Rapport HijackThis post infection...

[piece of wood]

Salut !

 

Suite à un plantage généralisé de l'ordi de mes parents auquel je n'ai rien pu faire d'autre qu'un formatage total, j'ai décidé d'en apprendre un peu plus sur l'éradication des malwares et la sécurité sur internet en général. J'ai eu la chance de tomber sur ce site et j'ai été agréablement surpris par l'ambiance d'entraide saine qui y règne alors qu'ailleurs il faut payer un hotline pour avoir un service moins compétent et pas toujours aimable.

 

Spybot m'ayant révélé que ma machine n'était pas parfaitement propre non plus j'ai pris le taurreau par les cornes et j'ai passé quelques journées sur ce forum et les bons liens auxquels il renvoie, afin de me démerder autant que possible par moi même. Comme les méthodes de pré-fixage HijackThis varient un peu, je me suis fait un mix :

 

Démarrage en mode sans échec, désinstallation de Avast, installation d'antivir.

Redemarrage en mode normal :

- mise à jour d'antivir et config suivant les conseils de tesgaz.

- insallation et mise à jour de Ewido.

- insallation et mise à jour de A².

- mise à jour de Spybot.

- mise à jour de Adaware.

 

Redemarrage en mode sans échec :

- Nettoyage Ccleaner et arrêt de la restauration système.

- Scan antivir qui a tilté sur un fichier SmitfraudFix.exe que j'ai téléchargé sur zébulon mais qui est apparement un faux positif, et sur un trojan dans un fichier uninstall de skype (je crois avoir déjà vu ça quelquepart). Par contre il m'a alerté que plusieurs fichiers de "C:\WINDOWS\system32\config\" ne pouvaient pas être ouverts... est-ce normal ou est-ce un signe d'infection ?

- Scan Spybot qui n'a rien retrouvé.

- Scan Adaware qui n'a rien retrouvé à part quelques MRU.

- Scan Ewido qui m'a retrouvé et nettoyé ça :

C:\WINDOWS\system32\{973A9DBA-A399-46B0-A620-2933651A2E8C}.exe -> Adware.Casino : Cleaned.

HKLM\SOFTWARE\Classes\Media-Codec.Chl -> Adware.Generic : Cleaned.

HKLM\SOFTWARE\Classes\Media-Codec.Chl\CLSID -> Adware.Generic : Cleaned.

- Scan A² qui a lui aussi tilté sur SmitfraudFix.exe mais rien d'autre.

- Scan CWShredder qui n'a rien trouvé.

 

Redémarrage en mode normal. Scan online Kaspersky des points sensibles.

Désinstallation d'antivir, réinstallation d'avast (parceque j'ai plus l'habitude de ce dernier)

 

Redémarrage. Installation HijackThis et scan.

 

 

Je pense qu'après tout ça mon ordi est clean... qu'en pensez-vous ? Pour vérifier j'ai essayé d'interprêter ce dernier rapport en suivant le tutoriel de zébulon http://www.zebulon.fr/articles/analyse-rap...jack-this-3.php

mais j'ai buté sur quelques lignes et si quelqu'un a un peu de temps, j'aurais besoin de quelques explications :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

Euh, c'est pas présenté comme ça dans le tutoriel, mais ça a pas l'air bien méchant non ?

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Ca a l'air innofensif mais un truc me gène c'est que dans la startup list de Pacman le nom [KernelFaultCheck] avec majuscules fait référence à un trojan mais le reste de la ligne correspond à un programme normal.

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

Toujours dans la Startup list de Pacman il est noté "N" mais est-ce qu'il vaut pas mieux le laisser activé en cas de mise à jour de sécurité Java (si ça existe)

 

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

Encore une histoire de majuscule à laquelle je sais pas si il faut accorder de l'importance.

 

O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?

Je pense que ça fait référence à ma clé Wifi, dois-je le fixer juste pour voir si ça pose problème ?

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

Je vois pas à quels boutons ils font référence, et faut-il fixer tous les "file missing"?

 

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{1220CD71-2423-4410-8370-66B44E2FF508}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\..\{60C11FBC-6364-44CA-87C8-2FA2B3EB1ECA}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\..\{70CB9842-8653-4712-8B1A-534C300B2440}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\..\{7CDE9EB0-62E5-42A3-9B11-495E98F95AE0}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.4 85.255.112.14

O17 - HKLM\System\CS1\Services\Tcpip\..\{1220CD71-2423-4410-8370-66B44E2FF508}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.4 85.255.112.14

Voilà la partie qui m'inquiète le plus : je n'ai pas trouvé ces IP comme DNS de free (mon FAI), google ne me donne rien et http://www.all-nettools.com/toolbox m'induique un truc bizarre en ukraine...!!! Remarque : j'utilise ma freebox en routeur wifi, je sais pas si ça peut jouer.

 

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

Tous les liens proposés sur la page de formation à HijackThis on l'air de déconner, mais ça a pas l'air méchant... Même question pour les file missing?

 

 

 

Merci d'avance pour vos réponses, j'essaie d'apprendre à me démerder tout seul en comprenant comment tout ça fonctionne, et ça me gène un peu de vous déranger pour ça alors que d'autres ont de plus gros pépins que moi. C'est pour ça que j'ai filtré mon rapport HijackThis, mais si vous préférez l'avoir en entier ça change rien pour moi. Et si vous pensez que mon post a rien à faire ici c'est pas grave, je comprendrais.

 

Merci

[bruce lee]

bonjour a tous,

 

désolé, un petit bug.

Modifié le 28 août 2006 par bruce lee

[tornado]

Bonsoir piece of wood,

 

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

Euh, c'est pas présenté comme ça dans le tutoriel, mais ça a pas l'air bien méchant non ?

 

Ca correspond au dossier des url d'IE contenues dans Outils > Favoris > Liens

Dans ton cas, il y en a pas, la ligne est inutile, mais pas infectieuse.

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Ca a l'air innofensif mais un truc me gène c'est que dans la startup list de Pacman le nom [KernelFaultCheck] avec majuscules fait référence à un trojan mais le reste de la ligne correspond à un programme normal.

 

Cette ligne apparaît suite à un écran bleu / disfonctionnement matérielle... pas infectieuse

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

Toujours dans la Startup list de Pacman il est noté "N" mais est-ce qu'il vaut pas mieux le laisser activé en cas de mise à jour de sécurité Java (si ça existe)

 

Tu as entièrement raison, il vaut mieux la laisser. Java non à jour peut-être un risque de sécurité, car ses scripts, pendant ta navigation, peuvent être utilisés à des fins infectieuses.

 

 

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

Encore une histoire de majuscule à laquelle je sais pas si il faut accorder de l'importance.

 

De mise à jour tu veux dire ? Cette ligne correspond au processus de màj d'Adobe acrobat reader... elle n'est pas vraiment importante, étant donné qu'Adobe détecte les màj au lancement du logiciel.

 

 

O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?

Je pense que ça fait référence à ma clé Wifi, dois-je le fixer juste pour voir si ça pose problème ?

 

Apparemment, cette ligne correspond au démarrage du logiciel pour configurer ton WIFI.

Pour l'instant, laisse là... l'optimisation n'est que secondaire.

 

 

Je passe l'autre paquet de ligne (on en reparlera dans le cadre d'une optimisation si tu veux). On va s'intéresser aux ligne O17, qui sont effectivement infectieuses, et sont sûrement liées à l'infection Wareout . Veux tu bien faire ceci s'il te plait ? :

 

================================================================

 

Télécharge FixWareout de l'un de ces deux liens :

http://downloads.subratam.org/Fixwareout.exe

http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe

 

Sauvegarde-le sur ton Bureau, puis lance-le.

Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish.

Suis les directives à l'écran.

L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît.

Le redémarrage risque de prendre un peu plus de temps; ceci est normal.

Lorsque redémarré, un fichier texte apparaîtra (report.txt); copie/colle ce rapport dans ta prochaine réponse, avec un nouveau rapport HijackThis! également.

 

________________________________________________________________________________

 

Ensuite, scanne ton pc avec cet autre outil (après le redémarrage de FixWareout) :

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

================================================================

 

 

 

En tout, tu as 3 rapports à poster :

- report.txt

- le nouveau rapport Hijackthis

- celui de blacklight

 

 

 

A+ et bonne chance

 

 

 

EDIT: Salut Charles, bruce lee,

 

Bruce lee avait en fait posté 2 min avant moi et je n'avais pas vu son post. J'ai actualisé et il a tout remplacé par "un petit bug" ...

Modifié le 28 août 2006 par tornado

[Thanos]

3 sur le même sujet!! on peux pas dire qu'on est pas dévoués lol! je te laisse tornado Modifié le 28 août 2006 par charles ingals

[piece of wood]

D'abord merci beaucoup pour la rapidité de ta réponse tornado (et merci charles et bruce lee !!)!!

 

Et m***e, moi qui croyait mon ordi propre... allé hop voilà les rapports :

 

 

N°1 Fixwareout

 

Fixwareout ver 1.003

Last edited 8/11/2006

Post this report in the forums please

 

Reg Entries that were deleted

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ypszr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\daolnwodi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes

...

 

Random Runs removed from HKLM

...

 

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

 

»»»»» Searching by size/names...

 

»»»»»

Search five digit cs, dm and jb files.

This WILL/CAN also list Legit Files, Submit them at Virustotal

 

Other suspects.

Directory of C:\WINDOWS\system32

 

»»»»» Misc files.

 

»»»»» Checking for older varients covered by the Rem3 tool.

 

 

 

N°2 Nouveau HijackThis, en entier cette fois...

 

Logfile of HijackThis v1.99.1

Scan saved at 19:27:28, on 28/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\WINDOWS\system32\DeltTray.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

C:\Program Files\iRiver\HSeries\iHPDetect.exe

C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\PeerGuardian2\pg2.exe

C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanCU.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [DeltTray] DeltTray.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [iHP-100] C:\Program Files\iRiver\HSeries\iHPDetect.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://camera1.mairie-brest.fr/activex/AxisCamControl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1220CD71-2423-4410-8370-66B44E2FF508}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\..\{60C11FBC-6364-44CA-87C8-2FA2B3EB1ECA}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\..\{70CB9842-8653-4712-8B1A-534C300B2440}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\..\{7CDE9EB0-62E5-42A3-9B11-495E98F95AE0}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.4 85.255.112.14

O17 - HKLM\System\CS1\Services\Tcpip\..\{1220CD71-2423-4410-8370-66B44E2FF508}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.4 85.255.112.14

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

 

N°3 Enfin celui de blacklight...

 

 

 

08/28/06 19:21:04 [info]: BlackLight Engine 1.0.46 initialized

08/28/06 19:21:04 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/28/06 19:21:08 [Note]: 7019 4

08/28/06 19:21:08 [Note]: 7005 0

08/28/06 19:21:19 [Note]: 7006 0

08/28/06 19:21:19 [Note]: 7011 2036

08/28/06 19:21:19 [Note]: 7026 0

08/28/06 19:21:20 [Note]: 7026 0

08/28/06 19:21:28 [Note]: FSRAW library version 1.7.1019

08/28/06 19:24:46 [Note]: 2000 1006

08/28/06 19:24:46 [Note]: 2000 1006

08/28/06 19:26:04 [Note]: 7007 0

 

 

 

 

Voilà... dites, c'est grave docteur ?? Plus sérieusement, vu que j'essaie de m'interesser un peu, c'est quel genre de malware ce Wareout ?

[tornado]

Re,

 

 

Maintenant, fais ceci :

 

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver

 

======================================================================

 

 

Etape 1 : Téléchargement / installation des outils nécessaires

 

=> Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a)

 

- Ewido anti-malware d' Ewido Networks --> http://www.ewido.net/en/download/

-- Pour commencer, installe Ewido en suivant les instructions données par le logiciel

-- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

-- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

-- Ferme Ewido. Ne pas le lancer tout de suite.

- Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html

 

- ATF-cleaner d'Atribune--> http://www.atribune.org/public-beta/ATF-Cleaner.exe

-- Le logiciel ne nécessitant pas d'installation, tu peux le lancer directement, en double-cliquant dessus

-- Tu peux donc déplacer ATF-cleaner.exe sur le bureau (comme ça, tu l'as de suite "sous la main")

 

- Jv16 Powertools de Jouni Vuorio --> http://telechargement.zebulon.fr/201-jv16-powertools.html

-- Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page)

 

 

 

Etape 2 : Utilisation d'Hijackthis/Suppression des lignes infectieuses

 

- Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) :

 

O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe => susceptible d'apporter des infections

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{1220CD71-2423-4410-8370-66B44E2FF508}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\..\{60C11FBC-6364-44CA-87C8-2FA2B3EB1ECA}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\..\{70CB9842-8653-4712-8B1A-534C300B2440}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\..\{7CDE9EB0-62E5-42A3-9B11-495E98F95AE0}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.4 85.255.112.14

O17 - HKLM\System\CS1\Services\Tcpip\..\{1220CD71-2423-4410-8370-66B44E2FF508}: NameServer = 85.255.115.4,85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.4 85.255.112.14

 

 

- Clique sur le bouton "Fix checked"

 

 

Etape 3 : Redémarrage en mode sans échec

 

On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication :

 

- Va dans Démarrer > Arrêter l'ordinateur > choisis Redémarrer . Dès que la fermeture de Windows est terminée, le système commence à redémarrer (écran noir) puis le BIOS se charge. Commence dès cet instant à tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuye sur [Entrée].)

 

- Le tuto si tu bloques sur quelque chose => http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

 

Etape 4 : Désinstallation de Peerguardian

 

Va dans démarrer > panneau de configuration > Ajouter ou supprimer des programmes. Sélectionne alors le programme suivant, et désinstalle-le en cliquant sur supprimer :

 

- PeerGuardian

 

 

 

Etape 5 : Suppression du dossier de PeerGuardian

 

Depuis l'explorateur Windows :

 

=> Supprime le dossier suivant (en gras) :

 

- C:\Program Files\PeerGuardian2

 

 

 

=> Vide la corbeille

 

 

Etape 6 : Nettoyage des fichiers temporaires + registre

 

On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires :

 

=> Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement)

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

=> Jv16 powertools (pour le nettoyage du registre uniquement)

 

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

(si il ya quelque chose qui t'échappe, sers toi du tuto de la page web )

 

 

Etape 7 : Scan avec Ewido

 

On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis :

• Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
   
  
• Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
   
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  

Etape 8 : Nettoyage du registre

 

On va à nouveau nettoyer ton registre avec Jv16, car la suppression des fichiers détectés par Ewido y a probablement laissé des traces. N'effectue pas cette étape si Ewido n'a rien détecté :

 

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

 

 

Etape 9 : Redémarrage en mode normal

 

- Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5)

 

 

Etape 10 : Nouveau rapport Hijackthis

 

Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse

 

======================================================================

 

Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse :

 

- Le rapport d'Ewido

- Le nouveau rapport Hijackthis (généré en mode normal)

 

 

 

Du boulot en perspective... bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

Modifié le 28 août 2006 par tornado

[piece of wood]

Salut

J'ai fait tout ce que tu m'as dit...

 

Par contre Ewido n'ayant rien trouvé il n'a pas généré de rapport (je n'avais pas décoché la case only if threats were found)

Voici donc celui d'HijackThis :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:47:17, on 28/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\WINDOWS\system32\DeltTray.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

C:\Program Files\iRiver\HSeries\iHPDetect.exe

C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanCU.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [DeltTray] DeltTray.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [iHP-100] C:\Program Files\iRiver\HSeries\iHPDetect.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://camera1.mairie-brest.fr/activex/AxisCamControl.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

 

Merci...

[tornado]

Re,

 

 

Le nouveau rapport Hijackthis est propre... beau boulot

 

Et si Ewido n'a rien trouvé, tant mieux... cela signifie que tu avais déjà en grande partie désinfecté le système (à part pour Wareout).

 

 

On va à présent vérifier si il reste des traces de malwares sur ton système, par le biais d'un scan antivirus en ligne :

 

=====================================================

 

* Scan Av en ligne : Panda Activescan

 

- Vérifie, pour commencer, qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie

Paramétrer Internet Explorer

 

- Commence par désactiver le bouclier Web d'avast ( clic droit sur dans la barre des tâches => arrêter le service => bouclier web ) car l'activex de panda et avast entrent en conflit. Ne t'inquiète pas, tu ne risques rien

 

- Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html

- Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin)

- Réactive le bouclier Web d'avast

- Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_Morte)

 

========================================================

 

Pense à faire un copier/coller du rapport dans ta prochaine réponse.

 

 

A+

 

 

PS: As-tu encore des disfonctionnements ?

[piece of wood]

Ok, voilà le scan de panda

 

 

 

Incident Statut Analyse

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Pierre1\Cookies\pierre1@xiti[1].txt

 

 

 

Je l'avoue, j'ai surfé sur le site de rmc info entre temps, qui a dû me balancer ce cookie, pour le reste ça a l'air bon.

Mon ordi n'a plus de disfonctionnement, même si il n'en avait pas beaucoup avant par rapport à ce que j'ai pu voir.

 

Par contre j'ai encore quelques petites questions :

 

Pense qu'il est nécessaire que je laisse installés tous les outils que tu m'as indiqués (nottament ewido).

Je suis un peu déçu par peerguardian que je croyais être un logiciel fiable. En plus je l'aimais bien car il me permettait de suivre les connexions entrantes et sortantes de mon ordi pour voir en gros quelle était son activité (si plein de connexions alors que je faisais rien je lançais antivirus, spybot et adaware). Connaitrais-tu un logiciel propre qui me permette de faire la même chose ?

Si tu as un peu de temps tu pourras me dire ce que tu pense des autres lignes de mon scan HijackThis dont je parlais au début du post (surtout si je dois supprimer les file missing)

 

Encore mille fois merci pour ton aide, j'ai peut-être enfin un ordi presque propre, et promis, je surferai prudement

 

 

PS : comment supprimer l'activeX que m'a collé panda maintenant ?

Modifié le 28 août 2006 par piece of wood

[tornado]

Re,

 

 

Je l'avoue, j'ai surfé sur le site de rmc info entre temps, qui a dû me balancer ce cookie, pour le reste ça a l'air bon.

 

LOL ... tu dis ça comme si c'était un crime. Tu sais, c'est pas bien grave, du moment que tu nettoies régulièrement les fichiers/dossier temporaires (les cookies en font partie)

 

 

Pense qu'il est nécessaire que je laisse installés tous les outils que tu m'as indiqués (nottament ewido).

 

Pour Ewido, oui tu peux le garder pour faire les scans. La protection résidente disparaît au bout de 15 jours (ainsi que les mises à jour auto) mais tu peux toujours utiliser le logiciel pour scanner ton système, à condition de mettre à jour le logiciel manuellement, avant chaque scan.

 

 

Je suis un peu déçu par peerguardian que je croyais être un logiciel fiable. En plus je l'aimais bien car il me permettait de suivre les connexions entrantes et sortantes de mon ordi pour voir en gros quelle était son activité (si plein de connexions alors que je faisais rien je lançais antivirus, spybot et adaware). Connaitrais-tu un logiciel propre qui me permette de faire la même chose ?

 

Oui ... ça tombe bien. Tcpview de Sysinternals le fait :

- Télécharge-le à partir de cette page => http://www.sysinternals.com/Utilities/TcpView.html

(en bas de page, clique sur Download TCPView and TCPVCon (81 KB) ). Dézippe-le là où ça te convient.

 

- Le tutoriel du forum Pc-entraide => TCPView, surveiller sa connexion

 

Si tu as un peu de temps tu pourras me dire ce que tu pense des autres lignes de mon scan HijackThis dont je parlais au début du post (surtout si je dois supprimer les file missing)

 

Oui, mais pas tout de suite... il reste encore quelques manips à faire (c'est "vite fait", ne t'inquiète pas) :

 

Etant donné que tu ne constates plus aucun disfonctionnement, on peut considérer ton système comme propre.

 

On va donc à présent rétablir certains paramètres sur ton système par :

1. La rétablissement de l'affichage des fichiers/dossiers
   
2. La suppression de certains outils utilisés au cours de la procédure de désinfection
   
3. La suppression des points de restauration
   

========================================================

 

Etape 1 : Rétablissement de l'affichage des fichiers/dossiers

 

Durant la procédure de désinfection, je t'avais fait afficher les fichiers cachés et les fichiers système, pour pouvoir supprimer les fichiers infectieux s'ayant emparé de ces statuts.

A présent, il vaut mieux recacher ces fichiers (notamment les fichiers système) pour éviter d'en supprimer un par erreur (par exemple, certains fichiers système sont nécessaires pour faire démarrer Windows) :

 

Démarrer, Poste de travail / Menu Outils / Options des dossiers / onglet Affichage :

Désactiver le bouton : Afficher les fichiers et dossiers cachés

Activer la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Cliquer sur "Appliquer à tous les dossiers", puis OK

 

 

Etape 2 : Suppression de certains outils de la procédure

 

De plus , je t'avais fait utiliser et télécharger certains outils pour le procédure de désinfection :

• Les pages Web => ne te sont plus utiles à présents
  { supprimer le dossier dans lequel tu as mis les pages web (ex : C:\procédure) }
  
• FixWareout => tu n'en as plus besoin, et ne doit pas être utilisé sans l'avis d'un "spécialiste"
  { supprimer le dossier C:\FixWareout }
  
• Blacklight=> peut parfois détecter des fichiers légitimes, et ne doit pas être utilisé sans l'avis d'un "spécialiste"
  { supprimer blbeta.exe du bureau }
  

Tu peux à présent les supprimer, car ils ne te seront plus utiles, ou car leur utilisation est délicate (et vide la corbeille)

 

 

Etape 3 : Suppression des points de restauration

 

Pour terminer, tu vas - par précaution - supprimer tous les points de restauration (certains ont peut-être été touchés par les infections), de la manière suivante :

 

- Désactive la restauration système en suivant le tutoriel suivant=> http://www.libellules.ch/desactiver_restauration.php (tout ce qui précède "Pour activer la restauration du système de Windows XP"):

- Une fois le pc redémarré, réactive-la (toute la partie Pour activer la restauration du système de Windows XP) car la restauration système peut parfois s'avérer utile

 

 

====================================================================

 

J'attend que tu ais fait ceci, avant que l'on peaufine un peu la sécurité du pc (conseils pour préserver un système propre), et qu'on optimise ton rapport Hijackthis (comme promis)

 

Bonne chance

 

 

EDIT : pour panda, désinstalle-le via "ajouter/supprimer des programmes" ("Panda activescan")

Modifié le 28 août 2006 par tornado