Bonjour... rapport Hijackis... PC infecté

phmt · le 20 juillet 2006

Bonjour... Monisur medicus33 m'a dit que c'etait ici qu'il fallait montrer son rapport Hijackis, pour un coup de main....

Mon premier post

et voici le rapport

Logfile of HijackThis v1.99.1

Scan saved at 08:16:50, on 20/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Acer\eManager\anbmServ.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Arcade\PCMService.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\acer\epm\epm-dm.exe

C:\Program Files\Launch Manager\QtZgAcer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\alggx.exe

C:\Program Files\Fichiers communs\SmartCom\RTEGPRS.exe

C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Hijackthis\HijackThis.exe

C:\WINDOWS\system32\notepad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: (no name) - {C7996D90-B975-4C22-C342-61FEE09B8CF3} - C:\DOCUME~1\darty\APPLIC~1\EQFILE~1\Global Pop.exe (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WellPhone DirectSync - ScheduleSync] C:\PROGRA~1\WELLPH~1\SCHEDU~1.EXE

O4 - HKLM\..\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto

O4 - HKLM\..\Run: [winlog] winlog.exe

O4 - HKLM\..\Run: [NI.UERSV_0001_N68M0602] "C:\Documents and Settings\darty\Local Settings\Temporary Internet Files\Content.IE5\49UR8DA7\ErrorSafeScannerInstall_fr[1].exe" -nag

O4 - HKLM\..\Run: [Tray log load bash] C:\Documents and Settings\All Users\Application Data\TypeEqTrayLog\Math Junk.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [algxxs] C:\WINDOWS\alggx.exe

O4 - HKLM\..\RunServices: [winlog] winlog.exe

O4 - HKCU\..\Run: [RTEGPRS] "C:\Program Files\Fichiers communs\SmartCom\RTEGPRS.exe" tray

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\darty\APPLIC~1\ELSEPL~1\AXISNEW.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab

O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/PackageHtmlCab.CAB

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://pilou1980.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.wisup.net/_plateforme/Upload/Au...eUploader35.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: MsgPlusLoader.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

J'ai desintallé antivir comme convenu, est ce que je peux le reinstaller tout de suite, je n'aime pas trop être "à poil" sur la toile.

tornado · le 20 juillet 2006

Bonjour phmt,

Médicus avait raison, ton pc est bien infecté...

Je prépare une procédure de désinfection, réponse dans 15-20 min environ

A+ :-P

PS: Pour antivir, réinstalle-le tout de suite, avant même d'appliquer la procédure

Modifié le 20 juillet 2006 par tornado

tornado · le 20 juillet 2006

Re,

Au cas où tu n'aurais pas vu, j'ai édité mon dernier post, afin que tu puisses installer Antivir :-P

Désolé d'avoir pas tenu ma promesse... j'ai pas pu te répondre en raison de problèmes de connexion :-P

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver :-(

Autre solution : Tu peux également copier la procédure dans un fichier texte (avec la visiblité en moins), ou bien même l'imprimer (si tu as de l'encre à "gaspiller" )

======================================================================

Etape 1 : Téléchargement / installation des outils nécessaires

=> Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a)

- Ewido anti-malware --> http://www.ewido.net/en/download/

-- Pour commencer, installe Ewido en suivant les instructions données par le logiciel

-- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

-- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

-- Ferme Ewido. Ne pas le lancer tout de suite.

- Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html

- Lopremover --> http://clairvoyant.p2pforum.it/tools/lopremover.zip (dézippe le dans un répertoire dédié; NE LE LANCE PAS TOUT DE SUITE)

- Starter --> http://telechargement.zebulon.fr/185-starter.html

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page)

Etape 2 : Redémarrage en mode sans échec

On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication :

- Redémarre l'ordinateur normalement pour commencer. Ensuite, au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

- Le tuto si tu bloques sur quelque chose => http://www.informatruc.com/mode_sans_echec.php

Etape 3 : Utilisation d'Hijackthis/Suppression des lignes infectieuses

- Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) :

O2 - BHO: (no name) - {C7996D90-B975-4C22-C342-61FEE09B8CF3} - C:\DOCUME~1\darty\APPLIC~1\EQFILE~1\Global Pop.exe (file missing

O4 - HKLM\..\Run: [winlog] winlog.exe

O4 - HKLM\..\Run: [NI.UERSV_0001_N68M0602] "C:\Documents and Settings\darty\Local Settings\Temporary Internet Files\Content.IE5\49UR8DA7\ErrorSafeScannerInstall_fr[1].exe" -nag

O4 - HKLM\..\Run: [Tray log load bash] C:\Documents and Settings\All Users\Application Data\TypeEqTrayLog\Math Junk.exe

O4 - HKLM\..\Run: [algxxs] C:\WINDOWS\alggx.exe

O4 - HKLM\..\RunServices: [winlog] winlog.exe

O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\darty\APPLIC~1\ELSEPL~1\AXISNEW.exe

O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/PackageHtmlCab.CAB

- Clique sur le bouton "Fix checked"

Etape 4 : Modification de l'affichage des fichiers/dossiers

A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher :

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer le bouton radio : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

Et clique sur Ok

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

Etape 5 : Suppression des fichiers/dossiers infectieux

Depuis l'explorateur Windows :

=> Supprime les dossiers suivants (en gras) :

- C:\Documents and Settings \darty\Application Data\ELSEPL~1 (nom de dossier qui commence par ELSEPL)

- C:\Documents and Settings \darty\Application Data\EQFILE~1 ((nom de dossier qui commence par EQFILE

- C:\Documents and Settings\All Users\Application Data\TypeEqTrayLog

- C:\Program Files\outlook

/!\ Ne confond pas avec le véritable dossier d'outlook (C:\Program Files\Microsoft Office\OFFICE11)

=> Supprime les fichiers suivants, si ils existent encore (en gras) :

- C:\Windows\winlog.exe

- C:\WINDOWS\alggx.exe

- C:\Documents and Settings\darty\Local Settings\Temporary Internet Files\Content.IE5\49UR8DA7\ErrorSafeScannerInstall_fr[1].exe

=> Vide la corbeille

Etape 6 : Utilisation de Lopremover

Par mesure de précaution, on va utiliser Lopremover car l'infection dont tu es victime ressemble beaucoup à une infection par Lop (même si tu n'as pas installé Messenger plus) :

- Exécute Lopremover.exe en suivant les instructions données

Etape 7 : Utilisation de Starter/ Suppression de certaines clés infectieuses

A présent, tu vas utiliser le logiciel starter précédemment utilisé, pour supprimer certaines clés dans le registre qui n'ont probablement pas été supprimées pas Hijackthis :

- Lance Starter depuis le raccourci du bureau (ou via le menu démarrer)

- Dans le panneau section de gauche :

* Rend toi d'abord dans Registre --> Utilisateur courant --> Run

Dans le panneau de droite, fais un clic droit sur le fichier winlog.exe, et choisis Supprimer

* Va cette fois-ci dans Registre --> Tous les utilisateurs --> Run et supprime de la même manière la valeur correspondant à winlog.exe.

Et toujours dans Tous les utilisateurs, va dans Runservices et supprime la valeur du fichier incriminé (toujours winlog.exe)

* Enfin, va dans Registre --> Utilisateur courant def --> Run et supprime, toujours de la même façon, la valeur du fichier winlog.exe

* Quitte Starter

NB: Il se peut que tu ne trouves pas winlog.exe dans l'une des trois sous-parties. Si c'est le cas, ne t'inquiète pas . C'est juste à titre de vérification.

Etape 8 : Scan avec Ewido

On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis :

Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Etape 9 : Nettoyage des fichiers temporaires + registre

On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires :

=> Avec Easycleaner (pour les fichiers temporaires et le registre)

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

=> Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement)

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

=> Jv16 powertools (pour le nettoyage du registre uniquement)

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

(si il ya quelque chose qui t'échappe, sers toi du tuto de la page web )

Etape 10 : Redémarrage en mode normal

- Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5)

Etape 11 : Nouveau rapport Hijackthis

Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse

======================================================================

Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse :

- Le rapport d'Ewido

- Le nouveau rapport Hijackthis (généré en mode normal)

Du boulot en perspective...bonne chance :-P . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

A+ :-P

Modifié le 20 juillet 2006 par tornado

phmt · le 20 juillet 2006

Voila, j'ai suivi toute la procedure

Un détail tout de même, tu as parlé de mssenger plus, en disant qu'il n'etait pas installé alors que si, la derniere version, pour le WLM, que j'ai telechargé sur telecharger.com, en refusant le programme de sponsor...

Une derniere chose, j'ai l'impression qu'un processus me bouffe toute ma mémoire virtuelle: dumprp.exe.... Il se lançait avant une deux voir trois fois en meme temps, et la quand j'ai redemarré en mode normal, il a recommencé.... Apres avoir googlisé, j'ai vu qu'on pouvait arreter le processus sans probleme... Y a t'il qualque chose a faire

Voici le rapport de ewidoo

==========================================================

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

+ Created at: 15:17:37 20/07/2006

+ Scan result:

C:\Documents and Settings\darty\Cookies\darty@112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@112.2o7[2].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@aolfr.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@bulldog.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@eurostar.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@msninvite.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@opodo.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@partygaming.122.2o7[2].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@adrevolver[1].txt -> TrackingCookie.Adrevolver : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@adtech[2].txt -> TrackingCookie.Adtech : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@ads.adviva[1].txt -> TrackingCookie.Adviva : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@iv2.bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@casinodelrio[1].txt -> TrackingCookie.Casinodelrio : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@www.casinodelrio[1].txt -> TrackingCookie.Casinodelrio : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@www.casinodelrio[2].txt -> TrackingCookie.Casinodelrio : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@casinopays[1].txt -> TrackingCookie.Casinopays : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@crbanner.casinopays[2].txt -> TrackingCookie.Casinopays : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@casinotropez[1].txt -> TrackingCookie.Casinotropez : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@www.casinotropez[2].txt -> TrackingCookie.Casinotropez : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@casinotropez[1].txt -> TrackingCookie.Casinotropez : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@www.casinotropez[2].txt -> TrackingCookie.Casinotropez : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@doubleclick[2].txt -> TrackingCookie.Doubleclick : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@estat[1].txt -> TrackingCookie.Estat : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@estat[1].txt -> TrackingCookie.Estat : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@adopt.euroclick[3].txt -> TrackingCookie.Euroclick : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@as1.falkag[1].txt -> TrackingCookie.Falkag : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@cityclub.gamingpromo[2].txt -> TrackingCookie.Gamingpromo : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@gamingpromo[2].txt -> TrackingCookie.Gamingpromo : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@cityclub.gamingpromo[2].txt -> TrackingCookie.Gamingpromo : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@gamingpromo[1].txt -> TrackingCookie.Gamingpromo : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@goldenpalace[1].txt -> TrackingCookie.Goldenpalace : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@goldenpalace[2].txt -> TrackingCookie.Goldenpalace : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@goldenpalace[3].txt -> TrackingCookie.Goldenpalace : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@www.goldenpalace[1].txt -> TrackingCookie.Goldenpalace : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@ehg-ads.hitbox[2].txt -> TrackingCookie.Hitbox : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@ehg-fifa.hitbox[1].txt -> TrackingCookie.Hitbox : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@ehg-futurepub.hitbox[1].txt -> TrackingCookie.Hitbox : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@ehg-neuftelecom.hitbox[1].txt -> TrackingCookie.Hitbox : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@ehg-shoppersdrugmart.hitbox[1].txt -> TrackingCookie.Hitbox : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@ehg-tfl.hitbox[2].txt -> TrackingCookie.Hitbox : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@ehg-tfl.hitbox[3].txt -> TrackingCookie.Hitbox : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@ehg-ufi.hitbox[2].txt -> TrackingCookie.Hitbox : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@mediaplex[2].txt -> TrackingCookie.Mediaplex : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@overture[1].txt -> TrackingCookie.Overture : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@overture[2].txt -> TrackingCookie.Overture : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@paypopup[1].txt -> TrackingCookie.Paypopup : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@ads.pointroll[2].txt -> TrackingCookie.Pointroll : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@stats1.reliablestats[3].txt -> TrackingCookie.Reliablestats : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@www.smartadserver[3].txt -> TrackingCookie.Smartadserver : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@adopt.specificclick[2].txt -> TrackingCookie.Specificclick : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@vegasred[1].txt -> TrackingCookie.Vegasred : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@www.vegasred[2].txt -> TrackingCookie.Vegasred : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@web-stat[1].txt -> TrackingCookie.Web-stat : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@weborama[1].txt -> TrackingCookie.Weborama : Cleaned.

C:\Documents and Settings\darty\Local Settings\Temp\Cookies\darty@weborama[2].txt -> TrackingCookie.Weborama : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Cleaned.

C:\Documents and Settings\darty\Cookies\darty@ad.yieldmanager[3].txt -> TrackingCookie.Yieldmanager : Cleaned.

C:\58761\Accès.exe -> Trojan.Dialer.fu : Cleaned with backup (quarantined).

D:\programmes telechargés\Accès.exe -> Trojan.Dialer.fu : Cleaned with backup (quarantined).

C:\System Volume Information\_restore{188E40F0-ED0E-4229-A9C6-C6CA03F40F1B}\RP221\A0130129.exe -> Worm.Braban.b : Cleaned with backup (quarantined).

::Report end

=================================

et le rapport de hijackthis

=================================

Logfile of HijackThis v1.99.1

Scan saved at 15:44:58, on 20/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Arcade\PCMService.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\acer\epm\epm-dm.exe

C:\Program Files\Launch Manager\QtZgAcer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\Program Files\Fichiers communs\SmartCom\RTEGPRS.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\3M\PSNLite\PsnLite.exe

C:\PROGRA~1\3M\PSNLite\PSNGive.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\dumprep.exe

C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =