Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

RAPPORT HIJACKTHIS

devouchka

Par devouchka
dans Analyses et éradication malwares

 Partager

Messages recommandés

devouchka Junior Member

devouchka

Posté(e)
Posté(e)

bonsoir,

 

je viens de suivre la procédure indiquée dans un post précedent

 

le problème depuis hier soir: norton analyse des tas de mails sortants inexistants et m'envoie plein de messages d'erreur disant que ces mails ne peuvent pas etre envoyés

 

 

voici le rapport:

 

Logfile of HijackThis v1.99.1

Scan saved at 22:06:45, on 25/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Arcade\PCMService.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\acer\epm\epm-dm.exe

C:\Program Files\Launch Manager\QtZgAcer.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/ServicesAcces.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\RunOnce: [isDeleteMe] "C:\WINDOWS\system32\cmd.exe" /c "C:\DOCUME~1\Caroline\LOCALS~1\Temp\isDel.bat"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] D:\eMule 46c\emule 46c.exe -AutoStart

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1152193742281

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1152194614656

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

 

 

merci par avance

 

devouchka

tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Re,

 

 

Avant de commencer, je remarque que tu utilises un logiciel de p2p, emule...

Il est probablement à l'origine de tes infections (fichier téléchargé infectieux ?). C'est le cas de bons nombres de logiciels de p2p, comme le montre ce topic => le P2P et ses conséquences

 

Je te le fais désinstaller au cours de la procédure, à toi de voir si veux continuer à l'utiliser ou non :P

 

********************************************************************

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver :-P

 

======================================================================

 

 

Etape 1 : Téléchargement / installation des outils nécessaires

 

=> Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a)

 

- Ewido anti-malware d' Ewido Networks --> http://www.ewido.net/en/download/

-- Pour commencer, installe Ewido en suivant les instructions données par le logiciel

-- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

-- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

-- Ferme Ewido. Ne pas le lancer tout de suite.

- Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html

 

- ATF-cleaner d'Atribune--> http://www.atribune.org/public-beta/ATF-Cleaner.exe

-- Le logiciel ne nécessitant pas d'installation, tu peux le lancer directement, en double-cliquant dessus

-- Tu peux donc déplacer ATF-cleaner.exe sur le bureau (comme ça, tu l'as de suite "sous la main")

 

- Jv16 Powertools de Macecraft Software --> http://telechargement.zebulon.fr/201-jv16-powertools.html

-- Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page)

 

 

Etape 2 : Redémarrage en mode sans échec

 

On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication :

 

- Va dans Démarrer > Arrêter l'ordinateur > choisis Redémarrer . Dès que la fermeture de Windows est terminée, le système commence à redémarrer (écran noir) puis le BIOS se charge. Commence dès cet instant à tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite :P) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuye sur [Entrée].)

 

- Le tuto si tu bloques sur quelque chose => http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

 

Etape 3 : Désinstallation (normale) des logiciels infectieux

 

Va dans démarrer > panneau de configuration > Ajouter ou supprimer des programmes. Sélectionne alors le programmes suivant, et désinstalle-le en cliquant sur supprimer :

 

- Emule

 

 

Etape 4 : Désactivation / Suppression du service infectieux

 

* Désactivation

 

Va dans Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) recherche le service suivant:

 

Windows Log

 

Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,

puis déroule le Type de Démarrage pour le modifier en Désactivé

Clique sur Appliquer puis OK

 

 

* Suppression

 

Lance Hijackthis, choisir Open the Misc.Tools section

la fenêtre "Configuration va s'ouvrir

clique sur Delete a NT service...

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entre dans la zone de dialogue :

 

Windows Log

 

Note : assure-toi de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.

Cliquer NO

 

 

Etape 5 : Utilisation d'Hijackthis/Suppression des lignes infectieuses

 

- Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) :

 

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

 

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\RunOnce: [isDeleteMe] "C:\WINDOWS\system32\cmd.exe" /c "C:\DOCUME~1\Caroline\LOCALS~1\Temp\isDel.bat"

 

 

- Clique sur le bouton "Fix checked"

 

 

Etape 6 : Modification de l'affichage des fichiers/dossiers

 

A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer le bouton radio : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

Etape 7 : Suppression des fichiers/dossiers infectieux

 

Depuis l'explorateur Windows :

 

 

=> Supprime les fichiers suivants, si ils existent encore (en gras) :

 

- C:\Documents and Settings\Caroline\Local Settings\Temp\isDel.bat

 

- C:\WINDOWS\system\smss.exe

=> NE CONFOND PAS AVEC CELUI PRESENT DANS C:\WINDOWS\System32\

 

- C:\WINDOWS\System32\nvsvcd.exe

 

 

=> Vide la corbeille

 

 

Etape 8 : Scan avec Ewido

 

On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis :

  • Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
     
  • Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
     
  • Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Etape 9 : Nettoyage des fichiers temporaires + registre

 

On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires :

 

=> Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement)

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

  • Clique Firefox au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

  • Clique Opera au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

=> Jv16 powertools (pour le nettoyage du registre uniquement)

 

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

(si il ya quelque chose qui t'échappe, sers toi du tuto de la page web :-( )

 

 

Etape 10 : Redémarrage en mode normal

 

- Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5)

 

 

Etape 11 : Nouveau rapport Hijackthis

 

Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse

 

======================================================================

 

Si tu as des questions, n'hésite pas à demander, et fais-le avant d'appliquer la procédure.

 

A+ et bonne chance :P

Modifié par tornado
devouchka Junior Member

devouchka

Posté(e)
  • Auteur
Posté(e)

Re,

Avant de commencer, je remarque que tu utilises un logiciel de p2p, emule...

Il est probablement à l'origine de tes infections (fichier téléchargé infectieux ?). C'est le cas de bons nombres de logiciels de p2p, comme le montre ce topic => le P2P et ses conséquences

 

Je te le fais désinstaller au cours de la procédure, à toi de voir si veux continuer à l'utiliser ou non :P

 

********************************************************************

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver :-P

 

======================================================================

Etape 1 : Téléchargement / installation des outils nécessaires

 

=> Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a)

 

- Ewido anti-malware d' Ewido Networks --> http://www.ewido.net/en/download/

-- Pour commencer, installe Ewido en suivant les instructions données par le logiciel

-- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

-- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

-- Ferme Ewido. Ne pas le lancer tout de suite.

- Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html

 

- ATF-cleaner d'Atribune--> http://www.atribune.org/public-beta/ATF-Cleaner.exe

-- Le logiciel ne nécessitant pas d'installation, tu peux le lancer directement, en double-cliquant dessus

-- Tu peux donc déplacer ATF-cleaner.exe sur le bureau (comme ça, tu l'as de suite "sous la main")

 

- Jv16 Powertools de Macecraft Software --> http://telechargement.zebulon.fr/201-jv16-powertools.html

-- Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page)

Etape 2 : Redémarrage en mode sans échec

 

On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication :

 

- Va dans Démarrer > Arrêter l'ordinateur > choisis Redémarrer . Dès que la fermeture de Windows est terminée, le système commence à redémarrer (écran noir) puis le BIOS se charge. Commence dès cet instant à tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite :P) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuye sur [Entrée].)

 

- Le tuto si tu bloques sur quelque chose => http://service1.symantec.com/SUPPORT/INTER...020325143456924

Etape 3 : Désinstallation (normale) des logiciels infectieux

 

Va dans démarrer > panneau de configuration > Ajouter ou supprimer des programmes. Sélectionne alors le programmes suivant, et désinstalle-le en cliquant sur supprimer :

 

- Emule

Etape 4 : Désactivation / Suppression du service infectieux

 

* Désactivation

 

Va dans Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) recherche le service suivant:

 

Windows Log

 

Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,

puis déroule le Type de Démarrage pour le modifier en Désactivé

Clique sur Appliquer puis OK

* Suppression

 

Lance Hijackthis, choisir Open the Misc.Tools section

la fenêtre "Configuration va s'ouvrir

clique sur Delete a NT service...

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entre dans la zone de dialogue :

 

Windows Log

 

Note : assure-toi de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.

Cliquer NO

Etape 5 : Utilisation d'Hijackthis/Suppression des lignes infectieuses

 

- Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) :

 

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

 

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\RunOnce: [isDeleteMe] "C:\WINDOWS\system32\cmd.exe" /c "C:\DOCUME~1\Caroline\LOCALS~1\Temp\isDel.bat"

- Clique sur le bouton "Fix checked"

Etape 6 : Modification de l'affichage des fichiers/dossiers

 

A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

Etape 7 : Suppression des fichiers/dossiers infectieux

 

Depuis l'explorateur Windows :

=> Supprime les fichiers suivants, si ils existent encore (en gras) :

 

- C:\Documents and Settings\Caroline\Local Settings\Temp\isDel.bat

 

- C:\WINDOWS\system\smss.exe

=> NE CONFOND PAS AVEC CELUI PRESENT DANS C:\WINDOWS\System32\

 

- C:\WINDOWS\System32\nvsvcd.exe

=> Vide la corbeille

Etape 8 : Scan avec Ewido

 

On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis :

  • Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
     
  • Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
     
  • Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Etape 9 : Nettoyage des fichiers temporaires + registre

 

On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires :

 

=> Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement)

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

  • Clique Firefox au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

  • Clique Opera au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

=> Jv16 powertools (pour le nettoyage du registre uniquement)

 

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

(si il ya quelque chose qui t'échappe, sers toi du tuto de la page web :-( )

Etape 10 : Redémarrage en mode normal

 

- Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5)

Etape 11 : Nouveau rapport Hijackthis

 

Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse

 

======================================================================

 

Si tu as des questions, n'hésite pas à demander, et fais-le avant d'appliquer la procédure.

 

A+ et bonne chance :P

 

 

j'ai bien suivi la procédure, seul hic je n'avais pas la mention windows log je n'ai pas pu faire le réglage demandé.

 

voici le nouveau hijack:

 

Logfile of HijackThis v1.99.1

Scan saved at 23:04:15, on 27/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Arcade\PCMService.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\acer\epm\epm-dm.exe

C:\Program Files\Launch Manager\QtZgAcer.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\RegCleaner\RegCleanr.exe

\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/ServicesAcces.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] D:\eMule 46c\emule 46c.exe -AutoStart

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1152193742281

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1152194614656

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

 

j'espère qur tout est ok maintenant, tiens moi informé

 

merci en tout cas devouchka

tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Re,

 

j'ai bien suivi la procédure, seul hic je n'avais pas la mention windows log je n'ai pas pu faire le réglage demandé.

 

Pour la désactivation ou la suppression ?

 

Ca n'a pas vraiment d'importance finalement, car le nouveau rapport Hijackthis est propre, beau boulot :P

Par contre, je ne vois pas de rapport Ewido... l'aurais-tu oublié :P ?

 

Pour terminer la désinfection, on va vérifier si ton système est complètement sain (peut-être savoir l'origine des messages publicitaires de Winantivirus pro), avec un scan av en ligne et un scan anti-rootkit (malwares cachés) :

 

===============================================================

 

* Scan Av en ligne : Panda Activescan

 

- Vérifie, pour commencer, qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie

Paramétrer Internet Explorer

 

- Commence par désactiver le bouclier Web d'avast ( clic droit sur pasdenom3io.jpg dans la barre des tâches => arrêter le service => bouclier web ) car l'activex de panda et avast entrent en conflit. Ne t'inquiète pas, tu ne risques rien

 

- Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html

 

- Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin)

- Réactive le bouclier Web d'avast

 

-

- Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_morte)

 

* Scan anti-rootkit : Blacklight

 

Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) :

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

========================================================

 

N'oublie pas de mettre dans ta prochaine réponse :

 

- Le rapport de Panda (activescan.txt)

- Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt)

- Le rapport Ewido (que tu as probablement oublié de mettre dans ta réponse précédente)

 

 

A+ :-P

 

 

PS: Je ne vois aucun Antivirus installé sur ton système. De nos jours, c'est indispensable d'en avoir un, pour avoir à la fois une protection résidente, et un outil pour faire les scans.

Comme tu as déjà Kerio d'installé, je te recommander d'installé Avast, qui s'adapte très bien avec celui-ci, et qui est un antivirus efficace et gratuit :

 

- Pour le télécharger, c'est ici => http://www.avast.com/eng/download-avast-home.html (choisis "French" dans la liste du bas)

- Ensuite, il faut s'enregistrer pour recevoir une clé de licence gratuite, à entrer au démarrage d'avast => http://www.avast.com/i_kat_207.php?lang=FRE

- Un tutoriel => http://www.pcentraide.com/index.php?showtopic=120

Modifié par tornado
devouchka Junior Member

devouchka

Posté(e)
  • Auteur
Posté(e)

voici les rapports:

 

07/30/06 19:47:23 [info]: BlackLight Engine 1.0.42 initialized

07/30/06 19:47:23 [info]: OS: 5.1 build 2600 (Service Pack 2)

07/30/06 19:47:23 [Note]: 7019 4

07/30/06 19:47:23 [Note]: 7005 0

07/30/06 19:47:25 [Note]: 7006 0

07/30/06 19:47:25 [Note]: 7011 1756

07/30/06 19:47:25 [Note]: 7026 0

07/30/06 19:47:25 [Note]: 7026 0

07/30/06 19:47:33 [Note]: FSRAW library version 1.7.1019

07/30/06 19:48:25 [Note]: 7007 0

 

 

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 19:44:11 30/07/2006

 

+ Scan result:

 

 

 

C:\Documents and Settings\Caroline\Cookies\caroline@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned.

:mozilla.37:C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\oyo127pb.default\cookies.txt -> TrackingCookie.Bluestreak : Cleaned.

C:\Documents and Settings\Caroline\Cookies\caroline@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned.

:mozilla.6:C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\oyo127pb.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned.

C:\Documents and Settings\Caroline\Cookies\caroline@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned.

:mozilla.7:C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\oyo127pb.default\cookies.txt -> TrackingCookie.Estat : Cleaned.

:mozilla.28:C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\oyo127pb.default\cookies.txt -> TrackingCookie.Mediaplex : Cleaned.

:mozilla.34:C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\oyo127pb.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.35:C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\oyo127pb.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.36:C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\oyo127pb.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.26:C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\oyo127pb.default\cookies.txt -> TrackingCookie.Valueclick : Cleaned.

:mozilla.27:C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\oyo127pb.default\cookies.txt -> TrackingCookie.Valueclick : Cleaned.

:mozilla.33:C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\oyo127pb.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.

C:\Documents and Settings\Caroline\Cookies\caroline@weborama[2].txt -> TrackingCookie.Weborama : Cleaned.

 

 

::Report end

 

et panda me dit k tout est ok

 

j'ai également changé d'antivirus pour celui que tu m'as recommandé

 

qu'en penses tu?

 

merci bcp

tornado Full Patch Member

tornado

Posté(e)
Posté(e)

Re,

 

 

Les rapports sont Ok :P

 

 

J'avais pas fait gaffe que t'avais déjà un antivirus (aucune trace de Norton sur tes logs Hijackthis précédents :P )

 

J'espère que la désinstallation de Norton s'est bien passée (je dis ça car elle pose parfois quelques problèmes) ainsi que l'installation d'avast.

Tu pourrais poster un générer un nouveau log Hijackthis et le poster pour s'en assurer ?

 

Autre chose : As-tu toujours des disfonctionnements ?

 

 

A+ :-P

devouchka Junior Member

devouchka

Posté(e)
  • Auteur
Posté(e)

bonjour,

 

avast a fait du bon boulot en dénichant un virus qui avait réussi à passer inaperçu malgrè tous les autres scans.

 

voilà le nouveau hijack

 

Logfile of HijackThis v1.99.1

Scan saved at 06:56:09, on 31/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Arcade\PCMService.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\acer\epm\epm-dm.exe

C:\Program Files\Launch Manager\QtZgAcer.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/ServicesAcces.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1152193742281

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1152194614656

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

 

 

j'ai aussi installé un anti spam: vaderetro

 

bonne journée @++

tornado Full Patch Member

tornado

Posté(e)
Posté(e)

Bonjour,

 

 

Le nouveau rapport Hijackthis est propre, et pas de traces de Norton... tout est Ok :P

 

avast a fait du bon boulot en dénichant un virus qui avait réussi à passer inaperçu malgrè tous les autres scans.

 

Quel était ce virus ? (Regarde dans la zone de quarantaine si il y est encore)

 

 

Si tu ne constates plus aucun disfonctionnement, on peut considérer ton système comme propre.

 

On va donc à présent rétablir certains paramètres sur ton système par :

  1. La rétablissement de l'affichage des fichiers/dossiers
  2. La suppression de certains outils utilisés au cours de la procédure de désinfection
  3. La suppression des points de restauration

========================================================

 

Etape 1 : Rétablissement de l'affichage des fichiers/dossiers

 

Durant la procédure de désinfection, je t'avais fait afficher les fichiers cachés et les fichiers système, pour pouvoir supprimer les fichiers infectieux s'ayant emparé de ces statuts.

A présent, il vaut mieux recacher ces fichiers (notamment les fichiers système) pour éviter d'en supprimer un par erreur (par exemple, certains fichiers système sont nécessaires pour faire démarrer Windows) :

 

Démarrer, Poste de travail / Menu Outils / Options des dossiers / onglet Affichage :

Désactiver le bouton : Afficher les fichiers et dossiers cachés

Activer la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Cliquer sur "Appliquer à tous les dossiers", puis OK

 

 

Etape 2 : Suppression de certains outils de la procédure

 

De plus , je t'avais fait utiliser et télécharger certains outils pour le procédure de désinfection :

  • Les pages Web => ne te sont plus utiles à présents
    { supprimer le dossier dans lequel tu as mis les pages web (ex : C:\procédure) }
  • Blacklight=> peut parfois détecter des fichiers légitimes, et ne doit pas être utilisé sans l'avis d'un "spécialiste"
    { supprimer blbeta.exe du bureau }

Tu peux à présent les supprimer, car ils ne te seront plus utiles, ou car leur utilisation est délicate (et vide la corbeille)

 

 

Etape 3 : Suppression des points de restauration

 

Pour terminer, tu vas - par précaution - supprimer tous les points de restauration (certains ont peut-être été touchés par les infections), de la manière suivante :

 

- Désactive la restauration système en suivant le tutoriel suivant=> http://www.libellules.ch/desactiver_restauration.php (tout ce qui précède "Pour activer la restauration du système de Windows XP"):

- Une fois le pc redémarré, réactive-la (toute la partie Pour activer la restauration du système de Windows XP) car la restauration système peut parfois s'avérer utile

 

 

====================================================================

 

J'attend que tu ais fait ceci, avant que l'on sécurise davantage ton pc pour le garder propre (ajout de programmes préventifs par exemple etc...)

 

Bonne chance :P

 

 

Ps :

j'ai aussi installé un anti spam: vaderetro

 

Je ne connais pas ce logiciel. Le mieux, pour éviter de recevoir des spams, c'est changer de client de messagerie (outlook ne filtre pas bien les spams). Je t'en proposerais quelques uns dans mon prochain post.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...