soupçon d'intrusion

patteblanche · le 22 août 2006

Bonjour,

Je suis nouveau ici et disons pas expert en informatique.

Voici mon sujet:

je suspecte une prise de contrôle de mon ordi.

j'ai installé hd observer, et lors d'une connexion, il m'indique ceci:(mille excuses la copie est tronquée):

Par ailleurs, je joins mon log hijackthis.

Log hd observer:

Consultez la fin de ce message pour plus de détails sur l'appel du débogage

juste-à-temps (JIT) à la place de cette boîte de dialogue.

************** Texte de l'exception **************

System.ArgumentOutOfRangeException: L'index était hors limites. Il ne doit pas être négatif et doit être inférieur à la taille de la collection.

Nom du paramètre : index

at System.Collections.ArrayList.RemoveAt(Int32 index)

at WindowsApplication29.Form1.progdemref() in C:\Documents and Settings\Julien\Mes documents\Projets étrangers\Visu Disk Watcher final\WindowsApplication29\Principal.vb:line 16562

at WindowsApplication29.Form1.progdemav() in C:\Documents and Settings\Julien\Mes documents\Projets étrangers\Visu Disk Watcher final\WindowsApplication29\Principal.vb:line 16593

at WindowsApplication29.Form1.Button42_Click(Object sender, EventArgs e) in C:\Documents and Settings\Julien\Mes documents\Projets étrangers\Visu Disk Watcher final\WindowsApplication29\Principal.vb:line 14376

at System.Windows.Forms.Control.OnClick(EventArgs e)

at System.Windows.Forms.Button.OnClick(EventArgs e)

at System.Windows.Forms.Button.WndProc(Message& m)

at System.Windows.Forms.ControlNativeWindow.OnMessage(Message& m)

at System.Windows.Forms.ControlNativeWindow.WndProc(Message& m)

at System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)

************** Assemblys chargés **************

mscorlib

Version de l'assembly : 1.0.5000.0

Version Win32 : 1.1.4322.573

CodeBase : file:///c:/windows/microsoft.net/framework/v1.1.4322/mscorlib.dll

----------------------------------------

HD Observer

Version de l'assembly : 1.0.2035.4611

Version Win32 : 1.0.2035.4611

CodeBase : file:///C:/Program%20Files/Process%20Leader%20Software/HD%20Observer/HD%20Observer.exe

----------------------------------------

System.Windows.Forms

Version de l'assembly : 1.0.5000.0

Version Win32 : 1.1.4322.573

CodeBase : file:///c:/windows/assembly/gac/system.windows.forms/1.0.5000.0__b77a5c561934e089/system.windows.forms.dll

----------------------------------------

System

Version de l'assembly : 1.0.5000.0

Version Win32 : 1.1.4322.573

CodeBase : file:///c:/windows/assembly/gac/system/1.0.5000.0__b77a5c561934e089/system.dll

----------------------------------------

Microsoft.VisualBasic

Version de l'assembly : 7.0.5000.0

Version Win32 : 7.10.3052.4

CodeBase : file:///c:/windows/assembly/gac/microsoft.visualbasic/7.0.5000.0__b03f5f7f11d50a3a/microsoft.visualbasic.dll

----------------------------------------

System.Drawing

Version de l'assembly : 1.0.5000.0

Version Win32 : 1.1.4322.573

CodeBase : file:///c:/windows/assembly/gac/system.drawing/1.0.5000.0__b03f5f7f11d50a3a/system.drawing.dll

----------------------------------------

Microsoft.VisualBasic.Compatibility

Version de l'assembly : 7.0.5000.0

Version Win32 : 7.10.3077

CodeBase : file:///C:/Program%20Files/Process%20Leader%20Software/HD%20Observer/Microsoft.VisualBasic.Compatibility.DLL

----------------------------------------

System.resources

Version de l'assembly : 1.0.5000.0

Version Win32 : 1.1.4322.573

CodeBase : file:///c:/windows/assembly/gac/system.resources/1.0.5000.0_fr_b77a5c561934e089/system.resources.dll

----------------------------------------

mscorlib.resources

Version de l'assembly : 1.0.5000.0

Version Win32 : 1.1.4322.573

CodeBase : file:///c:/windows/assembly/gac/mscorlib.resources/1.0.5000.0_fr_b77a5c561934e089/mscorlib.resources.dll

----------------------------------------

Microsoft.VisualBasic.resources

Version de l'assembly : 7.0.5000.0

Version Win32 : 7.10.3052.4

CodeBase : file:///c:/windows/assembly/gac/microsoft.visualbasic.resources/7.0.5000.0_fr_b03f5f7f11d50a3a/microsoft.visualbasic.resources.dll

----------------------------------------

SYSTEM.WINDOWS.FORMS.resources

Version de l'assembly : 1.0.5000.0

Version Win32 : 1.1.4322.573

CodeBase : file:///c:/windows/assembly/gac/system.windows.forms.resources/1.0.5000.0_fr_b77a5c561934e089/system.windows.forms.resources.dll

----------------------------------------

************** Débogage JIT **************

Pour activer le débogage juste-à-temps (JIT), le fichier de configuration pour cette

application ou cet ordinateur (machine.config) doit avoir la valeur

jitDebugging définie dans la section system.windows.forms.

L'application doit également être compilée avec le débogage

activé.

Par exemple :

<system.windows.forms jitDebugging="true" />

</configuration>

Lorsque le débogage juste-à-temps est activé, les exceptions non gérées

seront envoyées au débogueur JIT inscrit sur l'ordinateur

plutôt que d'être gérées par cette boîte de dialogue.

Je n'y connais rien, mais je n'ai pas de fichier julien en c qui me concerne!

quelqu'un peut me renseigner?

Log hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 00:35:25, on 23/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\dllhost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Soft4Ever\looknstop\looknstop.exe

C:\Program Files\Softwin\BitDefender9\bdmcon.exe

C:\Program Files\Softwin\BitDefender9\bdnagent.exe

C:\Program Files\Softwin\BitDefender9\bdswitch.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Process Leader Software\HD Observer\HD Observer.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Softwin\BitDefender9\vsserv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Documents and Settings\Propriétaire\Mes documents\moi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto

O4 - HKLM\..\Run: [bDMCon] "C:\Program Files\Softwin\BitDefender9\bdmcon.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "C:\Program Files\Softwin\BitDefender9\bdnagent.exe"

O4 - HKLM\..\Run: [bDSwitchAgent] "C:\Program Files\Softwin\BitDefender9\bdswitch.exe"

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [HD Observer] "C:\Program Files\Process Leader Software\HD Observer\HD Observer.exe"

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1153088477890

O16 - DPF: {6E2D6932-3885-4FA2-8DD4-DB63FFE33797} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkCnv.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9EA61873-8A6D-47A6-BCC6-B0493056B313}: NameServer = 80.10.246.1 80.10.246.132

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Ql1wsntuwwm - Sonic Solutions - (no file)

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Merci de votre aide.

Aller à : HardwareLogicielsInternet & RéseauxOverclockingOSSécurité - VirusImage & SonProgrammationLogithèqueDiscussions GénéralesActualitéSociétéCinéma / TéléMusique / RadioSportsSorties / Voyages / LoisirsSanté / AmourEtudes / TravailCoin des IDNautesLivres / Bouquins / ComicsLes newsFPS / Action / Quake-LikeRPG / Stratégie / MMORPGSport / Course / SimulationPlateforme / Jeu de sociétéAventureAutres genresConsoles

Ajouter une réponse

FORUM Infos-du-Net » Sécurité - Virus » suspicion de piratage!

Sujets relatifs

piratage msn et blog... probleme de connexion automatique

Gof · le 23 août 2006

Bonjour patteblanche ,

Messages: 1

Bienvenue sur les forums de Zebulon

Quelques liens pour t'aider à commencer dans l'utilisation de ce forum :

Je n'ai pas de réponse à ta question, je ne sais pas analyser ce type de logs. Un conseiller-sécu saura peut-être d'avantage t'aider et te répondre.

En attendant, Julien ici, ne correspond pas à un fichier mais à un dossier et à un nom d'une session windows.

Sur un autre registre, peux tu m'apporter quelques précisions sur ton pare-feu ?

Gloup · le 23 août 2006

Bonjour patteblanche ,

Bienvenue sur les forums de Zebulon

Quelques liens pour t'aider à commencer dans l'utilisation de ce forum :

Comment participer à un forum

retrouver ses messages et activer la notification par email

Je n'ai pas de réponse à ta question, je ne sais pas analyser ce type de logs. Un conseiller-sécu saura peut-être d'avantage t'aider et te répondre.

En attendant, Julien ici, ne correspond pas à un fichier mais à un dossier et à un nom d'une session windows.

Sur un autre registre, peux tu m'apporter quelques précisions sur ton pare-feu ?

salut

je ne suis pas non plus un expert,mais va "ici"à cette adresse,colle

ton log,et clic evaluation en bas

http://hijackthis.de/index.php?langselect=french

Modifié le 23 août 2006 par Gloup

bruce lee · le 23 août 2006

Bonjour a tous,

Désolé d'intervenir sur le sujet gof.

Gloup, les analyseurs en ligne ont des faux positifs, il est donc déconseillé de faire analyser un log.

la preuve, dans le log de patteblanche, il y a cette ligne:

O17 - HKLM\System\CCS\Services\Tcpip\..\{9EA61873-8A6D-47A6-BCC6-B0493056B313}: NameServer = 80.10.246.1 80.10.246.132

dans l'analyseur en ligne, le resultat est eventuellement mechant alors que ca correspond a:

dns-adsl-gpe1-b.wanadoo.fr (80.10.246.132)

80.10.246.0 - 80.10.247.255

France Telecom IP backbone

Wanadoo France Technical Role

FRANCE TELECOM/SCR

48 rue Camille Desmoulins

92791 ISSY LES MOULINEAUX CEDEX 9

FR

+33 1 58 88 50 00

abuse@wanadoo.fr

Donc ce n'est pas du tout nefaste.

@+

Gof · le 23 août 2006

Bonjour Gloup, patteblanche, Bruce lee

Merci Bruce lee de ton post. Gloup, bruce lee a raison, il faut utiliser avec beaucoup de précaution les robots analyseurs en ligne.

Lorsque je disais que je ne sais pas analyser ce genre de logs, je voulais parler du log hd observer.

Je reviendrai ce soir.

patteblanche · le 23 août 2006

Bonjour Gloup, patteblanche, Bruce lee

Merci Bruce lee de ton post. Gloup, bruce lee a raison, il faut utiliser avec beaucoup de précaution les robots analyseurs en ligne.

Lorsque je disais que je ne sais pas analyser ce genre de logs, je voulais parler du log hd observer.

Je reviendrai ce soir.

Merci de l'intérêt que vous portez à mon pb, et excusez de ne répondre que maintenant, je ne suis pas tjrs derrière mon ordi même si j'y prête bcp d'attention.

Je reviendrai ce soir pour voir si qq'un a trouvé ce que je peux faire.

A ce soir, merci.

Gof · le 23 août 2006

Bonsoir patteblanche

Je t'avais dit écrit ceci ce matin :

En attendant, Julien ici, ne correspond pas à un fichier mais à un dossier et à un nom d'une session windows.

Sur un autre registre, peux tu m'apporter quelques précisions sur ton pare-feu ?

Donc, j'imagine que la session Julien te dit quelque chose ? Peux tu me parler de ton pare-feu ?

Précise moi, à part le rapport que tu as joint de Hd Observer, ce qui te fait penser à une intrusion ?

Pourquoi suspectes tu cela ? Qu'as tu constaté ?

Modifié le 23 août 2006 par Gof

patteblanche · le 24 août 2006

Bonsoir patteblanche

Je t'avais dit écrit ceci ce matin :

Donc, j'imagine que la session Julien te dit quelque chose ? Peux tu me parler de ton pare-feu ?

Précise moi, à part le rapport que tu as joint de Hd Observer, ce qui te fait penser à une intrusion ?

Pourquoi suspectes tu cela ? Qu'as tu constaté ?

Bonjour,

Me voilà un peu plus disponible, désolé pour ma lenteur à répondre.

La session julien ne me dit absolument rien, ce n'est pas mon prénom, et le seul autre utilisateur est mon petit-fils qui ne s'appelle pas Julien.

Mon pare-feu est Look'n'stop.

Les symptômes qui m'inquiètent sont que je ne peux pas mener une analyse antivirus à terme avec bit defender, et que je ne peux plus ni l'installer ni le désinstaller correctement..Certains fichiers ne peuvent plus se supprimer même avec l'aide du support bit defender... au moins une vingtaine de manips tentées en commun en hot line. D'autre part les mises à jour windows up date sont capricieuses et outlook express m'a posé des pbs avec à un moment suppression totale de mes messages. (Ma connexion ethernet wanadoo est parfois fantaisiste aussi!

J'ai bien entendu passé tous mes antispyware qui ne détectent rien (ewido, ad aware se, spysweeper).

C'est comme si mes systèmes de sécurité avaient été neutralisés et que je travaille en fait sur des pages qui auraient un interface avant.

De plus lorsque j'utilise ccleaner, il me faut tjrs après une analyse cliquer une 2ème fois pour la suppression des fichiers inutiles après un premier balayage.

Voilà, je suis très perplexe... mais je ne suis pas du tout expert en informatique bien qu'un peu averti quand même.

Qu'enpenses-tu?

Merci de ton attention et à te lire.

Gof · le 24 août 2006

Bonsoir patteblanche,

On va reprendre depuis le début, et on va voir si on trouve quelque chose. Suis la procédure qui suit qui est une pré-procédure de nettoyage. Même si tu as déja passé de nombreux outils et que cette pré-procédure ne relève rien, elle aura le mérite d'alléger les rapports suivants.

Je ne vois toujours pas de pare-feu ! Active celui d'XP par défaut. ou télécharge un de ces derniers :

Voila quelques liens pour des pare-feux gratuits (la liste n'est pas exhaustive) :

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://www.zonelabs.com/store/content/cata...&lid=nav_za

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

Kerio (2 versions également)

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen : http://benoit.aun.free.fr/securite-facile-php/jetico.php

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, désactive le pare-feu windows et lance l'installation de ton pare-feu.

Désinstalle Bitdefender dans un premier temps, j'ai l'impression que les services qui lui sont associés sont manquants. Et ne désinstalle pas Antivir comme indiqué dans la procédure qui suit. Je te ferais désinstaller Antivir et réinstaller Bitdefender si tu le souhaites par la suite.

J'attire ton attention sur le paramétrage d'Antivir qui est important, et sur le placement de Hijackthis.exe Dans ton cas, ne retélécharge pas Hijackthis, mais déplace le, comme indiqué en fin de procédure.

Phase 1

Faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

Télécharger Antivir

Installer Antivir : Il est impératif de le configurer correctement afin de faire le meilleur scan possible ,
voir la procédure suivante (imprimez la) => Tutoriel de tesgaz

Allez jusqu'à l'étape: Configuration du tutoriel de tesgaz, dans ce paragraphe , seule la partie suivante nous interesse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives" .Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard".

Si l'utilisateur désire conserver Antivir une fois la procédure de prénettoyage terminée(parce qu'il n'a pas d'antivirus par exemple) , il devra suivre le tutoriel en entier pour pouvoir bénéficier de la protection résidente !

PRECISIONS IMPORTANTES: le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :
- failles de votre antivirus qui a laissé passer des malwares
- Antivir peut-être installé et désinstallé facilement
- Antivir est reconnu pour son efficacité en mode sans échec
- le tutorial de tesgaz permet de le paramétrer sans problème.

Télécharger la dernière version d'HijackThis ou ici( en cas d'indisponibilité !)

Phase 2

Redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote sur les touches [F8] et [F5] en alternance jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].
NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec=>
Comment démarrer l'ordinateur en mode sans échec

A l'ouverture de session, choisir la session courante et non celle de l'administrateur

Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>

-Activer la case : "Afficher les fichiers et dossiers cachés"
-Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"
-Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"
-Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

Phase 3

Nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel, comme indiqué ci-dessous.
Utilisateurs XP, assurez vous également de faire ceci => suppression de tous les fichiers contenus dans les dossiers=>
-C:\TEMP
-C:\WINDOWS\TEMP
-C:\Documents And Settings\Session utilisateur\Local Settings\Temp
-C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
-Vider la corbeille

Recherche et élimination des parasites avec Antivir=>
lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)
Sauvegarder le rapport!

Désinstallation d'Antivir(pour ceux qui ne souhaitent pas conserver le logiciel)=> terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

Redémarrer le PC en mode normal

Installation et utilisation d'HijackThis=>

Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renommer Hijackthis.exe en [votre pseudo sur zebulon].exe (ne pas insérer d'espace, ponctuation ou de caractères accentués dans le nom) ; créer un raccourci sur le bureau.
Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

Arrêter tous les programmes en cours et fermer toutes les fenêtres

Lancer HijackThis (renommé) à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.

Phase 4

- Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire. Puis faire de même avec le rapport antivir.

- Attendre l'analyse et la réponse.

Auteur : Megataupe / nouveau canned par Charles Ingals

Je te demanderais d'ajouter aux deux rapports déjà demandés ces deux-ci :

-Exécute Hijackthis

Clique sur Open the misc tools sections
Clique sur Open uninstall Manager
Clique sur Save list

-Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.

-Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

A bientôt.

Modifié le 24 août 2006 par Gof

patteblanche · le 25 août 2006

Bonsoir patteblanche,

On va reprendre depuis le début, et on va voir si on trouve quelque chose. Suis la procédure qui suit qui est une pré-procédure de nettoyage. Même si tu as déja passé de nombreux outils et que cette pré-procédure ne relève rien, elle aura le mérite d'alléger les rapports suivants.

Je ne vois toujours pas de pare-feu ! Active celui d'XP par défaut. ou télécharge un de ces derniers :

Désinstalle Bitdefender dans un premier temps, j'ai l'impression que les services qui lui sont associés sont manquants. Et ne désinstalle pas Antivir comme indiqué dans la procédure qui suit. Je te ferais désinstaller Antivir et réinstaller Bitdefender si tu le souhaites par la suite.

J'attire ton attention sur le paramétrage d'Antivir qui est important, et sur le placement de Hijackthis.exe Dans ton cas, ne retélécharge pas Hijackthis, mais déplace le, comme indiqué en fin de procédure.

[*]Télécharger la dernière version d'HijackThis ou ici( en cas d'indisponibilité !)

Phase 2

Redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote sur les touches [F8] et [F5] en alternance jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].
NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec=>
Comment démarrer l'ordinateur en mode sans échec

A l'ouverture de session, choisir la session courante et non celle de l'administrateur

Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>

-Activer la case : "Afficher les fichiers et dossiers cachés"
-Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"
-Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"
-Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

Phase 3

Nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel, comme indiqué ci-dessous.
Utilisateurs XP, assurez vous également de faire ceci => suppression de tous les fichiers contenus dans les dossiers=>
-C:\TEMP
-C:\WINDOWS\TEMP
-C:\Documents And Settings\Session utilisateur\Local Settings\Temp
-C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
-Vider la corbeille

Recherche et élimination des parasites avec Antivir=>
lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)
Sauvegarder le rapport!

Désinstallation d'Antivir(pour ceux qui ne souhaitent pas conserver le logiciel)=> terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

Redémarrer le PC en mode normal

Installation et utilisation d'HijackThis=>

Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renommer Hijackthis.exe en [votre pseudo sur zebulon].exe (ne pas insérer d'espace, ponctuation ou de caractères accentués dans le nom) ; créer un raccourci sur le bureau.
Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

Arrêter tous les programmes en cours et fermer toutes les fenêtres

Lancer HijackThis (renommé) à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.

Phase 4

- Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire. Puis faire de même avec le rapport antivir.

- Attendre l'analyse et la réponse.Auteur : Megataupe / nouveau canned par Charles Ingals

Je te demanderais d'ajouter aux deux rapports déjà demandés ces deux-ci :

-Exécute Hijackthis

Clique sur Open the misc tools sections

Clique sur Open uninstall Manager

Clique sur Save list

-Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.

-Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

A bientôt.

Bonjour gof et merci pour ton aide précieuse à un pauvre vieillard débile

Bon, j'ai fait les manips indiquées et voici les logs suivants :

AntiVir PersonalEdition Classic

Report file date: vendredi 25 août 2006 01:10

Jobname: 'ShlExt'

Scanning for 370940 virus strains and unwanted programs.

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: Propriétaire

Computer name: CHAMBRE

Version informations:

AVSCAN.EXE : 7.0.0.35 540712 21/04/2006 12:47:04

AVSCAN.DLL : 7.0.0.34 41000 05/04/2006 11:03:57

LUKE.DLL : 7.0.0.34 114728 05/04/2006 11:03:58

LUKERES.DLL : 7.0.0.34 25640 05/04/2006 11:03:58

ANTIVIR0.VDF : 6.32.0.60 4323840 02/05/2006 08:29:08

ANTIVIR1.VDF : 6.34.0.209 1930240 02/05/2006 08:29:09

ANTIVIR2.VDF : 6.34.1.1 89600 01/05/2006 17:17:55

ANTIVIR3.VDF : 6.34.1.26 48128 01/05/2006 17:17:55

AVEWIN32.DLL : 7.0.0.8 1171968 21/04/2006 15:40:14

AVPREF.DLL : 6.34.0.0 38440 18/01/2006 12:06:00

AVREP.DLL : 6.34.1.20 2371624 01/05/2006 17:17:56

AVPACK32.DLL : 7.0.0.4 335912 29/03/2006 09:44:25

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49

NETNW.DLL : 6.32.0.0 9768 27/09/2005 07:56:49

Start of the scan: vendredi 25 août 2006 01:10

Start scanning boot sectors:

Boot sector 'C:'

[NOTE] No virus was found!

Starting the file scan:

C:\pagefile.sys