L'enfer de dante

[dreamer9]

Voici chers cyber sauveurs, le rapport active scan. En ce qui concerne les modalités spybot, étant vraiment trop nul, je l'ai suprimé provisoirement de mon ordi.

 

 

Incident Status Location

 

Spyware:Cookie/fe.lea.lycos Not disinfected C:\Documents and Settings\asco\Cookies\asco@fe.lea.lycos[1].txt

Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\asco\Cookies\asco@tradedoubler[1].txt

Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\asco\Cookies\asco@weborama[2].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\asco\Cookies\asco@xiti[1].txt

Virus:Eicar.Mod Not disinfected C:\Program Files\PestPatrol\Help.chm[/HowCanITestDetection.html]

Dialer:Dialer.Gen Not disinfected C:\WINDOWS\switchagreement.txt

Virus:W32/Gaobot.GFB.worm Disinfected C:\WINDOWS\system32\TFTP1892

 

 

A+ et encore merci

Modifié le 10 août 2006 par dreamer9

[dreamer9]

Mince, en supprimant spybot, il a fallu redémarrer la machine, et j eme rend compte que antivir s'était remis automatiquement en guard: dois refaire le scan activscan???????

[dreamer9]

erreur manip sorry

Modifié le 10 août 2006 par dreamer9

[dreamer9]

erraur manip 2 sorry bis, j'avais pas vu le changement de page et ai éditer desespérement mon msg 3 fois. Vous devez mourir de rire. Un peu de douceur dans ce monde de cirquits proceurs

Modifié le 10 août 2006 par dreamer9

[synthexe]

Bonsoir

 

Tu n'as toujours pas fait ceci :

• Télécharge Registry Search de Bobbi Flekman ( <a href="http://www.bleepingcomputer.com/files/misc/RegSearch.zip" target="_blank">http://www.bleepingcomputer.com/files/misc/RegSearch.zip</a> )
  
• Dézippe dans un répertoire dédié tel que C:\Program Files
  
• Double clique sur RegSearch.exe
  
• Copie colle
  wsem3003.dll
  dans la zone de recherche (entre un élément par case)
  
• Ne met rien dans la zone "Enter string to exclude from results"
  
• Clique sur OK
  
• Après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées (le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch)
  
• Copie-colle le contenu de la fenêtre dans ta prochaine réponse
  
• Ferme le Bloc-notes
  
• Ferme RegSearch par Cancel
  

 

Redemarre en mode sans echec ...

Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre votre poste de travail.
  
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
  
• Active la case : "Afficher les fichiers et dossiers cachés"
  
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
  
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
  
• Clique sur "Appliquer".
  Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.
  

Cherche et efface le fichier suivant : C:\WINDOWS\switchagreement.txt

Et celui-ci si tu le trouve :

C:\WINDOWS\system32\TFTP1892

 

Redémarre ton Pc et poste moi un nouveau rapport hijackthis en mode normal

 

Bonne soirée

[dreamer9]

cette fois ci ça a marché :

 

 

 

REGEDIT4

 

; Registry Search by Bobbi Flekman © 2005

; Version: 1.0.2.4

 

; Results at 12/08/2006 02:46:48 for strings:

; 'wsem3003.dll'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

; End Of The Log...

 

 

 

suite au prochain épisode et merci encore

[dreamer9]

Ai suivi tes instructions :

 

supression de "swichagreement.txt

 

MAIS

pas trouvé TFTP 1892

 

(seulemnt TTP 344, TFTP 876, TFTP 1448; TFTP 3852, TFTP.exe)

 

 

 

Voii le rapport HJT en MN :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 03:06:01, on 12/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.9online.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138728298343

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f011.mail.caramail.lycos.fr/app/upl...ileUploader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B328F10B-964B-4427-940D-3C270614C9A1}: NameServer = 84.103.237.140,84.103.237.141

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC7270E1-2A8F-40AD-9A02-4B418FC01216}: NameServer = 194.117.200.10

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

 

 

A bientot, encore merci

[synthexe]

Bonjour dreamer

 

Apres un échange très productif avec Angélique en MP, je te conseillerais ceci :

 

Tout d'abord, une question importante se pose :

Quel est ton FAI ? Es-tu chez Club Internet ? ou chez 9Telecom ?

Dans ton rapport hiajckthis, on peut voir les 2 ...

 

Si tu n'as pas de box (9box.... qui ferait office de firewall), installe IMPERATIVEMENT et TOUT DE SUITE un Firewall :

Tu as par exemple zone alarm, parefeu gratuit et performant :

Téléchargement de ZoneAlarm

Tutorial de configuration : http://speedweb1.free.fr/frames2.php?page=tuto1

Tu as aussi Kerio Personnal Firewall très bon et gratuit aussi :

Téléchargement de Kerio

Tutorial de configuration : http://www.vulgarisation-informatique.com/kerio.php

 

Ensuite fais ceci :

• Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
  
• Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
  
• Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
  
• Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
  

As-tu encore des dysfonctionnements ? Comment se comporte ta machine ?

Il faudra, une fois le Pc propre, mettre a jour ton windows en passant a la SP2 ...

 

Bonne journée, @ tout bientot

[dreamer9]

Bonjour et merci.

 

 

 

Tout d'abord, une question importante se pose :

Quel est ton FAI ? Es-tu chez Club Internet ? ou chez 9Telecom ?>>> 9 télécom

 

 

J'ai la 9box mais avais désactiver le firewal qui me posait qques pb pour certaines actions d'échange.

 

Ensuite fais ceci :

• >>>>Je le fais, mais quelle utilité?
  
• Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
  
• Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
  
• Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
  
• Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
  

As-tu encore des dysfonctionnements ? Comment se comporte ta machine ? >>>> Apparement plus de dysfonctinnement, je ne comprends rien. Si ce n'est qu'hier j'ai eu un plantage internet que j'ai résolu tant bien que mal car la hotline n'a pas pu m'aider. Cela venait sans doute de la box car en la débranchant et rebranchant, tout simplment, tout semble rentré dans l'ordre.

Il faudra, une fois le Pc propre, mettre a jour ton windows en passant a la SP2 ... >>> je l'avais fait mais suis revenu a sp1 car pb de compatibilité avec mon adobe première.

 

A bientot

[dreamer9]

DAMNED,

lorsque je clique sur blbeta.exa, j'ai ce msg :

 

F Secure blacklight could not aquire necessary privileges (SeDebugPrivilege)

Your computer settings may prevent acquiring thes privileges.

A malicious program might have disabled thes privilege.

 

 

 

>>>le programme ne peut donc se lancer