DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 25 Nov 2024 à 22:50 FAQ | Rechercher | Membres | Groupes

[Résolu] Invasion virale?


 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
jblost



Inscrit le: 05 Mar 2006
Messages: 128
Localisation: paris

MessagePosté le: 18 Juil 2006 à 15:41    Sujet du message: [Résolu] Invasion virale? Répondre en citant

J'ai recu un mail d'un ami, a ce que j'ai pu comprendre, son ordi subit des ralentissements, + des messages avertissements. Voila son log, je m'y connais pas donc je laisse le soin au pro, mais ca m'a pas l'air très propre -_-


Citation:
Et voila le log H

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\vphc700.exe
C:\Program Files\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\System32\c6a6a463.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\valve\steam\steam.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpoofBHO Class - {07A78AEA-4A54-4967-9A60-4B68592D30C7} - C:\WINDOWS\se_spoof.dll
O2 - BHO: ChangerBHO Class - {0D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\bitsprx3a.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\inetloader.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: TrustIn Bar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\Program Files\trustin bar\trustin.dll
O2 - BHO: ContextualAds Class - {FE6C16C4-16AD-47B6-B250-26AD1829E49A} - C:\Program Files\TrustIn Contextual\trustincontext.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: TrustIn Bar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\Program Files\trustin bar\trustin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [phc700] C:\WINDOWS\vphc700.exe
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [c6a6a463.exe] C:\WINDOWS\System32\c6a6a463.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [c6a6a463.exe] C:\Documents and Settings\Propriétaire\Local Settings\Application Data\c6a6a463.exe
O4 - HKCU\..\Run: [Trust Cleaner] "C:\Program Files\Trust Cleaner\Trust Cleaner.exe"
O4 - HKCU\..\Run: [TrustIn Popups] "C:\Program Files\TrustIn Popups\TrustInPopups.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CE7C9C7-1DF7-4639-A692-BB20DE4DD4E0}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

_________________
nul en info Sad 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 18 Juil 2006 à 16:11    Sujet du message: Répondre en citant

bonjour jblost,

Ce log fait état de plusieurs infections cepedant il me faut l'entete pour déterminer les outils adaptés


En plus du log hijackthis complet post les rapports de blacklight et smitfraudfix



Télécharge F-Secure Blacklight SadF-Secure) https://europe.f-secure.com/blacklight/try.shtml
Un tuto: http://www.malekal.com/tutorial_f-secure_BlackLight.html
- Clic en bas sur I accept
- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
- Lance-le en double-cliquant sur le fichier blbeta.exe
- Accepte la licence, et clique enfin sur Scan puis sur next
- Poste le rapport qui a été créé sur ton bureau dans le fichier fsbl-bxxxx.log (les xxxx sont des chiffres).

/!\ NE PAS choisir l'option Rename: nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe /!\


- Télécharge smitfraudfix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* Décompresse le sur ton bureau
* lance smitfraudfix.cmd et choisis l'option 1 et Entrée
/!\ ne touches surtout pas aux autres options pour le moment /!\
* Un rapport sera généré sauvegarde le
*Quitte smitfraudfix

/!\ process.exe est détecté par certains antivirus comme étant un virus ce qui bien evidement n'est pas le cas mais un utilitaire destiné à mettre fin à des processus. /!\

Autre point important il a 2 antivirus actifs il faut en désinstaller un sinon il riesque d'y avoir des conflits 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
jblost



Inscrit le: 05 Mar 2006
Messages: 128
Localisation: paris

MessagePosté le: 18 Juil 2006 à 17:34    Sujet du message: Répondre en citant

Voila l'entete tout d'abord, on fait le reste, et on t'enverra tout ca.

Logfile of HijackThis v1.99.1
Scan saved at 17:32:56, on 18/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
_________________
nul en info Sad 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
jblost



Inscrit le: 05 Mar 2006
Messages: 128
Localisation: paris

MessagePosté le: 18 Juil 2006 à 17:50    Sujet du message: Répondre en citant

Donc voila le log F Secure.... Il a pas l'air d'avoir trouver grand chose, enfin j'y connais rien -_-

07/18/06 17:37:10 [Info]: BlackLight Engine 1.0.42 initialized
07/18/06 17:37:10 [Info]: OS: 5.1 build 2600 (Service Pack 1)
07/18/06 17:37:10 [Note]: 7019 4
07/18/06 17:37:10 [Note]: 7005 0
07/18/06 17:37:14 [Note]: 7006 0
07/18/06 17:37:14 [Note]: 7011 1928
07/18/06 17:37:14 [Note]: 7026 0
07/18/06 17:37:14 [Note]: 7026 0
07/18/06 17:37:21 [Note]: FSRAW library version 1.7.1019
07/18/06 17:40:16 [Note]: 7007 0


Et voila le rapport Smitfraud

Log supprimé







info: Norton desinstallé/ bitdefender gardé
_________________
nul en info Sad 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 18 Juil 2006 à 20:08    Sujet du message: Répondre en citant

Je te conseille d'imprimer cette procédure et de suivre l'ordre donné

si tu as des questions n'hésites pas

bon courage

- Fais un clique droit sur ce lien
UnHookExec.inf
et choisis "enregistrer sous" ou "enegistrer la cible du lien sous" suivant le navigateur employé.
*Enregistre le sur le bureau

Télécharge

- Ewido version d'évaluation http://www.ewido.net/en/download/
Un tuto http://www.malekal.com/tutorial_ewidoV4.html

* Installe le
* Mets le à jour à partir du menu update en haut
* quitte ewido

ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
Enregistre le sur le bureau

- Redémarre ton PC en mode sans échec Impératif !!!
Citation:

Au démarrage de l'ordinateur "tapotte" la touche F8 ou F5 de ton clavier jusqu'à ce que les options de démarrage apparaissent.
A l'aide des touches de ton clavier descend jusque Mode sans echec puis valide par la touche [entrée]


dans le panneaux de config > ajout suppression de programme recherche et désinstalle
trustcleaner
TrustIn (tout ce qui y fait référence)


Fais un clique droit sur le fichier UnHookExec.inf et choisis "installer"


* Ouvre le dossier SmitfraudFix
* Double clic sur SmitfraudFix.cmd choisis l'option 2 et Entrée
* Réponds O (oui) à Voulez-vous nettoyer le registre ?

* Si cette question t'est posée
* Réponds n(Non) à Corriger le fichier infecté ?
* Un rapport sera généré sauvegarde le
*Quitte smitfraudfix


Relances Hijackthis (scanner seulement ou do a system scan only)

Coche les cases devant ces lignes

O2 - BHO: SpoofBHO Class - {07A78AEA-4A54-4967-9A60-4B68592D30C7} - C:\WINDOWS\se_spoof.dll
O2 - BHO: ChangerBHO Class - {0D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\bitsprx3a.dll
O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\inetloader.dll
O2 - BHO: TrustIn Bar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\Program Files\trustin bar\trustin.dll
O2 - BHO: ContextualAds Class - {FE6C16C4-16AD-47B6-B250-26AD1829E49A} - C:\Program Files\TrustIn Contextual\trustincontext.dll
O3 - Toolbar: TrustIn Bar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\Program Files\trustin bar\trustin.dll
O4 - HKLM\..\Run: [c6a6a463.exe] C:\WINDOWS\System32\c6a6a463.exe
O4 - HKCU\..\Run: [c6a6a463.exe] C:\Documents and Settings\Propriétaire\Local Settings\Application Data\c6a6a463.exe
O4 - HKCU\..\Run: [Trust Cleaner] "C:\Program Files\Trust Cleaner\Trust Cleaner.exe"
O4 - HKCU\..\Run: [TrustIn Popups] "C:\Program Files\TrustIn Popups\TrustInPopups.exe"

Clique sur Fixer objet ou fix checked




- Autorise l'affichage des fichiers et dossiers cachés

Citation:

- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Coche Afficher les Fichiers et dossiers cachés
- Décoche Masquer les fichiers protégés du système d'exploitation
- Décoche Masquer les extensions dont le type est connu
- clique sur Appliquer et Ok pour valider les changements



- Démarrer, Exécuter, et tape (ou copier/coller):
regsvr32 /u C:\WINDOWS\inetloader.dll
et valider par Ok
Recommence l'opération avec
regsvr32 /u C:\WINDOWS\system32\bitsprx3a.dll
et valider par Ok
puis
regsvr32 /u C:\WINDOWS\se_spoof.dll
et valider par Ok


- Recherche et supprime

/!\
Attention: Certain fichier portent le même nom mais localisés dans des dossiers différents mais sont légitimes. Ne supprime que ceux indiqués dans l'emplacement indiqué
/!\


Ces fichiers

C:\WINDOWS\se_spoof.dll
C:\WINDOWS\system32\bitsprx3a.dll
C:\WINDOWS\inetloader.dll
C:\WINDOWS\vphc700.exe
C:\WINDOWS\System32\c6a6a463.exe
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\c6a6a463.exe
ces dossiers

C:\Program Files\Trust Cleaner
C:\Program Files\TrustIn Popups
C:\Program Files\trustin bar
C:\Program Files\TrustIn Contextual


Lance ATF-Cleaner :

Coche ceci :
* Windows Temp
* Current User Temp
* All Users Temp
* Cookies
* Temporary Internet Files
* Prefetch
* Java Cache
* Recycle Bin


Clique sur Empty Selected et au message "Done Cleaning" sur Ok


- Lance ewido et clic sur l'onglet Scanner en haut
* Clique "Complete System Scan"
* le scan fini clique sur Apply All Actions
* Clique sur Save Report puis sur Save Report As
* Enregistre ce fichier .txt sur ton bureau.
* quitte Ewido


- Redémarre en mode normal


-Fais un scan en ligne ici avec Internet explorer http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
Un tuto http://www.malekal.com/scan_Av_en_ligne.html

* A la fin du scan sauvegarde et fais un copier coller du rapport d'analyse dans ta prochaine réponse


Dans ton prochain message poste

Le rapport Ewido
le rapport de smitfraudfix
Le rapport d'analyse du scan en ligne
Un Nouveau log hijackthis (fais en mode normal) 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
jblost



Inscrit le: 05 Mar 2006
Messages: 128
Localisation: paris

MessagePosté le: 18 Juil 2006 à 22:25    Sujet du message: Répondre en citant

Bon voila le bilan:


Pour le log hijackthis , il m'a tout supprimé sans probleme apparent.




Pour les regsvr32, rien n'est trouvé par la machine.

Pour les fichiers à supprimer, certains sont introuvables, je suppose qu'ils ont été déja banni grace hija. J'ai donc eu uniquement a supprimer:

C:\WINDOWS\vphc700.exe
C:\WINDOWS\System32\c6a6a463.exe

Pas de soucis pour la supression.



Voici le log smitfraud:
Log supprimé

______________________________________________________


Voici le rapport ewido:

ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 21:51:02 18/07/2006

+ Scan result:



C:\WINDOWS\system32\klpifnjf.dll -> Adware.Agent : Cleaned with backup (quarantined).

C:\Program Files\Softwin\BitDefender Free Edition\Infected\trustinbar[1].exe -> Adware.Azesearch : Cleaned with backup (quarantined).

C:\Program Files\Hijackthis Version Française\backups\backup-20060408-191209-213.dll -> Adware.BookedSpace : Cleaned with backup (quarantined).

C:\Program Files\Softwin\BitDefender Free Edition\Infected\EQBranch.exe -> Adware.PurityScan : Cleaned with backup (quarantined).

C:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20060408-191208-731.dll -> Downloader.Dyfuca.eg : Cleaned with backup (quarantined).

C:\WINDOWS\ѕуstem32\javaw.exe -> Downloader.PurityScan.w : Cleaned with backup (quarantined).

C:\Program Files\Softwin\BitDefender Free Edition\Infected\mxd[2].exe -> Downloader.Small.cwj : Cleaned with backup (quarantined).

C:\WINDOWS\mxd.exe -> Downloader.Small.cwj : Cleaned with backup (quarantined).

C:\Program Files\Hijackthis Version Française\backups\backup-20060718-203702-539.dll -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\Program Files\Softwin\BitDefender Free Edition\Infected\ticads[1].exe -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\Program Files\Softwin\BitDefender Free Edition\Infected\tse[1].exe -> Downloader.Small.ddp : Cleaned with backup (quarantined).

C:\WINDOWS\ms0530308-4000.exe -> Downloader.VB.tw : Cleaned with backup (quarantined).

C:\WINDOWS\sms112x.exe -> Downloader.VB.tw : Cleaned with backup (quarantined).

C:\Program Files\Softwin\BitDefender Free Edition\Infected\tctool[1].exe -> Downloader.WarSpy.d : Cleaned with backup (quarantined).

:mozilla.169:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.52:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Atdmt : Cleaned.

:mozilla.34:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Bluestreak : Cleaned.

:mozilla.31:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned.

:mozilla.126:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Estat : Cleaned.

:mozilla.107:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.108:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.109:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.110:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.111:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.112:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.148:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Hotlog : Cleaned.

:mozilla.65:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Mediaplex : Cleaned.

:mozilla.180:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Sexcounter : Cleaned.

:mozilla.181:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Sexcounter : Cleaned.

:mozilla.53:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.54:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.55:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.149:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Spylog : Cleaned.

:mozilla.19:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.

:mozilla.10:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.

:mozilla.11:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.

:mozilla.12:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.

:mozilla.152:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Yadro : Cleaned.

:mozilla.153:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Yadro : Cleaned.

:mozilla.139:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.

:mozilla.140:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.

:mozilla.141:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.

C:\Program Files\Softwin\BitDefender Free Edition\Infected\123.456 -> Trojan.Dialer.pw : Cleaned with backup (quarantined).

C:\Program Files\Hijackthis Version Française\backups\backup-20060408-180412-578.inf -> Trojan.NetChg.a : Cleaned with backup (quarantined).

C:\Program Files\Hijackthis Version Française\backups\backup-20060408-180412-976.inf -> Trojan.NetChg.a : Cleaned with backup (quarantined).

C:\WINDOWS\uni_eh.exe -> Trojan.VB.tg : Cleaned with backup (quarantined).

C:\WINDOWS\unin101.exe -> Trojan.VB.tg : Cleaned with backup (quarantined).


::Report end





Voici le rapport de scan en ligne par Panda:


Incident Statut Analyse

Spyware:Cookie/Searchportal No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\qhs1t4im.default\cookies.txt[searchportal.information.com/]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Propriétaire\Bureau\jb\l2mfix\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Propriétaire\Bureau\jb\l2mfix.exe[l2mfix/Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Propriétaire\Bureau\jb\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix.zip[SmitfraudFix/Process.exe]



Voici le log hija effectué a la fin:

Log supprimé


Voila pour ou on en est mon pote et moi pour le moment. Merci encore de ton aide si précieuse pour tous Wink
_________________
nul en info Sad 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 18 Juil 2006 à 23:25    Sujet du message: Répondre en citant

Salut,

reste cette ligne a fixer en mode sans echec

O4 - HKLM\..\Run: [phc700] C:\WINDOWS\vphc700.exe


et ce fichier a supprimer C:\WINDOWS\vphc700.exe

sinon le reste est ok.

Apres avoir fait ca précise si il reste des problèmes et détail les symptomes

En même temps comment se fait il que l2mfix etait présent ? Il a été utilisé ? 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 18 Juil 2006 à 23:30    Sujet du message: Répondre en citant

petit apostrophe

serait il possible que vous m'expédiez ce fichier
enfin si vous le voulez bien) pour que je puisse effectuer quelques tests

c:\windows\ALCMTR.EXE

il faudra le compresser avant (histoire de palier aux alertes d'antivirus concernant les .exe)
à cette adresse

Laurent[at]cfasi.net

en remplacant [at] par @ bien sur.

Merci 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
jblost



Inscrit le: 05 Mar 2006
Messages: 128
Localisation: paris

MessagePosté le: 19 Juil 2006 à 7:59    Sujet du message: Répondre en citant

Donc c'est fait, voila le nouveau log hija au cas ou:

Log supprimé


Sinon, plus de symptome apparent (les symptomes apparraissaient pendant la naviguation par internet explorer avec des pages intempestives de spy et adware Ou par des infections de ces derniers dans google. Le message d'avertissement à l'entrée d'internet explorer n'est plus présent.)

Pour le fichier que tu veux, on essaiera de t'envoyer ca dans la journée.

En tout les cas merci encore de ton aide.

Jblost


Ps: reste le meme probleme que moi d'ailleur, mettre par defaut internet mozilla dans wanadoo -_-
_________________
nul en info Sad 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 19 Juil 2006 à 13:43    Sujet du message: Répondre en citant

Salut,

Le log est propre et si les symptomes ont disparus je pense que c'est OK

tu peux si tu le souhaites et par mesure de précaution refaire un scan en ligne


Au passage et avant que j'oubli
supprime les utilitaires spécifiques tel que Smitfraudfix, F_secure blacklight)

ATFcleaner peut etre gardé et utilisé régulièrement pour nettoyer les caches et fichiers inutiles

ewido est en version d'evaluation 30 jours apres quoi il te sera toujours possible de l'utiliser mais tu ne disposeras plus de la protection résidente ni des mises a jour automatique il faudra donc le faire manuellement ainsi que le scan. Tu as dans le tuto les démarches à suivre.

Concernant wanadoo le mieux est de supprimer le kit de connexion et parametrer manuellement la connexion. Cela te permettra de gagner en ressource mémoire et te permettras d'utiliser firefox par defaut sans souci

Pour ce suis les indications données sur ce lien apres avoir désinstallé le kit de connexion wanadoo
http://www.amula.asso.fr/site/article.php?id_article=61

Bonne continuation 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
jblost



Inscrit le: 05 Mar 2006
Messages: 128
Localisation: paris

MessagePosté le: 20 Juil 2006 à 19:34    Sujet du message: Répondre en citant

Ok pour la connection inernet, c'est le premier truc que j'avais fait, moi je cherchais à mettr firefox par défaut dans le fameux "espace wanadoo" mais ca sert a rien, c'est plus simple de refaire une nouvelle connection je m'en tiendrais la.


Et du coup j'ai oublié de t'envoyer l'application que tu voulais, on t'envoie ca.

Merci pour ton aide.


jblost
_________________
nul en info Sad 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
mickael44
Administrateur


Inscrit le: 05 Juin 2005
Messages: 5837
Localisation: Rennes / Ille Et Vilaine

MessagePosté le: 20 Juil 2006 à 19:42    Sujet du message: Répondre en citant

Et bien, problème résolu Smile

N'hésite pas à revenir !!! 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 20 Juil 2006 à 20:28    Sujet du message: Répondre en citant

J'ai reçu le fichier.

Merci


Je vais pouvoir regarder de plus près ce qu'il a dans le ventre.

Bonne continuation 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
 
Page 1 sur 1 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum