| ||||||||
Astucienne | Bonjour à tous,
Voici mon problème :
Suite à virus et spyware, j'ai effectué toutes les manipulations conseillées par Chercheur dans son sujet "Pré-nettoyage d'un PC infecté".
Comme demandé, je vous transmets le rapport Hijackthis, afin que ma machine soit propre. A priori, je ne constate rien d'anormal, mais je suis sure que tout n'est pas clean
D'avance, je remercie les pros qui se pencheront sur mon rapport
Logfile of HijackThis v1.99.1
Scan saved at 18:56:11, on 06/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSN Apps\Updater\\01.02.0002.1001\fr\msnappau.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Outils FAID\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B4CBB70A-9E15-41CE-76B9-7B955CF88F7E} - (no file)
O2 - BHO: (no name) - {E1635019-31F1-2439-ADD5-A8E604F13EAC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\\01.01.2607.0\fr\msntb.dll
O3 - Toolbar: (no name) - {2CDE1A7D-A478-4291-BF31-E1B4C16F92EB} - (no file)
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [TopSearch] C:\Program Files\TopSearch\TopSearch.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [cBqtRhJEP] chkpxmib.exe
O4 - HKCU\..\Run: [Evidence Eliminator] C:\Program Files\Evidence Eliminator\ee.exe /m
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099318035234
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://acces-direct.net/15671/Marine-La-diabloteen.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_FR_XP.cab
O16 - DPF: {BAB3E70B-A847-4A88-ACFC-778FCCC00287} (CActSetupObj Object) - http://www.odysseusmarketing.com/actsetup.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplay.com/cabs/msway44.cab
O16 - DPF: {FDE6B956-B80A-4578-9A10-4C24609412F1} - http://access.gamesplayground.com/output/100067/fr/fullgames/fullgames.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2FF7892-4609-4AF5-90B0-6D70D666D5AA}: NameServer = 192.168.0.254,212.27.39.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci
| |||||||
Publicité | ||||||||
| ||||||||
Astucien | Bonsoir Chm56
Tu n'as pas sauvegardÚ le rapport Ewido?
***********
TÚlÚcharge [url="http://www.f-secure.com/blacklight/try.shtml"]Blacklight[/url] (de F-Secure) et sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activÚ; clique Scan puis Next
Tu verras une liste de fichiers dÚtectÚs appara¯tre. Tu verras Úgalement un rapport, sur ton Bureau, nommÚ fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine rÚponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers lÚgitimes peuvent Ûtre prÚsents, tel wbemtest.exe
A+ | |||||||
Astucienne | Bonsoir Ananda,
Excuse, j'Útais en rÚunion
Voici un condensÚ du rapport Ewido, je ne peux pas le mettre dans son intÚgralitÚ, car il est beaucoup trop long
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ CrÚÚ le: 09:59:50, 05/06/2006
+ Somme de contr¶le: 10FBCD20
+ RÚsultats du scan:
HKLM\SOFTWARE\AkSoft -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\.Support -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\.Support\AOL.EXE -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\.Support\EXPLORER.EXE -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\.Support\IEXPLORE.EXE -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\.Support\MOZILLA.EXE -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\.Support\NETSCP.EXE -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\.Support\NETSCP6.EXE -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\.Support\OPERA.EXE -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\.Support\WAOL.EXE -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\.Support\YBROWSER.EXE -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\.Target -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\a -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\a\a -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\a\a\a -> Adware.AkSoft : Nettoyer et sauvegarder
..................
..................
HKLM\SOFTWARE\AkSoft\[\[\y -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\[\[\z -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\AkSoft\[\[\[ -> Adware.AkSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\actsetup.ActSetupObj -> Adware.Odysseus : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\actsetup.ActSetupObj\CLSID -> Adware.Odysseus : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\actsetup.ActSetupObj\CurVer -> Adware.Odysseus : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\actsetup.ActSetupObj.1 -> Adware.Odysseus : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\AtlControl.AtlCtrl -> Adware.HotBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\AtlControl.AtlCtrl\CLSID -> Adware.HotBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\AtlControl.AtlCtrl\CurVer -> Adware.HotBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\AtlControl.AtlCtrl.1 -> Adware.HotBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Adware.WebRebates : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DisplayUtility -> Adware.Delfin : Nettoyer et sauvegarder
HKLM\SOFTWARE\PerfectNav -> Adware.KeenValue : Nettoyer et sauvegarder
HKLM\SOFTWARE\skin -> Adware.Delfin : Nettoyer et sauvegarder
HKLM\SYSTEM\CurrentControlSet\Services\delprot -> Adware.iSearch : Nettoyer et sauvegarder
HKLM\SYSTEM\CurrentControlSet\Services\delprot\Security -> Adware.iSearch : Nettoyer et sauvegarder
HKLM\SYSTEM\CurrentControlSet\Services\delprot\Enum -> Adware.iSearch : Nettoyer et sauvegarder
HKU\S-1-5-21-515967899-920026266-1343024091-1003\Software\Bundles -> Adware.SecondThought : Nettoyer et sauvegarder
HKU\S-1-5-21-515967899-920026266-1343024091-1003\Software\intexp -> Adware.IEPlugin : Nettoyer et sauvegarder
HKU\S-1-5-21-515967899-920026266-1343024091-1003\Software\intexp\Config -> Adware.IEPlugin : Nettoyer et sauvegarder
HKU\S-1-5-21-515967899-920026266-1343024091-1003\Software\intexp\MyFileSystem2 -> Adware.IEPlugin : Nettoyer et sauvegarder
HKU\S-1-5-21-515967899-920026266-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00027925-0017-4FAF-9539-90E4AC0B9EC5} -> Adware.IEPlugin : Nettoyer et sauvegarder
HKU\S-1-5-21-515967899-920026266-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E1412445-4FF8-410E-8D24-F2CF86B171A4} -> Adware.Generic : Nettoyer et sauvegarder
[1656] C:\Program Files\TopSearch\TopSearch.dll -> Adware.TopSearch : Erreur durant le nettoyage
[1768] C:\Program Files\TopSearch\TopSearch.dll -> Adware.TopSearch : Erreur durant le nettoyage
[3716] C:\Program Files\TopSearch\TopSearch.dll -> Adware.TopSearch : Erreur durant le nettoyage
C:\Documents and Settings\All Users\Application Data\wsxs\patchme.exe -> Adware.DelphinMediaViewer : Nettoyer et sauvegarder
C:\mp3.exe -> Dialer.Conok.a : Nettoyer et sauvegarder
C:\Program Files\mp3\mp3.exe -> Dialer.Conok.a : Nettoyer et sauvegarder
C:\Program Files\PerfectNav -> Adware.PerfectNav : Nettoyer et sauvegarder
C:\Program Files\PerfectNav\BHO -> Adware.PerfectNav : Nettoyer et sauvegarder
C:\Program Files\TopSearch\\__delete_on_reboot__TopSearch.dll -> Adware.TopSearch : Nettoyer et sauvegarder
C:\WINDOWS\isrvs\isearch.xpi/chrome/isearch.jar/content/isearch/isearch.js -> Adware.ISearch : Nettoyer et sauvegarder
C:\WINDOWS\system32\ca.dll -> Adware.SearchIt : Nettoyer et sauvegarder
C:\WINDOWS\system32\xnuoixnc.exe -> Proxy.Agent.l : Nettoyer et sauvegarder
::Fin du rapport
----------------------------------------------
Je tÚlÚcharge Blacklight et suis tes instructions.
Merci et Ó trÞs bient¶t
| |||||||
Astucienne | Re Ananda,
problÞme Ó l'exÚcution de Blacklight, il me dit :
"F-secure Blacklight could not acquire necessary privileges (SeDebugPrivilege)
- Your computer settings may prevent acquiring these privileges
- a malicious program might have disabled these privileges"
J'ai pas tout compris, mais y-a un malicious qui a dÚsactivÚ des droits ! Le coquin !
Quels droits ??? et de quel droit !
Blague Ó part, comment puis-je y remÚdier ?
| |||||||
Astucien | re
Le p'etit malicious et o¨ il se cache.
Il y avait du monde.
C'est la premiÚre fois que Blacklight me fais se blocage?
ce qui m'intÚrresse dans le raport Ewido
c'est "erreur durant le nettoyage"
s'il y en a d'autres dans le rapport Ewido tu me les donnes.
[1656] C:\Program Files\TopSearch\TopSearch.dll -> Adware.TopSearch : Erreur durant le nettoyage
[1768] C:\Program Files\TopSearch\TopSearch.dll -> Adware.TopSearch : Erreur durant le nettoyage
[3716] C:\Program Files\TopSearch\TopSearch.dll -> Adware.TopSearch : Erreur durant le nettoyage
*************
Tu peux dÚjÓ
via ajout/suppression des programmes
dÚsinstallÚ TopSearch
et supprimes le dossier (en gras)
C:\Program Files\TopSearch
*************
Poste un nouveau rapport hijackthis
A+ | |||||||
Astucienne | Aussit¶t dit, presque fait :
je n'ai pas trouvÚ Topsearch dans c:\program files
Par contre, il n'y a pas d'autre erreur dans le rapport Ewido. Les lignes que j'ai enlevÚes concernent toutes Adware.AkSoft .
Rapport hijackthis :
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSN Apps\Updater\\01.02.0002.1001\fr\msnappau.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Outils FAID\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B4CBB70A-9E15-41CE-76B9-7B955CF88F7E} - (no file)
O2 - BHO: (no name) - {E1635019-31F1-2439-ADD5-A8E604F13EAC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\\01.01.2607.0\fr\msntb.dll
O3 - Toolbar: (no name) - {2CDE1A7D-A478-4291-BF31-E1B4C16F92EB} - (no file)
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [cBqtRhJEP] chkpxmib.exe
O4 - HKCU\..\Run: [Evidence Eliminator] C:\Program Files\Evidence Eliminator\ee.exe /m
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liÚes - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099318035234
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://acces-direct.net/15671/Marine-La-diabloteen.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_FR_XP.cab
O16 - DPF: {BAB3E70B-A847-4A88-ACFC-778FCCC00287} (CActSetupObj Object) - http://www.odysseusmarketing.com/actsetup.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplay.com/cabs/msway44.cab
O16 - DPF: {FDE6B956-B80A-4578-9A10-4C24609412F1} - http://access.gamesplayground.com/output/100067/fr/fullgames/fullgames.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2FF7892-4609-4AF5-90B0-6D70D666D5AA}: NameServer = 192.168.0.254,212.27.39.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci Ananda | |||||||
Astucien | re
Je regarderai ton rapport que demain, je fatigue.
Il y a des choses Ó virer. [bigsmile]
********
Si tu n'as pas sommeil,
je vois que tu utilise le scan en ligne de panda.
Fais en un et poste le .
A demain | |||||||
Astucienne | tout Ó fait d'accord avec toi, Ananda.[dormir]
Fais de beaux rÞves, demain est un autre jour
A+ | |||||||
Astucienne | Bonjour,
Bon, j'ai fait un scan en ligne avec Kaspersky qui n'a rien trouvÚ, puis avec Panda (il a fallu que je dÚsactive Avast), Panda qui n'a pas trouvÚ grand chose, mais je ne trouve plue le rapport.
Puis Ewido
Etant donnÚ que j'ai fait un peu de nettoyage, je mets un nouveau rapport Hijackthis.
Logfile of HijackThis v1.99.1
Scan saved at 17:35:06, on 07/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSN Apps\Updater\\01.02.0002.1001\fr\msnappau.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Outils FAID\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B4CBB70A-9E15-41CE-76B9-7B955CF88F7E} - (no file)
O2 - BHO: (no name) - {E1635019-31F1-2439-ADD5-A8E604F13EAC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\\01.01.2607.0\fr\msntb.dll
O3 - Toolbar: (no name) - {2CDE1A7D-A478-4291-BF31-E1B4C16F92EB} - (no file)
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [cBqtRhJEP] chkpxmib.exe
O4 - HKCU\..\Run: [Evidence Eliminator] C:\Program Files\Evidence Eliminator\ee.exe /m
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liÚes - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099318035234
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://acces-direct.net/15671/Marine-La-diabloteen.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_FR_XP.cab
O16 - DPF: {BAB3E70B-A847-4A88-ACFC-778FCCC00287} (CActSetupObj Object) - http://www.odysseusmarketing.com/actsetup.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplay.com/cabs/msway44.cab
O16 - DPF: {FDE6B956-B80A-4578-9A10-4C24609412F1} - http://access.gamesplayground.com/output/100067/fr/fullgames/fullgames.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2FF7892-4609-4AF5-90B0-6D70D666D5AA}: NameServer = 192.168.0.254,212.27.39.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci d'avance pour tous vos conseils | |||||||
Astucienne | Up,
svp j'ai besoin d'aide. [pleurer]
Merci d'avance | |||||||
Astucien | Bonjour
C'est plut¶t bon signe tout þa.
Je regarde ton rapport
A+ | |||||||
Astucien | Bonjour Chm56
Des restes d'infections il me semble.
O4 - HKCU\..\Run: [cBqtRhJEP] chkpxmib.exe
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\
rien de mÚchant je pense, vu que les autres scans ne rÚvÚlent rien.
Plut¶t pour amÚliorer les performances de ton PC.
****************
* Lance HijackThis pour un scan Scan seulement (Do a system scan only)
Puis coche les lignes suivantes en gras dans HijackThis
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B4CBB70A-9E15-41CE-76B9-7B955CF88F7E} - (no file)
O2 - BHO: (no name) - {E1635019-31F1-2439-ADD5-A8E604F13EAC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\\\\01.01.2607.0\fr\msntb.dll
O3 - Toolbar: (no name) - {2CDE1A7D-A478-4291-BF31-E1B4C16F92EB} - (no file)
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\\\\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [cBqtRhJEP] chkpxmib.exe
O4 - HKCU\..\Run: [Evidence Eliminator] C:\Program Files\Evidence Eliminator\ee.exe /m
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liÚes - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099318035234
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://acces-direct.net/15671/Marine-La-diabloteen.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_FR_XP.cab
O16 - DPF: {BAB3E70B-A847-4A88-ACFC-778FCCC00287} (CActSetupObj Object) - http://www.odysseusmarketing.com/actsetup.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplay.com/cabs/msway44.cab
O16 - DPF: {FDE6B956-B80A-4578-9A10-4C24609412F1} - http://access.gamesplayground.com/output/100067/fr/fullgames/fullgames.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2FF7892-4609-4AF5-90B0-6D70D666D5AA}: NameServer = 192.168.0.254,212.27.39.1
O18 - Protocol: MSNim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
* Fermer toutes les fenÛtres Windows, .....sauf le logiciel HijackThis et clique sur Fixer l'objet
*************
* Assure toi d'avoir accÞs Ó tous les fichiers
- DÚmarrer / Poste de travail ou autre dossier / Menu outils / Option des dossiers / onglet Affichage :
- Activer la case : Afficher les fichiers et dossiers cachÚs
- DÚsactiver la case : Masquer les extensions des fichiers dont le type est connu
- DÚsactiver la case : Masquer les fichiers protÚgÚs du systÞme d'exploitation
Puis: "Appliquer" / Cliquer sur "appliquer Ó tous les dossiers" / cliquer sur "ok"
* et Supprime le(s) fichiers(s) ou dossier(s) en gras ci-dessous si il(s) est (sont) prÚsent(s) :
chkpxmib.exe <<<<< Probablement dans C:\WINDOWS\System32\
* Dans l'Explorateur Windows recache les fichiers systÞme afin de ne pas faire d'erreur Ó l'avenir
Retourne Ó la fenÛtre /Options des dossiers / Affichage/paramÚtres avancÚs
- coches ---Ne pas afficher les fichiers et dossiers cachÚs---
-coches ---Masquer les fichiers protÚgÚs du systÚme d'exploitation
Puis: "Appliquer" / Cliquer sur "appliquer Ó tous les dossiers" / cliquer sur "ok
*************
Supprime Blacklight
************
Poste un nouveau rapport Hijackthis.
A+
Modifié par Ananda le 10/06/2006 09:38 | |||||||
Astucienne | Hello Ananda,
Me voici au rapport :
- Probleme lors du Fix de HJT sur les lignes 04
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
error 52 (Bad file name or number) in Sub GetlongPath(?exe)
- Je n'ai pas trouvÚ le pgm chkpxmib.exe, mÛme en utilisant la fonction recherche avancÚe.
- Rapport HJT beaucoup plus succint :
Logfile of HijackThis v1.99.1
Scan saved at 17:22:42, on 08/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Outils FAID\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B4CBB70A-9E15-41CE-76B9-7B955CF88F7E} - (no file)
O2 - BHO: (no name) - {E1635019-31F1-2439-ADD5-A8E604F13EAC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\\01.01.2607.0\fr\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liÚes - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099318035234
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2FF7892-4609-4AF5-90B0-6D70D666D5AA}: NameServer = 192.168.0.254,212.27.39.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
je voudrai bien que ma machine soit propre maintenant, mais il ne faut pas vendre la peau du virus avant de l'avoir tuÚ ![boom]
Je suis donc prÛte Ó faire toutes les manips conseillÚes.
| |||||||
Astucien | Bonsoir
As-tu bien cochÚ ces deux lignes avec Hijackthis?
O2 - BHO: (no name) - {B4CBB70A-9E15-41CE-76B9-7B955CF88F7E} - (no file)
O2 - BHO: (no name) - {E1635019-31F1-2439-ADD5-A8E604F13EAC} - (no file)
Bizarre qu'elles soient encore lÓ, relance hijackthis coche ces lignes et fixe.
Sinon le reste du rapport est correct.
**********
Fais un scan en ligne avec [url="http://webscanner.kaspersky.fr/kavwebscan.html"]Kaspersky WebScanner[/url]
Clique sur "j'acceptes" , on t'explique la marche Ó suivre , et pour lancer le scan il faut sÚlectionner "ExÚcuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
On va te demander de tÚlÚcharger un cont¶le active x, accepte .
Dans le menu "Choisissez la cible de l'analyse" , sÚlectionne "Poste de travail".
Le scan va commencer.Enregistres et postes le rapport stp.
**********
A+ | |||||||
Astucienne | Bonsoir Ananda,
j'ai bien cochÚ les 2 lignes, je l'ai mÛme fait en mode sans Úchec, elles sont toujours lÓ !!
Je lance Kaspersky en ligne et te donne le rÚsultat dÞs que possible : malheureusement, je suis absente ce soir, je t'envoie le rÚsultat dÞs que je rentre.
Eh oui, il fait beau en Bretagne, alors on en profite.[birthday]
En tout cas, merci et bon appÚtit Ó tous
Et Ó trÞs bient¶t[hello] | |||||||
Astucien | Bonjour Chm56
Tu as raison profites,
j'attends de voir tes prochains rapports, mais je ne trouve rien concernat ces deux lignes, donc c'est pas encore fini.
A+ Modifié par Ananda le 09/06/2006 09:15 | |||||||
Astucienne | Bonjour Ananda,
J'ai bien fait d'en profiter : lorsque je suis rentrÚe, Kaspersky affichait 22 virus !
InfectÚ: Email-Worm.Win32.NetSky.d ignorÚ
...
J'ai donc telechargÚ FxNetsky.exe de symantec et, il n'a rien trouvÚ !
Ce matin, j'ai nettoyÚ tous les comptes de messageries Outlook Express. Il n'y a plus aucun message. J'ai fait un scan en ligne sur Panda : il ne trouve rien !
Je vais relancer un scan Kaspersky et te donner le rapport.
Je suis trÞs tentÚe par un rechargement du systÞme, cela permettrait d'Ûtre s¹r de la machine. Cependant, j'ai peur car il y a 2 partitions, la seconde Útant les donnÚes : 9 Go Ó sauvegarder.
Je sais qu'il est possible de rechargez sans toucher Ó cette partition, mais je crains une fausse manip
Qu'en penses-tu ?
Merci de tes conseils et de ta patience...
| |||||||
Astucien | re
On a dÚjÓ fait pas mal de mÚnage, cela serait dommage de rÚinstaller;
Le fait que ces deux lignes 02 sont encore prÚsentes et le blocage de Blacklight,
me font penser qu'il reste quelque chose, mais il n'y a pas de raison pour ne pas les avoir.
Colle ton rapport de scan et un nouveau rapport Hijackthis
A+ Modifié par Ananda le 09/06/2006 12:12 | |||||||
Astucienne | Chm56 au rapport !
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
vendredi 9 juin 2006 13:41:40
SystÞme d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
DerniÞre mise Ó jour de la base antivirus Kaspersky : 9/06/2006
Enregistrements dans la base antivirus Kaspersky : 199415
-------------------------------------------------------------------------------
ParamÞtres d'analyse:
Analyser avec la base antivirus suivante: Útendue
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
Statistiques de l'analyse:
Total d'objets analysÚs 65551 Nombre de virus trouvÚs: 2 Nombre d'objets infectÚs: 3 Nombre d'objets suspects: 0 DurÚe de l'analyse: 00:56:00 Nom de l'objet infectÚ / Nom du virus / DerniÞre action C:\WINDOWS\system32\81ciq4hr.ini InfectÚ: not-a-virus:AdWare.Win32.Sahat.ao ignorÚ D:\Identities\{0CC25020-F7B5-11D5-89B7-444553540000}\Microsoft\Outlook Express\Bo¯te de rÚception.dbx/[From hainry <hhainry@wanadoo.fr>][Date Tue, 29 Jan 2002 04:28:24 +0100]/pouvez.pif InfectÚ: Email-Worm.Win32.Magistr.b ignorÚ D:\Identities\{0CC25020-F7B5-11D5-89B7-444553540000}\Microsoft\Outlook Express\Bo¯te de rÚception.dbx Mail MS Outlook 5: infectÚ - 1 ignorÚ Analyse terminÚe. ------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 13:44:08, on 09/06/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Outils FAID\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {B4CBB70A-9E15-41CE-76B9-7B955CF88F7E} - (no file) O2 - BHO: (no name) - {E1635019-31F1-2439-ADD5-A8E604F13EAC} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\\01.01.2607.0\fr\msntb.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Pages liÚes - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099318035234 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C2FF7892-4609-4AF5-90B0-6D70D666D5AA}: NameServer = 192.168.0.254,212.27.39.1 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe VoilÓ Ananda, Ó toi de "jouer" ! Et merci | |||||||
Astucien | Chm56
CrÚÚ un fichier Bloc Notes avec le texte qui se trouve dans le cadre ci-dessous (copie/colle)
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B4CBB70A-9E15-41CE-76B9-7B955CF88F7E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B4CBB70A-9E15-41CE-76B9-7B955CF88F7E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E1635019-31F1-2439-ADD5-A8E604F13EAC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E1635019-31F1-2439-ADD5-A8E604F13EAC}]
-dans le menu "Fichier" : une liste apparait=>
-Choisis "Enregistrer sous" et choisis "Bureau"
-Dans le champs "Nom du fichier" en bas de page donne le nom suivant:amort.reg
-Dans le champs "Type" en bas de page ,choisis: tous les fichiers
-ensuite cliquer sur le bouton "Enregistrer" Ó droite du champs "nom du fichier"
-quitter le Bloc Notes. ne clique pas sur le fichier maintenant!
-Une fois que tu as crÚÚ ton fichier reg, son ic¶ne doit ressembler Ó ceci=> [img]http://img89.imageshack.us/img89/3627/fichierreg7bs.gif[/img]si ce n'est pas le cas il faut recommencer!
RedÚmarre en "mode sans Úchec"
-Clique sur le fichier amort.reg pour qu'il s'exÚcute.Un message te demandera la fusion,accepte.Elimine le fichier reg.
***************
Supprime ces fichiers (en gras) .
C:\WINDOWS\system32\81ciq4hr.ini
D:\Identities\{0CC25020-F7B5-11D5-89B7-444553540000}\Microsoft\Outlook Express\Bo¯te de rÚception.dbx/[From hainry <hhainry@wanadoo.fr>][Date Tue, 29 Jan 2002 04:28:24 +0100]/pouvez.pif
D:\Identities\{0CC25020-F7B5-11D5-89B7-444553540000}\Microsoft\Outlook Express\Bo¯te de rÚception.dbx Mail MS Outlook 5
****************
RedÚmarre ton PC
TÚlÚcharge Ó nouveau [url="http://www.f-secure.com/blacklight/try.shtml"]Blacklight[/url] (de F-Secure) et sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activÚ; clique Scan puis Next
Tu verras une liste de fichiers dÚtectÚs appara¯tre. Tu verras Úgalement un rapport, sur ton Bureau, nommÚ fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine rÚponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers lÚgitimes peuvent Ûtre prÚsents, tel wbemtest.exe
***********
VÚrifie que les lignes 02 est bien disparues dans hijackthis.
A+Modifié par Ananda le 10/06/2006 11:41 | |||||||
Astucienne | [hello]Ananda
J'ai donc sessayÚ de suivre tes instructions, mais, comment fais-tu pour supprimer les fichiers de la boite de rÚception OE ?
J'ai trouvÚ le fichier 81ciq4hr.exe sous c:\Windows, faut-il le supprimer ?
Blacklight ne s'exÚcute toujours pas et met le mÛme message d'erreur :
F-secure Blacklight could not acquire necessary privileges (SeDebugPrivilege).
- Your computer settings may prevent acquiring these privileges
- A malicious program might have disabled these privileges
Sinon, les lignes sont toujours prÚsentes dans HJT :
Logfile of HijackThis v1.99.1
Scan saved at 12:12:45, on 10/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Outils FAID\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B4CBB70A-9E15-41CE-76B9-7B955CF88F7E} - (no file)
O2 - BHO: (no name) - {E1635019-31F1-2439-ADD5-A8E604F13EAC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\\01.01.2607.0\fr\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liÚes - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099318035234
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2FF7892-4609-4AF5-90B0-6D70D666D5AA}: NameServer = 192.168.0.254,212.27.39.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
J'ai tÚlÚchargÚ A-squared free qui a trouvÚ et nettoyÚ.
D'autre part, je viens de dÚcouvrir que les ports USB en faþade ne fonctionnent pas. Mais ceci est un autre problÞme...
Chic, y-en avait pas assez !
En tout cas, merci, je reste Ó l'Úcoute | |||||||
Astucien | re
j'ai modifiÚ mon message au dessus, tu n'as pas d¹ le voir.
Tu peux supprimer 81ciq4hr.exe
mais avant pour la recherche antimalware.
Rends-toi Ó ces deux adresses
http://secubox.gateweb.org/mad.php
et
http://siri.urz.free.fr/upload/
Clique sur parcourir et va jusqu'Ó
C:\WINDOWS\system\81ciq4hr.exe
et upload le fichier infectÚ. STP
**********
Pour la boite de reception tu suis le chemin et tu dois pouvoir supprimer les fichiers citÚs.
************
Tu vas reprendre la manip au-dessus avec
CrÚÚ un fichier Bloc Notes avec le texte qui se trouve dans le cadre ci-dessous (copie/colle)
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B4CBB70A-9E15-41CE-76B9-7B955CF88F7E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B4CBB70A-9E15-41CE-76B9-7B955CF88F7E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E1635019-31F1-2439-ADD5-A8E604F13EAC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E1635019-31F1-2439-ADD5-A8E604F13EAC}]
-dans le menu "Fichier" : une liste apparait=>
-Choisis "Enregistrer sous" et choisis "Bureau"
-Dans le champs "Nom du fichier" en bas de page donne le nom suivant:amort.reg
-Dans le champs "Type" en bas de page ,choisis: tous les fichiers
-ensuite cliquer sur le bouton "Enregistrer" Ó droite du champs "nom du fichier"
-quitter le Bloc Notes. ne clique pas sur le fichier maintenant!
-Une fois que tu as crÚÚ ton fichier reg, son ic¶ne doit ressembler Ó ceci=> [img]http://img89.imageshack.us/img89/3627/fichierreg7bs.gif[/img]si ce n'est pas le cas il faut recommencer!
RedÚmarre en "mode sans Úchec"
-Clique sur le fichier amort.reg pour qu'il s'exÚcute.Un message te demandera la fusion,accepte.Elimine le fichier reg.
*************
* Lance HijackThis pour un scan Scan seulement (Do a system scan only)
Puis coche les lignes suivantes en gras dans HijackThis
O2 - BHO: (no name) - {B4CBB70A-9E15-41CE-76B9-7B955CF88F7E} - (no file)
O2 - BHO: (no name) - {E1635019-31F1-2439-ADD5-A8E604F13EAC} - (no file)
* Fermer toutes les fenÛtres Windows, .....sauf le logiciel HijackThis et clique sur Fixer l'objet
*************
RedÚmarre ton pc
Ensuite
PriÞre d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de dÚbuter.
TÚlÚcharge [url="http://www.atribune.org/ccount/click.php?id=7"]Look2Me-Destroyer.exe[/url] (par Atribune) sur ton Bureau.
* Ferme toutes les fenÛtres actives avant de passer Ó l'Útape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
* Il se relancera aprÞs la minute, puis clique sur le bouton Scan for L2M; les ic¶nes de ton Bureau vont dispara¯tre : c'est normal.
* Lorsque le scan termine, clique sur le bouton Remove L2M
* Un message Done Scanning appara¯tra, clique OK.
* Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
* Ton PC va maintenant s'Úteindre.
* DÚmarre ton PC normalement.
#Si Look2Me-Destroyer ne se relance pas automatiquement aprÞs la minute, redÚmarre et essaie Ó nouveau.
************
Et Ússaie de relancer Blacklight.
ensuite
* Colle le rapport gÚnÚrÚ (Look2Me-Destroyer.txt), situÚ sur le Bureau, ainsi qu'un nouveau rapport HijackThis!
et Blacklight.
A+ | |||||||
Astucienne | Re Ananda,
Logfile of HijackThis v1.99.1
Scan saved at 14:44:40, on 10/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Outils FAID\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B4CBB70A-9E15-41CE-76B9-7B955CF88F7E} - (no file)
O2 - BHO: (no name) - {E1635019-31F1-2439-ADD5-A8E604F13EAC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\\01.01.2607.0\fr\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liÚes - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099318035234
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2FF7892-4609-4AF5-90B0-6D70D666D5AA}: NameServer = 192.168.0.254,212.27.39.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
--------------------------------------
Look2Me-Destroyer V1.0.12
Scanning for infected files.....
Scan started at 10/06/2006 14:11:08
Attempting to delete infected files...
Making registry repairs.
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{209AC308-0D58-466F-BB0D-9288C7183EAC}"
HKCR\Clsid\{209AC308-0D58-466F-BB0D-9288C7183EAC}
Restoring Windows certificates.
Replaced hosts file with default windows hosts file
Restoring SeDebugPrivilege for Administrateurs - Succeeded
-----------------------------------------------------
[fete]Blacklight fonctionne, mais il n'a rien trouvÚ !
- Quant aux fichiers OE, j'arrive bien jusqu'au rÚpertoire OE dans lequel il y a "Boite de reception.dbx". Comment fait-on pour aller plus loin et supprimer ce que tu m'as dit
Quand j'ouvre OE, il n'y a plus de messages ni recs, ni envoyÚs, ni supprimÚs, i brouillons, et ce, sur les 2 identitÚs existantes
[boom]
NB : j'ai bien envoyÚ le fichier pour la lutte antimalware | |||||||
Astucien | re
Tu peux supprimer Look2Me-Destroyer V1.0.12
qui a supprimer des traces de look2me , ce qui a permis d'utiliser Blacklight,
s'il ne trouve rien c'est bon signe, tu peux Úgalement supprimer Blacklight.
********
Pour
"Boite de reception.dbx"
Si tu double clique dessus?
**********
Si la manip avec amort.reg c'est bien dÚrouler, et qu'elles sont encore prÚsentes, on va utiliser autre chose.
Tu peux supprimer amort.reg
**********
TÚlÚcharger et installer
[url="http://www.resplendence.com/registrar"]Registrar Lite version 2.00[/url]
Double-cliquer l'ic¶ne violet "Registrar Lite" prÚsent sur le bureau.
Copier la ligne ci-dessous et la coller dans le champ "Address" (situÚ en haut) du programme:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
*Cliquer le bouton "Go" .
*du c¶tÚ droit il chargera tous tes BHO (on ne voit qu'un lot de "nombres")
*clique un fois sur la clÚ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
dans la panneau de gauche.Elle va se surligner en bleu.
* vas dans le menu "File" et sÚlectionne "Export". Dans la fenÛtre qui s'ouvre, dans "Enregistrer dans" choisis le Bureau.
Dans "Nom de Fichier",met le nom "savbho" et clique sur "enregistrer".
*dans le panneau de droite , rechercher les entrÚs suivantes :
{B4CBB70A-9E15-41CE-76B9-7B955CF88F7E}
{E1635019-31F1-2439-ADD5-A8E604F13EAC}
*Cliquer-droit sur chacun et choisir Properties
*Cliquer sur le bouton "Permissions" : une nouvelle fenÛtre va s'ouvrir .
*Cliquer sur le bouton "ParamÞtres avancÚs"
*Cocher la case: 'HÚrite de l'objet parents les entrÚes d'autorisation...'
*Cliquer "OK", "OK" encore et cliquer-droit sur chacun des BHO suivants:
{B4CBB70A-9E15-41CE-76B9-7B955CF88F7E}
{E1635019-31F1-2439-ADD5-A8E604F13EAC}
*Choisir "delete".
*Quitter Registrar Lite.
Re-dÚmarrer le PC et poster un nouveau rapport HijackThis.
Note:je t'ai fait effectuer une sauvegarde de la clÚ avant d'y faire les modifications.Si tout fonctionne bien tu pourra l'Úliminer. Dans le cas contraire(fausse manip) tu pourras la restaurer en double cliquant dessus.
*************
A+
| |||||||
Astucienne | Re,
- Lorsque je clique sur "boite de rÚception" d'OE, il me demande de "choisir le programme Ó utiliser pour ouvrir"....
- Quel programme faut-il que je tÚlÚcharge sur la page [url]http://www.resplendence.com/downloads[/url]
Registrar Registry Manager version 4.02
ou
Registrar for the Command Line version 2.00 ?
A+ | |||||||
Astucienne | Re Ananda,
Bon, j'ai tÚlÚchargÚ la version 4.01, effectuÚ la sauvegarde d'un extrait de la base de registre, comme indiquÚ.
Par contre, le clic droit ne me donne pas accÞs au parametre "propriÚtÚsÚ, il est grisÚ.
J'ai donc effectuÚ les manips directement par regedit, puis un Hijackthis, dans lequel j'ai fixÚ les 2 lignes 02-BHO qui nous empoisonnent et voilÓ le rÚsultat [fete]
Logfile of HijackThis v1.99.1
Scan saved at 17:53:42, on 10/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Outils FAID\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\\01.01.2607.0\fr\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liÚes - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O12 - Plugin for .utils[1]: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099318035234
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2FF7892-4609-4AF5-90B0-6D70D666D5AA}: NameServer = 192.168.0.254,212.27.39.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Qu'en penses-tu, est-ce que þa commencerait Ó devenir bon ? [bierre]
Je suppose qu'il reste encore des tests Ó faire...
A+ | |||||||
Astucien | re
Ces deux lignes 02 ont enfin disparues.......[birthday]
Je pense que c'est pas mal, il n'y a plus qu'Ó faire une vÚrification avec Kaspersky puisqu'il n'y a que lui qui trouve
encore quelque chose.
Ton dernier rapport hijackthis est clean.
Il te faudrait installer un pare-feu, tu peux faire un tour dans ma signature (en vert).
A+ | |||||||
Astucienne | Bonsoir Ananda,
Mais j'ai mis un parefeu : kerio personnal, d'ailleurs, pour les scan en ligne de Panda et Kaspersky, je suis obligÚe de dÚsactiver Avast et Kerio.
Pendant le diner,j'ai fait un scan en ligne avec Panda : tout est OK
Je viens de lancer Kaspersky et aprÞs [fete] [bierre]
[langue] On a eu du mal, mais grÔce Ó toi [smack], la machine semble propre.
Je posterai le rÚsultat de Kaspersky
[merci] et A+ | |||||||
Astucienne | [trinquer3]
Kaspersky n'a rien trouvÚ !!!
Ouf, je vais pouvoir [dormir]
Un grand merci Ó toi Ananda et bonne soirÚe
A+ | |||||||
Astucien | Bonjour
Super, content pour toi.
Il y a des infections trÚs tenaces en ce moment [boom]
A Tchao [hello] Modifié par Ananda le 11/06/2006 10:38 | |||||||
|
Les bons plans du moment PC Astuces | Tous les Bons Plans | ||||||||||||||||||
|