DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 22 Nov 2024 à 14:16 FAQ | Rechercher | Membres | Groupes

[Résolu] Spyware


Aller à la page 1, 2  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
Nex



Inscrit le: 29 Déc 2007
Messages: 24

MessagePosté le: 29 Déc 2007 à 0:55    Sujet du message: [Résolu] Spyware Répondre en citant

Voila bonjour/bonsoir à tous, de plus en plus mon pc lag , j'ai l'impression qu'il est rempli de spyware, et j'ai fais un scan avec Securitoo mon anti-virus et avec hijackthis pour voir si tout était conforme, mais je ne sais pas trop quoi faire apres avoir fais le scan et voici le resultat :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Julien\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [e4233169] rundll32.exe "C:\WINDOWS\system32\dtoqyhgu.dll",b
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [µTorrent] "C:\Program Files\uTorrent\utorrent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155119939781
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetection_2_0_4_9.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://messenger.zone.msn.com/binary/ZAxRcMgr.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - http://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{621B88D3-7DE2-4A21-8416-ADB621B40397}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{621B88D3-7DE2-4A21-8416-ADB621B40397}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{621B88D3-7DE2-4A21-8416-ADB621B40397}: NameServer = 193.252.19.3,193.252.19.4
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--


J'èspere que certain d'entre vous sont plus doué que moi en informatique ^^

Merci d'avance, super forum. 


Dernière édition par Nex le 07 Jan 2008 à 19:14; édité 1 fois 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 29 Déc 2007 à 13:02    Sujet du message: Répondre en citant

Bonjour Nex, ce log est inexploitable, il manque l'entête, hijackthis est mal placé.

Utilise ceci pour refaire un log:



- Télécharge Hijackthis V 2.02 http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

- Double clique sur HJTInstall.exe pour lancer l'installation

- Clique sur Install puis sur I Accept

- Clique sur Do a scan system and save log file

- Notepad s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse.

- Aide à l'installation: http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm (merci à brucelee) 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Nex



Inscrit le: 29 Déc 2007
Messages: 24

MessagePosté le: 29 Déc 2007 à 15:46    Sujet du message: Répondre en citant

Merci zaede voici le log :

Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 29 Déc 2007 à 18:06    Sujet du message: Répondre en citant

RE, voici la suite:




Avertissement:
Cette procédure a été écrite spécialement pour ce PC. L’utiliser sur un autre peut rendre le système instable voire inutilisable



Cette procédure peut être longue mais elle est à appliquer en entier. En cas de problèmes passe à l'étape suivante et signale-le dans ta prochaine réponse.
Si tu as des questions, n’hésite pas à les poser


1/

Enregistre la page web complète sous Internet Explorer de la façon suivante :
Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau, comme cela tu retrouveras la mise en forme. Tu peux aussi imprimer cette réponse si tu préfères.
Une partie de la procédure se déroulera en Mode sans échec sans prise en charge réseau => tu n'auras donc pas accès à Internet



2/ Télécharge et installe


- OTMoveIt (de Old_Timer) http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
- Enregistre ce fichier sur le bureau


- AVG Anti-Spyware 7.5
http://www.ewido.net/en/download/

Démarre AVG Anti-Spyware

- Clique sur Mise à jour.

La mise à jour faite, clique sur:

- Analyse

- Paramètres

Sous Comment réagir?

- Choisir Quarantaine

Sous Rapports, cocher:

- Générer un rapport après chaque analyse

- Uniquement en cas de menaces"

- Quitte AVG Anti-Spyware

**Si tu as un message "impossible de se connecter au service update", continue la procédure sans la mise à jour


- Si tu as des difficultés pour le configurer consulte ce tutorial :
http://www.malekal.com/tutorial_AVG_AntiSpyware.html#mozTocId92038


- CCleaner - Standard Build
http://www.sosordi.net/Telechargement/logiciel-147-ccleaner-standard-build
A son installation décoche la case devant Ajouter la Barre d'Outils Yahoo! CCleaner




3/ Redémarre en mode sans échec

Citation:

-Au redémarrage de ton PC tapote sur la touche F8 ou F5
-Sur l'écran suivant déplace toi avec les flèches de direction
-Choisis Mode sans échec.
-Choisis ta session et non la session Administrateur




4/Lance HijackThis

- Clique sur Do a scan system only et coche la case devant les lignes suivantes:

O4 - HKLM\..\Run: [e4233169] rundll32.exe "C:\WINDOWS\system32\mtmxohyn.dll",b


Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked



5/

- Double-clique sur OTMoveIt.exe (sur ton bureau)

- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved

Citation:

C:\WINDOWS\system32\mtmxohyn.dll



- Clique sur MoveIt! pour lancer la suppression.

- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit





6/Démarre CCleaner


- Dans Nettoyeur :

- Onglet Windows ne coche pas la case Avancé

- Onglet Applications laisse toutes les cases cochées

- Clique sur le bouton Analyse puis celle-ci fini sur Lancer le nettoyage







7/ Démarre AVG Anti-Spyware


- Clique sur Analyse

- Choisis Analyse complète du système

Le scan terminé:

- Clique sur Appliquer toutes les actions.

- Clique sur Enregistrer le rapport et Enregistrer le rapport sous

- Enregistre ce rapport sur le Bureau.



8/ Redémarre en Mode Normal et poste:


Le rapport d’AVG AntiSpyware
Un nouveau rapport HijackThis
Le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Nex



Inscrit le: 29 Déc 2007
Messages: 24

MessagePosté le: 30 Déc 2007 à 0:34    Sujet du message: Répondre en citant

Re, merci pour ton aide et voici les rapports :

AVG antivirus


+ Créé à: 23:15:37 29/12/2007

+ Résultat de l'analyse:



C:\System Volume Information\_restore{ED7FA950-6949-45A3-91BD-AFFC81107A5F}\RP341\A0086562.exe -> Backdoor.Shell : Nettoyé.
C:\System Volume Information\_restore{ED7FA950-6949-45A3-91BD-AFFC81107A5F}\RP366\A0092004.0ll -> Downloader.ConHook.hl : Nettoyé.
C:\System Volume Information\_restore{ED7FA950-6949-45A3-91BD-AFFC81107A5F}\RP366\A0092008.0ll -> Downloader.ConHook.hl : Nettoyé.
C:\System Volume Information\_restore{ED7FA950-6949-45A3-91BD-AFFC81107A5F}\RP366\A0092009.0ll -> Downloader.ConHook.hl : Nettoyé.
C:\System Volume Information\_restore{ED7FA950-6949-45A3-91BD-AFFC81107A5F}\RP366\A0092010.0ll -> Downloader.ConHook.hl : Nettoyé.
C:\System Volume Information\_restore{ED7FA950-6949-45A3-91BD-AFFC81107A5F}\RP366\A0092011.0ll -> Downloader.ConHook.hl : Nettoyé.
C:\System Volume Information\_restore{ED7FA950-6949-45A3-91BD-AFFC81107A5F}\RP366\A0092012.0ll -> Downloader.ConHook.hl : Nettoyé.
C:\System Volume Information\_restore{ED7FA950-6949-45A3-91BD-AFFC81107A5F}\RP366\A0092013.0ll -> Downloader.ConHook.hl : Nettoyé.
C:\System Volume Information\_restore{ED7FA950-6949-45A3-91BD-AFFC81107A5F}\RP366\A0092014.0ll -> Downloader.ConHook.hl : Nettoyé.
C:\System Volume Information\_restore{ED7FA950-6949-45A3-91BD-AFFC81107A5F}\RP366\A0092015.0ll -> Downloader.ConHook.hl : Nettoyé.
C:\System Volume Information\_restore{ED7FA950-6949-45A3-91BD-AFFC81107A5F}\RP366\A0092016.0ll -> Downloader.ConHook.hl : Nettoyé.
C:\System Volume Information\_restore{ED7FA950-6949-45A3-91BD-AFFC81107A5F}\RP366\A0092017.0ll -> Downloader.ConHook.hl : Nettoyé.
C:\System Volume Information\_restore{ED7FA950-6949-45A3-91BD-AFFC81107A5F}\RP366\A0092018.0ll -> Downloader.ConHook.hl : Nettoyé.
C:\WINDOWS\system32:lzx32.sys -> Hijacker.Costrat.e : Nettoyé.
:mozilla.199:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.137:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.48:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.49:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.284:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.285:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.205:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.115:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.140:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.141:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.142:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.143:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.144:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.77:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.70:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.162:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Burstnet : Nettoyé.
:mozilla.287:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.288:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.289:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.74:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.302:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
:mozilla.298:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Euroclick : Nettoyé.
:mozilla.299:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Euroclick : Nettoyé.
:mozilla.300:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Euroclick : Nettoyé.
:mozilla.301:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Euroclick : Nettoyé.
:mozilla.154:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.155:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.156:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.157:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.219:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyé.
:mozilla.220:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyé.
:mozilla.221:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyé.
:mozilla.200:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.201:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.183:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.
:mozilla.31:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Netflame : Nettoyé.
:mozilla.175:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Overture : Nettoyé.
:mozilla.311:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Ru4 : Nettoyé.
:mozilla.312:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Ru4 : Nettoyé.
:mozilla.313:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Ru4 : Nettoyé.
:mozilla.123:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.124:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.125:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.127:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.128:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.129:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.130:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.131:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.132:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.133:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.134:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.25:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.26:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.27:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.28:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.29:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.294:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Tribalfusion : Nettoyé.
:mozilla.138:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.139:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.230:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Webtrends : Nettoyé.
:mozilla.100:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.101:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.102:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.91:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.95:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.96:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.97:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.98:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.99:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.308:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Zedo : Nettoyé.
:mozilla.309:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Zedo : Nettoyé.
:mozilla.310:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\zkei8xqp.default\cookies.txt -> TrackingCookie.Zedo : Nettoyé.


Fin du rapport



OTMovelt

DllUnregisterServer procedure not found in C:\WINDOWS\system32\mtmxohyn.dll
C:\WINDOWS\system32\mtmxohyn.dll NOT unregistered.
C:\WINDOWS\system32\mtmxohyn.dll moved successfully.

Created on 12/29/2007


Hijackthis


Log supprimé




Voila pour les rapports, j'ai remarqué que le fichier mtmxohyn.dll était maintenant dans C:\_OTMovelt\MovedFiles\WINDOWS\System32 Dois-je le supprimer ?

Merci beaucoup. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 30 Déc 2007 à 2:50    Sujet du message: Répondre en citant

Bonsoir Nex, laisse OTMveIt pour l'instant, la dll est neutralisé

- Ouvre le dossier C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

- Clic droit sur hijackthis.exe

- Choisis Renommer dans le menu contextuel et renomme hijackthis.exe en nex.exe

- Double clique sur nex.exe

- Clique sur Do a scan system and save log file
Notepad s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Nex



Inscrit le: 29 Déc 2007
Messages: 24

MessagePosté le: 30 Déc 2007 à 19:05    Sujet du message: Répondre en citant

Voila :

Log supprimé

Cela sert à quoi de le renommer en nex ?

Merci de ton aide 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Aladin



Inscrit le: 22 Nov 2007
Messages: 88

MessagePosté le: 30 Déc 2007 à 23:55    Sujet du message: Répondre en citant

salut zaede,

je vous pose une question, sa ne suffit pas d'utiliser seulement AVG antispy pour éliminer tous les spy ? Shock

et es qu'on utilise toujours cette procédure pour éliminé les fichiers infectés ? Shock

merci infinément. Smile
_________________
- Tu crois qu'il y a une vie sur la lune ?
- Évidemment il y a de la lumière 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 31 Déc 2007 à 1:47    Sujet du message: Répondre en citant

Bonjour Aladin,
En réponse à ta question:
non mais une procédure est toujours adaptée à l'infection
Dans le rapport d'analyse de hijack, je n'ai aucune ligne O2-O3-O20 ce qui est significatif
Dans le rapport d4AVG.AS j'ai ConHook qui est un dérivé de vundo/virtumonde
Pour la détection, voir réponse ci-dessous


Bonjour Nex,
Pour les questions:
Renommer hijack, certains virus ou ont trouvé comme parade de se cacher de hijackthis (c'est le cas ici) en detectant le nom de l'outil de recherche.
Si tu regardes les deux rapports, tu verras apparaitre au deuxième des lignes O2 qui n'étaient pas visible au premier. Certaines de ces lignes sont les vecteurs de l'infection. On va essayer' ceci:

Télécharge et installe


- VundoFix.exe (par Atribune) sur ton bureau
http://www.atribune.org/ccount/click.php?id=4

- Double-clique VundoFix.exe afin de le lancer.

- Clique sur le bouton "Scan for Vundo"

- Lorsque le scan est complété, clique sur le bouton Remove Vundo.

- Une invite te demandera si tu veux supprimer les fichiers, clique YES

* Après avoir cliqué "Yes", le Bureau disparaitra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown");

- Clique sur OK

-Démarre ton PC à nouveau et suis les instructions si nécessaire.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "clique sur le bouton Scan for Vundo".

Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse
- Poste un nouveau rapport hijackthis 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Nex



Inscrit le: 29 Déc 2007
Messages: 24

MessagePosté le: 01 Jan 2008 à 15:28    Sujet du message: Répondre en citant

Rapport vundo :

Log supprimé




Rapport HijackThis :

Log supprimé


Voila vraiment merci pour ton aide. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Aladin



Inscrit le: 22 Nov 2007
Messages: 88

MessagePosté le: 02 Jan 2008 à 10:25    Sujet du message: Répondre en citant

Rebonjour Zaede,

j'ai un petit pbm je ponse que c'est 1 spyware qui me dérange, quand je lance CCleaner et chercher les erreurs il me donne l'erreur suivante :

Problème
ActiveX/COM Inexistant

Donnée
InprocServer32\C:\Windows\system32\dsdm.dll

Clé Registre
HKCR\CLSID\{0E8B0EAF-E018-4B4E-99A9-CBD395E051DE}

et voici le rapport de HijackThis :

Log supprimé

je voudrais réparer cette erreur

Merci d'avance
_________________
- Tu crois qu'il y a une vie sur la lune ?
- Évidemment il y a de la lumière 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Aladin



Inscrit le: 22 Nov 2007
Messages: 88

MessagePosté le: 02 Jan 2008 à 10:31    Sujet du message: Répondre en citant

Ah j'ai un point important

à chaque fois que je redémarre mon PC la résolution de mon écran revienne toujours à 1024 x 768 pixels Confused et en général la résolution je la fixe toujours à 1280 x 1024 pixels

portant le drivers de la carte graphique et bien installé (NVIDIA GeForce 7300 GT)
et pour la qualité de couleur reste belle et bien 32 bits
_________________
- Tu crois qu'il y a une vie sur la lune ?
- Évidemment il y a de la lumière 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 02 Jan 2008 à 21:09    Sujet du message: Répondre en citant

Bonjour Nex, joli paquet d'infection que tu avais. On va éradiquer les restes:


Avertissement:
Cette procédure a été écrite spécialement pour ce PC. L’utiliser sur un autre peut rendre le système instable voire inutilisable



Cette procédure peut être longue mais elle est à appliquer en entier. En cas de problèmes passe à l'étape suivante et signale-le dans ta prochaine réponse.
Si tu as des questions, n’hésite pas à les poser


1/

Enregistre la page web complète sous Internet Explorer de la façon suivante :
Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau, comme cela tu retrouveras la mise en forme. Tu peux aussi imprimer cette réponse si tu préfères.
Une partie de la procédure se déroulera en Mode sans échec sans prise en charge réseau => tu n'auras donc pas accès à Internet


2/ Redémarre en mode sans échec

Citation:

-Au redémarrage de ton PC tapote sur la touche F8 ou F5
-Sur l'écran suivant déplace toi avec les flèches de direction
-Choisis Mode sans échec.
-Choisis ta session et non la session Administrateur




3/Lance HijackThis

- Clique sur Do a scan system only et coche la case devant les lignes suivantes:

O2 - BHO: (no name) - {00A6C1F3-5010-472B-964F-5DEA8D709A19} - C:\WINDOWS\system32\ddabb.dll (file missing)
O2 - BHO: (no name) - {0C5A104A-777F-451D-A3C7-C7E990070B1E} - (no file)
O2 - BHO: (no name) - {1A0CE6C5-5A01-46E1-9778-7B2D13C066BC} - (no file)
O2 - BHO: (no name) - {470B0522-8636-4DBB-9DA2-E8A1A62F4630} - C:\WINDOWS\system32\lkrtumdg.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8E306C13-41BD-421B-B0C6-F4BF3A366FA0} - (no file)
O2 - BHO: {87a6df1e-1f2e-6c48-eb94-aa4694fb033d} - {d330bf49-64aa-49be-84c6-e2f1e1fd6a78} - C:\WINDOWS\system32\udqxrrcn.dll (file missing)
O2 - BHO: (no name) - {ECF9ABA9-66DE-4CEF-8ED5-191BD459FB2B} - (no file)
O2 - BHO: (no name) - {F9141A81-5287-4B79-B2D7-EE000503DA82} - (no file)
O4 - HKLM\..\Run: [e4233169] rundll32.exe "C:\WINDOWS\system32\jeokjsad.dll",b


Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked



4/

- Double-clique sur OTMoveIt.exe (sur ton bureau)

- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved

Citation:

C:\WINDOWS\system32\ddabb.dll
C:\WINDOWS\system32\lkrtumdg.dll
C:\WINDOWS\system32\udqxrrcn.dll
C:\WINDOWS\system32\jeokjsad.dll


- Clique sur MoveIt! pour lancer la suppression.

- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit





5/Démarre CCleaner


- Dans Nettoyeur :

- Onglet Windows ne coche pas la case Avancé

- Onglet Applications laisse toutes les cases cochées

- Clique sur le bouton Analyse puis celle-ci fini sur Lancer le nettoyage



6/ Redémarre en Mode Normal et poste:

Un nouveau rapport HijackThis
Le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles


Aladin, tu es aussi infecté. Crée un sujet ou tu mettras le log hijackthis. On ne s'en sortiras pas sinon 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Nex



Inscrit le: 29 Déc 2007
Messages: 24

MessagePosté le: 03 Jan 2008 à 19:54    Sujet du message: Répondre en citant

Rapport Hijackthis :

Log supprimé


Rapport OTmoveit :

Il y a eu aucun rapport car les fichiers n'ont pas étaient trouvés.



Merci ! 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 04 Jan 2008 à 22:01    Sujet du message: Répondre en citant

Bonjour nex, ce rapport est clean. On va passer un antivirus en ligne:



- Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (Avec Internet Explorer)

- En bas à droite clique sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

- Accepte les Contrôle ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé sauve (Choisis fichier texte) et poste le rapport

- Pour t'aider à utiliser le scan en ligne
http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

- Lis ceci en cas de problème d'installation du Contrôle ActivX:

http://cybersecurite.xooit.com/t123-Les-controles-ActiveX.htm 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2  Suivante 
Page 1 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum