[Résolu] Fenêtre de connexion à un dialer

[Gof]

Re bonsoir bounty555,

 

Bien, l'analyse en ligne Kaspersky n'a pas révélé d'infection. Qu'en est il de ton dialer italien ? Constates tu des disfonctionnements ?

 

En même temps qu'une réponse à ces questions, reposte un log hijackthis -le dernier je pense-(toujours le renommé) que l'on y jette un dernier coup d'oeil. Enfin, refais un scan Panda et poste le résultat.

 

Bon boulot

[bounty555]

Alors les fenetres du dialer ont disparu, j ai eu ensuite des fenetre de pub antivirus ou autre qui s ouvraient assez souvent, mais ca c est arreter.

 

Apparement plus de soucis .

 

Voici le rapport hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 19:35:51, on 27/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\Ati2evxx.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\windows\system32\spoolsv.exe

C:\Program Files\Norton Personal Firewall\NISUM.EXE

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\windows\system32\Ati2evxx.exe

C:\windows\Explorer.EXE

C:\Program Files\Norton Personal Firewall\ccPxySvc.exe

C:\Program Files\CPUCooL\CooLSrv.exe

C:\windows\system32\CTsvcCDA.EXE

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\windows\system32\CTHELPER.EXE

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe

C:\windows\System32\svchost.exe

C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\windows\System32\svchost.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Everest Poker\Everest Poker.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\hiajckthis\bounty.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\YETISP~1\IEBUTT~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\windows\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar3.dll/cmwordtrans.html

O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://videohd.m6.fr.ipercast.net/installer-hidden.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\windows\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\ccPxySvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\windows\system32\CTsvcCDA.EXE

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISUM.EXE

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

 

 

 

et panda :

 

 

Incident Statut Analyse

 

Outil indésirable:application/winantivirus2006 No Désinfecté hkey_local_machine\software\WinAntiVirus Pro 2006

Outil indésirable:application/mywebsearch No Désinfecté hkey_classes_root\clsid\{147A976E-EEE1-4377-8EA7-4716E4CDD239}

Outil indésirable:application/myway No Désinfecté hkey_classes_root\clsid\{66FC8717-EFA7-4546-8C4A-E224F3A80C76}

Adware:adware/powerstrip No Désinfecté Registre Windows

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bluestreak[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@xiti[1].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@doubleclick[1].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@atdmt[2].txt

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@adtech[2].txt

Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@mediaplex[1].txt

Spyware:Cookie/YieldManager No Désinfecté C:\FOUND.091\FILE0016.CHK

 

 

Cordialement

[Gof]

Re,

 

Peux tu faire ceci stp :

 

Copie-colle le texte suivant dans le bloc-notes:

 

RegEdit /e c:\export.txt HKEY_CURRENT_USER\Software\PowerStrip

RegEdit /e c:\export.txt HKEY_CLASSES_ROOT\LSvr.Application

notepad c:\export.txt

del /q c:\export.txt

Sauvegarde comme lookpower.bat sur le Bureau :

Nom: lookpower.bat

Type: Tous les fichiers

 

Localise lookpower.bat sur le Bureau et double-clique dessus. Poste le contenu du bloc-notes. Quand tu fermes le bloc-notes, la fenêtre CMD se fermera et le fichier texte sera effacé. Si le contenu du bloc-notes est vide, indique le moi.

[bounty555]

Re.

 

lorsque je double clique sur lookpower.bat , le bloc note qui suit la fenetre de commande est vide.

 

Une petite fenetre m indique : impossible de trouver le fichier : c:\export.txt

 

Cordialement

[Gof]

Bonsoir Bounty555,

 

lorsque je double clique sur lookpower.bat , le bloc note qui suit la fenetre de commande est vide. Une petite fenetre m indique : impossible de trouver le fichier : c:\export.txt

C'est normal si les clés n'étaient pas présentes.

 

Copie-colle le texte suivant dans le bloc-notes:

REGEDIT4

 

[-hkey_local_machine\software\WinAntiVirus Pro 2006]

 

[-hkey_classes_root\clsid\{147A976E-EEE1-4377-8EA7-4716E4CDD239}]

 

[-hkey_classes_root\clsid\{66FC8717-EFA7-4546-8C4A-E224F3A80C76}]

Sauvegarde comme clean.reg sur le Bureau :

• Nom: clean.reg
  Type: Tous les fichiers
  

Localise clean.reg sur le Bureau et double-clique dessus. A la question "voulez-vous accepter la fusion", clique sur "Oui". Supprime clean.reg.

 

A nouveau copie-colle ce qui suit dans ton bloc-notes :

CHCP 1252

c:

cd \FOUND.091

dir|find "REP">c:\a.txt

dir /ah|find "REP">c:\b.txt

 

cd\

copy a.txt+b.txt vue.txt

notepad vue.txt

del ?.txt

del /q vue.txt

Sauvegarde comme vue.bat sur le Bureau :

• Nom: vue.bat
  Type: Tous les fichiers
  

Double-clique sur vue.bat et copie-colle le contenu du bloc-notes (qui va s'ouvrir) dans ton prochain post.

Supprime à l'issue vue.bat de ton bureau. Vide la corbeille. Toujours pas de nouvelles de fenêtres de pubs ou dialers ?

 

A plus tard

Modifié le 28 août 2006 par Gof

[bounty555]

Bonsoir.

 

voici le contenue du bloc:

 

14/02/2006 17:44 <REP> .

14/02/2006 17:44 <REP> ..

 

Sinon, plus de nouvelle du dialer ou d ouverture de page pub .

 

Cordialement

[Gof]

Re bonsoir bounty555,

 

Peux tu t'assurer visuellement en t'y rendant que ce dossier est vide et me le confirmer :

 

C:\FOUND.091\

 

S'il ne l'est pas, indique moi ce que tu y trouves.

 

EDIT : Bonjour Bounty555

 

me suis trompé dans mon bat (dans mon précédent je ne te faisais que lister les répertoires...), c'est pour cela qu'il ne voit rien. Peux tu recommencer :

 

copie-colle ce qui suit dans ton bloc-notes :

CHCP 1252

c:

cd \FOUND.091

dir >c:\a.txt

dir /ah >c:\b.txt

 

cd\

copy a.txt+b.txt vue.txt

notepad vue.txt

del ?.txt

del /q vue.txt

Sauvegarde comme vue.bat sur le Bureau :

• Nom: vue.bat
  Type: Tous les fichiers
  

Double-clique sur vue.bat et copie-colle le contenu du bloc-notes (qui va s'ouvrir) dans ton prochain post.

Supprime à l'issue vue.bat de ton bureau.

Modifié le 29 août 2006 par Gof

[bounty555]

Bounjour.

 

Voici le resultat du bloc note:

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 3A65-07FC

 

Répertoire de C:\FOUND.091

 

14/02/2006 17:44 <REP> .

14/02/2006 17:44 <REP> ..

14/02/2006 17:44 32 768 FILE0000.CHK

14/02/2006 17:44 32 768 FILE0001.CHK

14/02/2006 17:44 32 768 FILE0002.CHK

14/02/2006 17:44 1 081 344 FILE0003.CHK

14/02/2006 17:44 32 768 FILE0004.CHK

14/02/2006 17:44 32 768 FILE0005.CHK

14/02/2006 17:44 32 768 FILE0006.CHK

14/02/2006 17:44 32 768 FILE0007.CHK

14/02/2006 17:44 32 768 FILE0008.CHK

14/02/2006 17:44 32 768 FILE0009.CHK

14/02/2006 17:44 32 768 FILE0010.CHK

14/02/2006 17:44 32 768 FILE0011.CHK

14/02/2006 17:44 32 768 FILE0012.CHK

14/02/2006 17:44 32 768 FILE0013.CHK

14/02/2006 17:44 32 768 FILE0014.CHK

14/02/2006 17:44 32 768 FILE0015.CHK

14/02/2006 17:44 32 768 FILE0016.CHK

17 fichier(s) 1 605 632 octets

2 Rép(s) 36 162 404 352 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 3A65-07FC

 

Répertoire de C:\FOUND.091

 

 

Cordialement

[Gof]

Bonsoir Bounty555

 

Supprime le dossier :

 

c:\FOUND.091 <- celui-ci.

 

Ferme tes navigateurs, repasse Atf-cleaner de sorte de supprimer cookies et fichiers temporaires :

• Double-cliquer ATF-Cleaner.exe afin de lancer le programme.
  • Pour internet explorer
    Sous l'onglet Main, choisis : Select All
    Clique sur le bouton Empty Selected
    Pour Firefox
    Sous l'onglet Firefox, choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
    Clique Exit, du menu prinicipal, afin de fermer le programme.
    

 

Enfin, refais un scan en ligne Panda pour confirmer :

Fais un scan en ligne avec Panda.

Et poste le rapport qu'il t'affichera à la fin :

• pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici.
  
• Si tu n'y arrives pas, tu trouveras un tuto ici
  
• Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : adresse jetable
  Je t'invite à bien lire le tuto pour comprendre comment sauvegarder le rapport et le poster dans ta prochaine réponse.
  

On arrive au bout

[bounty555]

Bonjour Gof.

 

J