erbaghju

Salut, Je suis chez un ami qui a un PC infecté, J'ai suivi la procedure et vous post un log pour analyse... Sinon,j'ai sorti HJT des fichiers.temp Merci par avance Logfile of HijackThis v1.99.1 Scan saved at 19:09:47, on 26/11/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Frulli\LOCALS~1\Temp\Rar$EX00.067\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing) O2 - BHO: C:\WINDOWS\lbbho.dll - {AA9B6E1A-4813-4BFE-A43D-C981DECC1192} - C:\WINDOWS\lbbho.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\fr\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing) O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE O4 - HKLM\..\Run: [ulead Memory Card Detector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64" O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download with Go!Zilla - file://C:\Program Files\Go!Zilla\download-with-gozilla.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

Salut strat, Il semble etrange que mode F8 n'enraille pas ton probleme??? Appliques a nouveau la procedure conseillée par J.Burton sur les points suivants: 2/ 3/ 5/ pour ces lignes: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\System32\hpA46A.tmp 6/ pour C:\WINDOWS\System32\hpA46A.tmp 7/ 8/

Salut tesgaz,mourkos, salut à tous, Si tu penses que ton antivirus est trop "gourmand", tu peux aussi le changer en faveur d'ANTIVIR , qui est leger,gratuit et necessaire pour toute procedure securité sur zebulon!!!! Pour ce qui est du parametrage, c'est =>ici

Salut masterlex, Tu dois lire "you see more" et il s'agit d'une infection, commence par Ceci

Salut mourkos, Il est difficile de definir sans plus de precision, les raisons de cette lenteur car les raisons possibles sont nombreuses. En effet, tu peux avoir un PC surchargé, une configuration un peu legere, un spy ... ... -Pour en savoir plus sur ton ordinateur et sa config, tu peux telecharger everest -Pour savoir quel sont les programmes qui tournent et leur influence sur les performances de ton PC, tu va dans le gestionnaires de taches (Ctrl+Alt+Suppr) -Si ces 2 parametres ne t'offrent pas de raisons valables, va faire un tour dans la rubrique securité du forum pour demander une analyse. Salut Medicus, Pear,j'etais en train d'ecrire quand vous avez posté...

Salut à tous, Me revoila avec un souci que je post a la suite de celui de la semaine dernière, car je les pense liés! Hier, une fenetre d'alerte d'Antivir me signalait ceci: C:\SYSTEM VOLUME INFORMATION\_RESTORE{C66B14E1-5ABF-47FA-9084-8A92337F62F1}\RP69\A0015252.BAT Contains signature of the batch virus BAT/Zapchast.7 C'est donc le meme "virus BAT/Zapchast.7" (dont je ne trouve aucune information sur google???) qui est reconnu pour la 2eme fois,meme si il se situe ailleur par rapport à la semaine dernière. Etant donné sa localisation, voila ce que j'ai effectué: -demarrage en mode sans echec + affichage fichier caché -desactiver la restauration de service -scan antivir (rien trouvé) -scan ewido (rien trouvé) -Easycleaner +vider corbeille -redemarrer normal + activer restauration + caché fichier Je finirai en precisant que je n'ai aucun dysfonctionnement, mais je cherche a comprendre!!! Merci par avance...

Salut jack, Oui mais avouons que c'etait pas un cas tres compliqué, je debute mais je suis objectif Au contraire, cela me permet de progresser!!! @+

Salut moisetita,jack,c.hingals, Pour faire un scan avec Ewido, -tu cliques sur le lien de C.hingals, ensuite, tu cliques sur un gros bouton jaune (ou il est ecrit "start") -et tu cliques sur "start scanner" en acceptant l'active X qui t'es proposé @+

Salut Strat, Etant donné qu'il n'y a pas grand monde pour te conseiller, je me lance, mais attend tout de meme la confirmation d'un specialiste du forum pour confirmer mon diagnostic, car je debute en analyse HJT -Alors, ferme toutes les fenetres (sauf Hijackthis que tu lances) et coches les lignes en rouge (fix checked) -Verifie dans C:\... que le dossier C:\Program Files\SpyAxe n'existe plus -Passe un coup de Easycleaner (inutile et registre mais pas la fonction doublon) -Passe un coup de Ewido décoche les deux options "Install background guard" et "Install scan via context menu") Met le à jour. -Penses à ne pas garder Norton et Antivir, 1 seul antivirus par PC!!! -Post un nouveau log J'attend bien sur les remarques des specialistes sur mon analyse.. @+

Salut serpico, et si tu rentres dans ton gestionnaire (CTRL+Alt+Suppr) , tu ne peux pas le redemarrer dans l'option "arreter"??

Re, Ca mais arrivé une fois, moi aussi, pendant la desinstallation, il y a eu 1 souci et tout planté (meme la restauration de service), j'ai donc relancer le set up du programme pour le reinstaller a fond et apres, j'ai pu desinstallé nickel!!!

Salut Neteagle,phengizy, Dans le dossier C:\Windows\Prefetch tu effectues > toucheCtrl+A puis tu garde doigt appuyé sur Ctrl et tu cliques sur le fichier Layout pour le deselectionner. Et tu effaces tous les fichiers (sauf le fameux Layout)

Salut rookie, vercingetorix, st@if, Il te reste peut etre la solution de tout desinstaller à "la main": - tu zigouille ton programme dans C:\Program files (nom du programme et eventuellement nom de l'editeur) - idem dans C:\Windows - et regarde toujours dans C:\Systeme (afin de ne pas faire de betises,tu n'effaces pas les fichiers mais tu les deplace dans un dossier spécial au nom de là ou ils viennent de façon a pouvoir restaurer si il y a un souci !! Puis laisser tourner comme ca quelques jous avant de virer definitivement) -Il te faudra aussi jeter un oeil dans le demarrage automatique: demarrer>executer>msconfig>demarrage Apres ca, tu nettoie un coup avec EasyCleaner les fichiers inutiles et la BDR (pas toucher aux doublons) Et ca devrait etre bon!!! @+

re bonsoir, il faut donc penser que Antivir a fait son boulot et qu'il l'a bloqué a temps!!! merci pour tout

re j.burton, negatif, je n'ai aucun dysfonctionnement, comme dit precedement, c'est lors de mon scan journalier de A2 square que ANTIVIR m'a mis un message d'alerte concernant le virus cité + haut. Et comme je n'ai pas trouvé d'info sur le net le concernant, j'ai voulu en parlé ici pour savoir si quelqu'un savait quelque chose??? voila, tu sais tout....

Salut J.Burton, j'ai donc refait un 2eme scan en respectant les precisions que tu me donnes, et ca donne ceci: --------------------------------------------------------- ewido security suite - Rapport de scan --------------------------------------------------------- + Créé le: 15:44:49, 16/11/2005 + Somme de contrôle: 6AEFB489 + Résultats du scan: :mozilla.12:C:\Documents and Settings\stephane\Application Data\Mozilla\Firefox\Profiles\sp4dxi0q.default\cookies.txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder :mozilla.64:C:\Documents and Settings\stephane\Application Data\Mozilla\Firefox\Profiles\sp4dxi0q.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder ::Fin du rapport J'en ai profité aussi pour mettre à la corbeille (en attente) C:\debarras (je me demande pourkoi je l'avait crée???) et tout ce qu'il contient !!!

Salut birkoff, Merci pour le lien, En effet, il ne m'a rien trouvé, si ce n'est un reste d'un spy (dans HKEY/USERS/DEFAULT...) que j'avais chopé au tout debut que j'avais mon ordi... Bon ben je pense que ANTIVIR m'a signalé une tentative d'intrusion, mais qu'il n'y a rien d'installé!!!

Salut, j'etais en train de faire un scan avec A2 square, lorsqu'un message d'alerte d'ANTIVIR signalait la presence dans C:\Debarras\WINUPD.bat de virus bat/zapchast.7 J'ai choisi l'option "delete file" et n'ai pas trouvé la trace de ce fichier à l'emplacement cité. Je ne trouve pas d'information sur google ni sur zebulon. Je post un log HJT par securité (apres procedure) mais bon, meme si je n em'inquiète pas, j'en sais pas plus... Logfile of HijackThis v1.99.1 Scan saved at 14:19:42, on 16/11/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe merci par avance ...

Salut angelique et merci...

Salut, megataupe,birkoff,ipl et merci pour vos reponses et différents liens, une seule chose me reste à faire, me mettre au boulot!!!! @+

Salut, il m'arrive de consulter des post dans la rubrique "eradiquation..", ensuite je simule ma vision du rapport HJT avec les reponses apportées par IPL, J.BURTON, C.INGALLS, BIP BIP, MEGATAUPE,TESGAZ ... ... ... (et bien d'autre) afin d'apprendre l'art du nettoyage et mes erreurs sont encores nombreuses!!!! J'utilise pour m'aider ceci, mais je ne le trouve pas toujours tres complet. Ma question etait de savoir si un outil plus performant existait??? Merci par avance...

Salut a tout le monde, Comme te le conseille angelique, IZARC est un freeware qui marche bien et que j'utilise depuis plusieurs mois sans aucun probleme.

Salut,gayboy,zonk,strideworld, En effet, nous parlons bien de la v.2.2 et je vois que les MAJ ne semble pas etre tres frequentes!!! C'est bien etrange car on connait l'evolution quasi quotidienne des atteintes informatiques, et meme si elles ne sont pas quotidiennes, pour SPYWABLASTER, on en a 1 ou 2 mensuelle !!!

Salut, En complement de SPYWAREBLASTER, j'ai installé il y a plusieurs mois de ça, SPYWAREGUARD, mais je me pose des questions concernant sa credibilité, car je n'ai jamais trouvé aucune MAJ?? Ce programme est il bien serieux??

Salut cram66, non je ne pense pas car la plupart des processus sont destinés à l'utilisation du système, il te suffit de tenir ton ordi "proprement" comme tu semble deja le faire, c'est a dire: -nettoyer regulierement les fichiers inutiles avec Easycleaner (ne pas toucher à la fonction doublon) -nettoyer ta BDR avec tes programmes prevu à cet effet -defragmenter -lorsque tu installe le set up d'un soft, ne pas laisser l'installation lancer le programme au demarrage si ce n'est pas indispensable pour toi. -verifie aussi ceci: =>demarrer=>panneau configuration=>systeme=>materiel=>gestionnaire de peripherique =>derouler l'arborescence nommée "controleur ATA/ATAPI IDE"=>d.clic sur CANAL IDE PRINCIPAL =>parametre avancé=>selectionné "DMA" dans la ligne mode de transfert