O2 - BHO: ContextualAds Class - {FE6C16C4-16AD-47B6-B250-26AD1829E49A} - C:\Program Files\TrustIn Contextual\trustincontext.dll
O3 - Toolbar: TrustIn Bar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\Program Files\trustin bar\trustin.dll
O4 - HKLM\..\Run: [c6a6a463.exe] C:\WINDOWS\System32\c6a6a463.exe
O4 - HKCU\..\Run: [c6a6a463.exe] C:\Documents and Settings\Propriétaire\Local Settings\Application Data\c6a6a463.exe
O4 - HKCU\..\Run: [Trust Cleaner] "C:\Program Files\Trust Cleaner\Trust Cleaner.exe"
O4 - HKCU\..\Run: [TrustIn Popups] "C:\Program Files\TrustIn Popups\TrustInPopups.exe"
Clique sur Fixer objet ou fix checked
- Autorise l'affichage des fichiers et dossiers cachés
| Citation: |
- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Coche Afficher les Fichiers et dossiers cachés
- Décoche Masquer les fichiers protégés du système d'exploitation
- Décoche Masquer les extensions dont le type est connu
- clique sur Appliquer et Ok pour valider les changements
|
- Démarrer, Exécuter, et tape (ou copier/coller):
regsvr32 /u C:\WINDOWS\inetloader.dll
et valider par Ok
Recommence l'opération avec
regsvr32 /u C:\WINDOWS\system32\bitsprx3a.dll
et valider par Ok
puis
regsvr32 /u C:\WINDOWS\se_spoof.dll
et valider par Ok
- Recherche et supprime
/!\ Attention: Certain fichier portent le même nom mais localisés dans des dossiers différents mais sont légitimes. Ne supprime que ceux indiqués dans l'emplacement indiqué
/!\
Ces fichiers
C:\WINDOWS\se_spoof.dll
C:\WINDOWS\system32\bitsprx3a.dll
C:\WINDOWS\inetloader.dll
C:\WINDOWS\vphc700.exe
C:\WINDOWS\System32\c6a6a463.exe
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\c6a6a463.exe
ces dossiers
C:\Program Files\Trust Cleaner
C:\Program Files\TrustIn Popups
C:\Program Files\trustin bar
C:\Program Files\TrustIn Contextual
Lance ATF-Cleaner :
Coche ceci :
* Windows Temp
* Current User Temp
* All Users Temp
* Cookies
* Temporary Internet Files
* Prefetch
* Java Cache
* Recycle Bin
Clique sur Empty Selected et au message "Done Cleaning" sur Ok
- Lance ewido et clic sur l'onglet Scanner en haut
* Clique "Complete System Scan"
* le scan fini clique sur Apply All Actions
* Clique sur Save Report puis sur Save Report As
* Enregistre ce fichier .txt sur ton bureau.
* quitte Ewido
- Redémarre en mode normal
-Fais un scan en ligne ici avec Internet explorer http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
Un tuto http://www.malekal.com/scan_Av_en_ligne.html
* A la fin du scan sauvegarde et fais un copier coller du rapport d'analyse dans ta prochaine réponse
Dans ton prochain message poste
Le rapport Ewido
le rapport de smitfraudfix
Le rapport d'analyse du scan en ligne
Un Nouveau log hijackthis (fais en mode normal) |
|
| Revenir en haut de page |
|
|
jblost
Inscrit le: 05 Mar 2006
Messages: 128
Localisation: paris
|
| Posté le: 18 Juil 2006 à 22:25 Sujet du message: |
|
|
Bon voila le bilan:
Pour le log hijackthis , il m'a tout supprimé sans probleme apparent.
Pour les regsvr32, rien n'est trouvé par la machine.
Pour les fichiers à supprimer, certains sont introuvables, je suppose qu'ils ont été déja banni grace hija. J'ai donc eu uniquement a supprimer:
C:\WINDOWS\vphc700.exe
C:\WINDOWS\System32\c6a6a463.exe
Pas de soucis pour la supression.
Voici le log smitfraud:
Log supprimé
______________________________________________________
Voici le rapport ewido:
ewido anti-spyware - Scan Report
---------------------------------------------------------
+ Created at: 21:51:02 18/07/2006
+ Scan result:
C:\WINDOWS\system32\klpifnjf.dll -> Adware.Agent : Cleaned with backup (quarantined).
C:\Program Files\Softwin\BitDefender Free Edition\Infected\trustinbar[1].exe -> Adware.Azesearch : Cleaned with backup (quarantined).
C:\Program Files\Hijackthis Version Française\backups\backup-20060408-191209-213.dll -> Adware.BookedSpace : Cleaned with backup (quarantined).
C:\Program Files\Softwin\BitDefender Free Edition\Infected\EQBranch.exe -> Adware.PurityScan : Cleaned with backup (quarantined).
C:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20060408-191208-731.dll -> Downloader.Dyfuca.eg : Cleaned with backup (quarantined).
C:\WINDOWS\ѕуstem32\javaw.exe -> Downloader.PurityScan.w : Cleaned with backup (quarantined).
C:\Program Files\Softwin\BitDefender Free Edition\Infected\mxd[2].exe -> Downloader.Small.cwj : Cleaned with backup (quarantined).
C:\WINDOWS\mxd.exe -> Downloader.Small.cwj : Cleaned with backup (quarantined).
C:\Program Files\Hijackthis Version Française\backups\backup-20060718-203702-539.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).
C:\Program Files\Softwin\BitDefender Free Edition\Infected\ticads[1].exe -> Downloader.Small.ddp : Cleaned with backup (quarantined).
C:\Program Files\Softwin\BitDefender Free Edition\Infected\tse[1].exe -> Downloader.Small.ddp : Cleaned with backup (quarantined).
C:\WINDOWS\ms0530308-4000.exe -> Downloader.VB.tw : Cleaned with backup (quarantined).
C:\WINDOWS\sms112x.exe -> Downloader.VB.tw : Cleaned with backup (quarantined).
C:\Program Files\Softwin\BitDefender Free Edition\Infected\tctool[1].exe -> Downloader.WarSpy.d : Cleaned with backup (quarantined).
:mozilla.169:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.
:mozilla.52:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Atdmt : Cleaned.
:mozilla.34:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Bluestreak : Cleaned.
:mozilla.31:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned.
:mozilla.126:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Estat : Cleaned.
:mozilla.107:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.
:mozilla.108:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.
:mozilla.109:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.
:mozilla.110:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.
:mozilla.111:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.
:mozilla.112:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.
:mozilla.148:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Hotlog : Cleaned.
:mozilla.65:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Mediaplex : Cleaned.
:mozilla.180:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Sexcounter : Cleaned.
:mozilla.181:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Sexcounter : Cleaned.
:mozilla.53:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.
:mozilla.54:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.
:mozilla.55:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.
:mozilla.149:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Spylog : Cleaned.
:mozilla.19:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.
:mozilla.10:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.
:mozilla.11:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.
:mozilla.12:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.
:mozilla.152:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Yadro : Cleaned.
:mozilla.153:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Yadro : Cleaned.
:mozilla.139:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.
:mozilla.140:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.
:mozilla.141:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.
C:\Program Files\Softwin\BitDefender Free Edition\Infected\123.456 -> Trojan.Dialer.pw : Cleaned with backup (quarantined).
C:\Program Files\Hijackthis Version Française\backups\backup-20060408-180412-578.inf -> Trojan.NetChg.a : Cleaned with backup (quarantined).
C:\Program Files\Hijackthis Version Française\backups\backup-20060408-180412-976.inf -> Trojan.NetChg.a : Cleaned with backup (quarantined).
C:\WINDOWS\uni_eh.exe -> Trojan.VB.tg : Cleaned with backup (quarantined).
C:\WINDOWS\unin101.exe -> Trojan.VB.tg : Cleaned with backup (quarantined).
::Report end
Voici le rapport de scan en ligne par Panda:
Incident Statut Analyse
Spyware:Cookie/Searchportal No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt[searchportal.information.com/]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Propriétaire\Bureau\jb\l2mfix\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Propriétaire\Bureau\jb\l2mfix.exe[l2mfix/Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Propriétaire\Bureau\jb\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Voici le log hija effectué a la fin:
Log supprimé
Voila pour ou on en est mon pote et moi pour le moment. Merci encore de ton aide si précieuse pour tous 
_________________
nul en info |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 18 Juil 2006 à 23:25 Sujet du message: |
|
|
Salut,
reste cette ligne a fixer en mode sans echec
O4 - HKLM\..\Run: [phc700] C:\WINDOWS\vphc700.exe
et ce fichier a supprimer C:\WINDOWS\vphc700.exe
sinon le reste est ok.
Apres avoir fait ca précise si il reste des problèmes et détail les symptomes
En même temps comment se fait il que l2mfix etait présent ? Il a été utilisé ? |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 18 Juil 2006 à 23:30 Sujet du message: |
|
|
petit apostrophe
serait il possible que vous m'expédiez ce fichier
enfin si vous le voulez bien) pour que je puisse effectuer quelques tests
c:\windows\ALCMTR.EXE
il faudra le compresser avant (histoire de palier aux alertes d'antivirus concernant les .exe)
à cette adresse
Laurent[at]cfasi.net
en remplacant [at] par @ bien sur.
Merci |
|
| Revenir en haut de page |
|
|
jblost
Inscrit le: 05 Mar 2006
Messages: 128
Localisation: paris
|
| Posté le: 19 Juil 2006 à 7:59 Sujet du message: |
|
|
Donc c'est fait, voila le nouveau log hija au cas ou:
Log supprimé
Sinon, plus de symptome apparent (les symptomes apparraissaient pendant la naviguation par internet explorer avec des pages intempestives de spy et adware Ou par des infections de ces derniers dans google. Le message d'avertissement à l'entrée d'internet explorer n'est plus présent.)
Pour le fichier que tu veux, on essaiera de t'envoyer ca dans la journée.
En tout les cas merci encore de ton aide.
Jblost
Ps: reste le meme probleme que moi d'ailleur, mettre par defaut internet mozilla dans wanadoo -_-
_________________
nul en info |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 19 Juil 2006 à 13:43 Sujet du message: |
|
|
Salut,
Le log est propre et si les symptomes ont disparus je pense que c'est OK
tu peux si tu le souhaites et par mesure de précaution refaire un scan en ligne
Au passage et avant que j'oubli
supprime les utilitaires spécifiques tel que Smitfraudfix, F_secure blacklight)
ATFcleaner peut etre gardé et utilisé régulièrement pour nettoyer les caches et fichiers inutiles
ewido est en version d'evaluation 30 jours apres quoi il te sera toujours possible de l'utiliser mais tu ne disposeras plus de la protection résidente ni des mises a jour automatique il faudra donc le faire manuellement ainsi que le scan. Tu as dans le tuto les démarches à suivre.
Concernant wanadoo le mieux est de supprimer le kit de connexion et parametrer manuellement la connexion. Cela te permettra de gagner en ressource mémoire et te permettras d'utiliser firefox par defaut sans souci
Pour ce suis les indications données sur ce lien apres avoir désinstallé le kit de connexion wanadoo
http://www.amula.asso.fr/site/article.php?id_article=61
Bonne continuation |
|
| Revenir en haut de page |
|
|
jblost
Inscrit le: 05 Mar 2006
Messages: 128
Localisation: paris
|
| Posté le: 20 Juil 2006 à 19:34 Sujet du message: |
|
|
Ok pour la connection inernet, c'est le premier truc que j'avais fait, moi je cherchais à mettr firefox par défaut dans le fameux "espace wanadoo" mais ca sert a rien, c'est plus simple de refaire une nouvelle connection je m'en tiendrais la.
Et du coup j'ai oublié de t'envoyer l'application que tu voulais, on t'envoie ca.
Merci pour ton aide.
jblost
_________________
nul en info |
|
| Revenir en haut de page |
|
|
mickael44
Administrateur
Inscrit le: 05 Juin 2005
Messages: 5837
Localisation: Rennes / Ille Et Vilaine
|
| Posté le: 20 Juil 2006 à 19:42 Sujet du message: |
|
|
Et bien, problème résolu 
N'hésite pas à revenir !!! |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 20 Juil 2006 à 20:28 Sujet du message: |
|
|
J'ai reçu le fichier.
Merci
Je vais pouvoir regarder de plus près ce qu'il a dans le ventre.
Bonne continuation |
|
| Revenir en haut de page |
|
|
Ajouter à : 
|
|
Ce que nous vous conseillons :
