SLYL

Bonjour BipBip 07, Charles et Jack, Voici les résultats suite au scan de counter spy et spysweeper : A chaque fois, les logiciels me proposent de les supprimer mais lors du prochain démarrage, je fais à nouveau un scan et ils sont toujours là... Pourtant je fonctionne bien en mode sans échec... Quelle est selon vous la piste à suivre ? D'autant que j'ai vérifié sur symantec s'il existait un outil de désinfection spécifique et n'ai rien trouvé... Vos conseils me seront donc précieux... Merci. SLYL Spyware Scan Details Start Date: 21/11/2005 20:26:04 End Date: 21/11/2005 21:08:07 Total Time: 42 mins 3 secs Detected spyware Adware.cmdService Adware more information... Details: Adware.cmdService runs as a Windows service. Status: Deleted Infected registry entries detected HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE NextInstance 1 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 DeviceDesc Command Service HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 ClassGUID {8ECC055D-047F-11D1-A537-0000F8753ED1} HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 Class LegacyDriver HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 ConfigFlags 0 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 Legacy 1 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 Service cmdService HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE NextInstance 1 ******** 19:01: | Start of Session, lundi 21 novembre 2005 | 19:01: Spy Sweeper started 19:01: Sweep initiated using definitions version 575 19:01: Starting Memory Sweep 19:02: Memory Sweep Complete, Elapsed Time: 00:01:13 19:02: Starting Registry Sweep 19:02: Found Adware: findthewebsiteyouneed hijacker 19:02: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 125236) 19:02: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 790269) 19:02: Registry Sweep Complete, Elapsed Time:00:00:09 19:02: Starting Cookie Sweep 19:02: Cookie Sweep Complete, Elapsed Time: 00:00:00 19:02: Starting File Sweep 19:22: File Sweep Complete, Elapsed Time: 00:20:21 19:22: Full Sweep has completed. Elapsed time 00:21:54 19:22: Traces Found: 2 20:25: Removal process initiated 20:25: Quarantining All Traces: findthewebsiteyouneed hijacker 20:25: Removal process completed. Elapsed time 00:00:10

Bonjour Charles, Jack, Il y a bien longtemps que je n'étais pas venu vous solliciter... seulement cette semaine spy sweeper m'a avertit à plusieurs reprises qu'un programme voulez changer l'url d'internet explorer (qui n'était pas démarré par ailleurs)... Donc, j'ai de nouveau procédé à un scan, dont les résultats sont postés ci-après. J'ai également procédé à un Hijack (CF rapport)... au final il semblerait qu'il reste quelque chose dont je n'arrive à me débarasser... Conclusion... votre aide précieuse me serait de nouveau d'un grand secours... Par avance merci, SLYL **************************************************** ******** 11:53: | Start of Session, samedi 19 novembre 2005 | 11:53: Spy Sweeper started 11:53: Sweep initiated using definitions version 575 11:53: Starting Memory Sweep 11:56: Memory Sweep Complete, Elapsed Time: 00:02:16 11:56: Starting Registry Sweep 11:56: Found Adware: findthewebsiteyouneed hijacker 11:56: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 125236) 11:56: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 790269) 11:56: Registry Sweep Complete, Elapsed Time:00:00:08 11:56: Starting Cookie Sweep 11:56: Cookie Sweep Complete, Elapsed Time: 00:00:00 11:56: Starting File Sweep 12:19: File Sweep Complete, Elapsed Time: 00:22:52 12:19: Full Sweep has completed. Elapsed time 00:25:23 12:19: Traces Found: 2 13:32: Removal process initiated 13:32: Quarantining All Traces: findthewebsiteyouneed hijacker 13:32: Removal process completed. Elapsed time 00:00:08 ******** 10:27: | Start of Session, samedi 19 novembre 2005 | 10:27: Spy Sweeper started 10:27: Sweep initiated using definitions version 575 10:27: Starting Memory Sweep 10:29: Memory Sweep Complete, Elapsed Time: 00:02:11 10:29: Starting Registry Sweep 10:29: Found Adware: dollarrevenue 10:29: HKLM\software\microsoft\drsmartload\ (1 subtraces) (ID = 916795) 10:29: Found Adware: findthewebsiteyouneed hijacker 10:29: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 125236) 10:29: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 790269) 10:29: Registry Sweep Complete, Elapsed Time:00:00:08 10:29: Starting Cookie Sweep 10:29: Cookie Sweep Complete, Elapsed Time: 00:00:00 10:29: Starting File Sweep 10:37: Found Adware: targetsaver 10:37: zuroc.dll (ID = 195129) 10:52: File Sweep Complete, Elapsed Time: 00:22:46 10:52: Full Sweep has completed. Elapsed time 00:25:12 10:52: Traces Found: 5 10:58: Removal process initiated 10:58: Quarantining All Traces: dollarrevenue 10:58: Quarantining All Traces: findthewebsiteyouneed hijacker 10:58: Quarantining All Traces: targetsaver 10:58: Removal process completed. Elapsed time 00:00:11 ******** 07:24: | Start of Session, vendredi 18 novembre 2005 | 07:24: Spy Sweeper started 07:24: Sweep initiated using definitions version 573 07:24: Starting Memory Sweep 07:25: Memory Sweep Complete, Elapsed Time: 00:01:02 07:25: Starting Registry Sweep 07:25: Found Adware: findthewebsiteyouneed hijacker 07:25: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 125236) 07:25: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 790269) 07:25: Registry Sweep Complete, Elapsed Time:00:00:09 07:25: Starting Cookie Sweep 07:25: Found Spy Cookie: weborama cookie 07:25: administrateur@weborama[2].txt (ID = 3658) 07:25: Cookie Sweep Complete, Elapsed Time: 00:00:04 07:25: Starting File Sweep 07:46: File Sweep Complete, Elapsed Time: 00:21:05 07:47: Full Sweep has completed. Elapsed time 00:22:25 07:47: Traces Found: 3 07:50: Removal process initiated 07:50: Quarantining All Traces: findthewebsiteyouneed hijacker 07:50: Quarantining All Traces: weborama cookie 07:50: Removal process completed. Elapsed time 00:00:11 08:49: Your spyware definitions have been updated. ******** ********************************************************** Logfile of HijackThis v1.99.1 Scan saved at 08:27:39, on 20/11/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe C:\Program Files\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe C:\WINDOWS\System32\igfxtray.exe C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [sunServer] C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Salut Charles, Jack, J'ai recherché sur une autre machine ce fichier et je l'ai retrouvé en double exemplaire aux mêmes emplacements avec les mêmes propriétés... donc il semblerait qu'il n'y ait rien à craindre... Par contre vu le fonctionnement "capricieux" de norton, son "obsession" doit être un peu trop vigileant... J'attends un autre avis. Par contre, est-ce que ce ne serait pas judicieux de procéder à la "réparation" de windows (sans formater) mais à l'aide de l'option qui le permet... est-ce que ça permettrait pas de stabiliser son fonctionnement ? A+ SLYL

Salut Charles, Jack, Ce fichier est en double exemplaire dans c:\windows\system32 et dans c:\windows\servicepack\files\i386. Je les ai passé tous les deux par le virusscan de Jotti et aucun virus n'a été trouvé. Par contre, je tiens à signaler un fait intéressant... Lorsque je modifie les options de Norton AV (ne pas lancer au démarrage et ne pas utiliser auto-protect) et de Norton Antispam (bloquage des publicités)... il arrive que l'ordi ne puisse redémarrer en mode normal. Ce n'est pas systématique mais il me faut après utiliser Ace utilities pour nettoyer la base de registres et les fichiers tmp (junk files) pour réussir à redémarrer en mode normal... Donc la base de registre semble instable (ou corrompue ?) dans tous les cas... A moins que ce soit windows, d'ailleurs à ce sujet je rencontre un autre problème intéressant lorsque je veux me rendre sur des sites à partir d'une redirection en ".fr.st", le navigateur reste planté sur l'adresse et n'interpréte pas la redirection, hormis si je désactive NAV et NAS et que je redémarre au préalable... Tout ça pour dire qu'il y a quand même un malaise de fond auquel il faut que je puisse remédier (avec votre aide bien entendu !). A+ SLYL

Merci Jack pour tous ces conseils qui mériteraient d'être livré avec un PC ! Concernant le fire-wall en fait j'ai un routeur adsl qui normalement fait office de firewall (linksys wag-54g) et je prend soin de scanner tous les fichiers... mais cette fois-ci norton n'a rien vu ! Ca fera tout de même trois jours de perdu... Sinon, une dernière question, j'essaye de désinstaller counterspy est le message suivant de norton apparaît : "Scrit malveillant détecté, fichier msiexec.exe" tant que je n'accepte pas l'exécution de ce script, je ne peux désinstaller le programme, Que dois-je faire ? Par avance merci... et félicitations pour la rapidité de réaction et le professionnalisme ! SLYL

J'ai procédé à un petit nettoyage de la base de registre et des fichiers "internet" à l'aide de Ace Utilities (un logiciel qui me semble très bien par ailleurs), puis redémarrer la machine et miracle... elle a redémarré en mode normal et tout semble fonctionner... sans ouverture intempestive de IE... Le problème semble donc régler... Encore merci de ton aide... si tu as d'autres conseils à me soumettre pour optimiser le fonctionnement de ma machine et assurer l'intégrité de windows, ils seront les bienvenus. Merci BEAUCOUP à Jack et Charles ! S.L.

Salut, J'ai essayé d'accéder au fichier boot.ini selon ta procédure... Il ne me semble qu'il y ait un problème... Merci de ton aide, SLYL [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

Salut, J'ai fixé les dernière lignes recommandées et désinstaller ewido... mais windows ne veut rien savoir, je n'ai accès qu'au mode sans échec (avec prise en charge réseau). Que dois je faire pour sortir de cette impasse ??? (en apparence). Par avance merci de ton aide qui me fait réellement avancer. A+ SLYL

Bonjour Jack Burton, Merci beaucoup pour tous ces précieux conseils... je les ai suivi à la lettre mais uniquement en mode sans échec avec prise en charge du réseau, puisque win XP ne veut plus démarrer en mode normal. Au second démarrage, les fenêtres intempestives d'explorer ne sont pas apparues... J'attends avec impatience la suite de tes judicieuses remarques ! A+ SLYL Voici les résultats des logs : ******** 08:23: | Start of Session, lundi 14 novembre 2005 | 08:23: Spy Sweeper started 08:23: Sweep initiated using definitions version 572 08:23: Starting Memory Sweep 08:24: Found Adware: icannnews 08:24: Detected running threat: C:\WINDOWS\system32\o0pq0a75ed.dll (ID = 83) 08:24: Detected running threat: C:\WINDOWS\system32\guard.tmp (ID = 83) 08:24: Detected running threat: C:\WINDOWS\system32\EinClass.Dll (ID = 83) 08:24: Memory Sweep Complete, Elapsed Time: 00:01:02 08:24: Starting Registry Sweep 08:24: Found System Monitor: sc-keylog 08:24: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\explorer\ (6 subtraces) (ID = 140468) 08:25: Registry Sweep Complete, Elapsed Time:00:00:08 08:25: Starting Cookie Sweep 08:25: Cookie Sweep Complete, Elapsed Time: 00:00:00 08:25: Starting File Sweep 08:29: Found Trojan Horse: trojan-backdoor-us15info 08:29: tool5.exe (ID = 183857) 08:30: Found Adware: spysheriff 08:30: secure32.html (ID = 184319) 08:33: Found Adware: command 08:33: wa5pxaidv0.vbs (ID = 185675) 08:36: Warning: Invalid Stream 08:38: Warning: Unhandled Archive Type 08:40: File Sweep Complete, Elapsed Time: 00:15:23 08:40: Full Sweep has completed. Elapsed time 00:16:36 08:40: Traces Found: 13 08:48: Removal process initiated 08:48: Quarantining All Traces: icannnews 08:48: icannnews is in use. It will be removed on reboot. 08:48: C:\WINDOWS\system32\o0pq0a75ed.dll is in use. It will be removed on reboot. 08:48: C:\WINDOWS\system32\guard.tmp is in use. It will be removed on reboot. 08:48: C:\WINDOWS\system32\EinClass.Dll is in use. It will be removed on reboot. 08:48: Quarantining All Traces: sc-keylog 08:48: Quarantining All Traces: spysheriff 08:48: Quarantining All Traces: trojan-backdoor-us15info 08:48: Quarantining All Traces: command 08:48: Warning: Timed out waiting for explorer.exe 08:48: Warning: Timed out waiting for explorer.exe 08:48: Warning: Timed out waiting for explorer.exe 08:48: Warning: Quarantine process could not restart Explorer. 08:48: Preparing to restart your computer. Please wait... 08:48: Removal process completed. Elapsed time 00:00:34 ******** 08:21: | Start of Session, lundi 14 novembre 2005 | 08:21: Spy Sweeper started 08:22: Your spyware definitions have been updated. 08:23: | End of Session, lundi 14 novembre 2005 | **************************************************** Logfile of HijackThis v1.99.1 Scan saved at 08:53:23, on 14/11/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [sunServer] C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Bonjour à tous, Tout d'abord je félicite les animateurs, ainsi que le créateur du site, pour le travail réalisé... Nombre de sites web ferait bien de s'en inspirer... Ca ressemblent vraiment à l'esprit de communauté proné à l'origine du web ! Venons au problème qui motive ce post... Depuis deux jours, IE démarre tout seul et m'affiche des pages de pub. Il y a aussi des pages de pub en Flash. J'ai procédé à plusieurs scans avec différents logiciels et il apparaît que ma machine est infectée par des spywares que je n'arrive pas à éradiquer. Pestpatrol à détecter les intrus suivants : CWS.loadAdv.400 (Hijacker), Targetsaver (?), PacerD (Adware). Seulement, utilisant la version "free" il m'est impossible de les éradiquer. Le logiciel Ad-aware SE ne détecte que des tracking cookies. Quant à l'antivirus que j'utilisais, NAV, il ne démarre plus et de plus je ne peux plus le mettre à jour... Voici donc un rapport Hijackthis (après plusieurs lectures sur le net, il semble que ce soit la première étape à mettre en oeuvre). Il est à noter que ma machine ne démarre plus qu'en mode sans échec (avec le réseau toutefois), suite à la suppression d'intrus avec Ad-aware, notamment... Par avance merci de votre aide, qui m'enlévera une sacrée épine du pied... et ces intrus malveillants de ma machine. ************************************** Logfile of HijackThis v1.99.1 Scan saved at 08:19:33, on 13/11/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [sunServer] C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab O20 - Winlogon Notify: URL - C:\WINDOWS\system32\e602lgdo160c.dll O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINDOWS\system32\qbodaome.dll (file missing) O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe