Aller au contenu
Zebulon
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Analyse HijackThis [Résolu, merci bien]


Pouet

Messages recommandés

Bonjour à tous et à toutes.

 

 

Histoire du problème et symptômes:

 

Depuis quelques jours maintenant, quand j'ouvre un quelconque site à partir de IE un pop up s'ouvre me proposant de jouer au casino notamment.

Je n'ai pas remarqué ce problème plus tôt car je navigue sous FF habituellement, et sous FF ce pop up n'apparait pas.

 

Je scan régulièrement mon pc à la recherche de petites bébêtes à l'aide de A², Adaware, Spybot, Antivir.

Or je n'ai pas trouvé de spywares ou autres malwares en scannant.

 

J'ai donc décidé d'appronfondir la chose, j'ai bien entendu nettoyé avec ccleaner, easycleaner et regedit la base de registre, les fichiers temporaires ...

 

Puis j'ai rescanné , rien de nouveau.

 

J'ai regardé mon log HijackThis et voilà ce que j'ai obtenu:

 

Logfile of HijackThis v1.99.1

Scan saved at 09:28:33, on 08/09/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [dmvpceb] c:\windows\system32\dmvpceb.exe dmvpceb

O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\System32\shdocvw.dll

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1132184045679

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O20 - AppInit_DLLs: c:\windows\system32\wmfhotfix.dll msgplusloader.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - C:\Program Files\ProcessGuard\dcsuserprot.exe (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

 

 

Je pense que mon problème à un rapport avec :

O4 - HKLM\..\Run: [dmvpceb] c:\windows\system32\dmvpceb.exe dmvpceb

 

En effet, j'ai regardé avec SEEm les processus qui fonctionnaient et j'ai vu en rouge:

dmvpceb.exe 1844 Normal c:\windows\system32\dmvpceb.exe 17932 ko 08 822C3B30

 

Alors j'ai cherche sur google ce que ce pouvait bien être, je n'ai rien trouvé.

 

Une analyse avec F Secure m'a donné ceci:

 

09/07/06 15:04:42 [info]: BlackLight Engine 1.0.46 initialized

09/07/06 15:04:42 [info]: OS: 5.1 build 2600 (Service Pack 1)

09/07/06 15:04:42 [Note]: 7019 4

09/07/06 15:04:42 [Note]: 7005 0

09/07/06 15:04:44 [Note]: 7006 0

09/07/06 15:04:44 [Note]: 7011 1936

09/07/06 15:04:44 [Note]: 7026 0

09/07/06 15:04:45 [Note]: 7026 0

09/07/06 15:04:45 [Note]: 7024 3

09/07/06 15:04:45 [info]: Hidden process: C:\windows\system32\dmvpceb.exe

09/07/06 15:04:45 [Note]: FSRAW library version 1.7.1019

09/07/06 15:05:41 [info]: Hidden file: c:\WINDOWS\system32\dmvpceb.dat

09/07/06 15:05:41 [Note]: 10002 1

09/07/06 15:05:41 [info]: Hidden file: C:\windows\system32\dmvpceb.exe

09/07/06 15:05:41 [Note]: 10002 1

09/07/06 15:05:42 [info]: Hidden file: c:\WINDOWS\system32\dmvpceb_nav.dat

09/07/06 15:05:42 [Note]: 10002 1

09/07/06 15:05:42 [info]: Hidden file: c:\WINDOWS\system32\dmvpceb_navps.dat

09/07/06 15:05:42 [Note]: 10002 1

09/07/06 15:05:52 [info]: Hidden file: c:\WINDOWS\Prefetch\DMVPCEB.EXE-1834A9AB.pf

09/07/06 15:05:52 [Note]: 10002 1

09/07/06 15:06:58 [Note]: 7007 0

 

 

J'ai poursuivi ma réflexion, et je suis retourné sous IE , en profitant par la même occasion à analyser mon PC avec Kapersky (si besoin je posterai le log car il m'a trouvé certaines choses). Et comme je le pensais pendant l'analyse plusieurs pop up ont fait leurs apparitions. J'ai donc désactivé le processus "dmvpceb" avec SEEm et là plus de pop up.

 

Je pense donc que "dmvpceb" est dans le coup, mais sans en être certain. Pour le moment il est désactivé et mon ordinateur ne plante pas.

 

 

Autrement autre problème (mais limite je vais fouiner un peu partout je finirai bien par trouver): impossible d'installer processguard, j'ai une erreur au démarrage, j'ai essayé de le désinstaller mais il reste des traces, comme dans le log hijack par exemple. Ca m'ennuie un peu.

 

J'ai essayé d'être le plus complet possible, si vous avez besoin d'autres renseignements , n'hésitez pas. Et si vous voyez des trucs inutiles à virer n'hésitez pas à m'en faire part.

 

 

 

Merci pour votre aide .

Modifié par Pouet
Lien vers le commentaire
Partager sur d’autres sites

Bonjour Pouet !

 

Ton Pc est infecté tu as bien vu ! :P

 

Si tout le monde pouvait nous fournir autant d'indications ce serait génial :P !

 

Voici ce que tu vas devoir faire STP :

 

1) Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

 

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

Télécharge Ewido anti-spyware

  1. Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
     
  2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
     
  3. Ferme Ewido. Ne pas le lancer tout de suite.

 

2)-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

3) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune (à droite de la boîte "Scriptline to execute");

- Double-clique sur EGDACCESS.bfu

- Tu devrais maintenant voir ceci dans la boîte "Scriptline to execute" :

C:\BFU\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).

Clique Exit pour fermer le programme BFU.

 

 

4)Créer un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code" ne pas oublier de remplacer xxxxxxx par le nom du fichier;)

 

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\dmvpceb
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dmvpceb
FileDelete %SYSDIR%\dmvpceb_navup.dat
FileDelete %SYSDIR%\dmvpceb_navps.dat
FileDelete %SYSDIR%\dmvpceb_nav.dat
FileDelete %SYSDIR%\dmvpceb.dat
FileDelete %SYSDIR%\dmvpceb.exe
FileDelete %WINDIR%\PREFETCH\dmvpceb.exe*.pf

 

5) Enregistre ce fichier dans c:\BFU

-Nom du fichier : aftermath.bfu

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc note

 

6) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune (à droite de la boîte "Scriptline to execute");

- Double-clique sur aftermath.bfu

- Tu devrais maintenant voir ceci dans la boîte "Scriptline to execute" :

C:\BFU\aftermath.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).

Clique Exit pour fermer le programme BFU.

 

7) Passe un scan complet avec Ewido (toujours en mode Sans Échec), et sauvegarde son rapport.

  • Du mode Sans Échec, lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
     
  • Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
     
  • Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

8 ) Redémarre en mode Normal.

 

Poste le rapport d'Ewido

un nouveau log HijackThis que tu aura renommé comme ceci STP HijackThis.exe => Pouet.exe

Et un nouveau rapport Blacklight STP dans ta prochaine réponse.

 

Bon courage à plus !

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

 

Voici les 3 rapports:

 

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 18:37:43 08/09/2006

 

+ Scan result:

 

 

 

C:\Program Files\Fichiers communs\Synacast\SynaLive\EvID4226Patch.exe -> Backdoor.Virkel.A : Cleaned with backup (quarantined).

 

 

::Report end

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 19:11:03, on 08/09/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\ctfmon.exe

C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe

C:\Program Files\HijackThis\Pouet.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\System32\shdocvw.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1132184045679

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O20 - AppInit_DLLs: c:\windows\system32\wmfhotfix.dll msgplusloader.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - C:\Program Files\ProcessGuard\dcsuserprot.exe (file missing)

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

 

 

09/08/06 19:14:34 [info]: BlackLight Engine 1.0.46 initialized

09/08/06 19:14:34 [info]: OS: 5.1 build 2600 (Service Pack 1)

09/08/06 19:14:34 [Note]: 7019 4

09/08/06 19:14:34 [Note]: 7005 0

09/08/06 19:14:37 [Note]: 7006 0

09/08/06 19:14:37 [Note]: 7011 1912

09/08/06 19:14:37 [Note]: 7026 0

09/08/06 19:14:37 [Note]: 7026 0

09/08/06 19:14:40 [Note]: FSRAW library version 1.7.1019

09/08/06 19:16:24 [Note]: 7007 0

 

 

Le processus n'apparait plus dans SEEm.

Modifié par Pouet
Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Pour le scan en ligne tu parles de celui de Kapersky ?

 

Autrement, si je suis encore au SP1 c'est parce que la dernière fois que j'ai voulu l'installé, j'ai du faire une mauvaise manipulation, bref j'ai reformaté et je n'avais pas de sauvegarde ... Mais bon je vais l'installé prochainement.

Point de vue sécurité, j'essaie d'être à jour le plus possible, maintenant quant à être certain d'être bien à jours , ce n'est pas garanti.

 

A plus

Lien vers le commentaire
Partager sur d’autres sites

Re

 

Désolé je ne t'ai pas donné d'indications pour le scan en ligne :

 

Peux-tu faire s'il te plait un scan en ligne?=>

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrives pas : tutorial

 

ou

 

http://www.kaspersky.com/virusscanner

tuto d'aide ici

http://www.malekal.com/scan_Av_en_ligne.html

 

A plus.

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Pas de soucis. Je pensais que tu me parlais du scan en ligne que j'avais fais avec Kaspersky, que j'avais proposé de poster. D'ailleurs je te le poste en attendant que le scan que tu m'as demandé se termine, soit dans environ 1h :P , on aura un point de comparaison ainsi.

 

Donc je précise bien, ce rapport n'est pas celui que tu m'as demandé, j'ai fais ce scan ce matin.

Je te posterai le scan que je suis entrain de faire tout à l'heure :P

 

 

KASPERSKY ON-LINE SCANNER REPORT

Friday, September 08, 2006 12:49:13 PM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 8/09/2006

Enregistrements dans la base antivirus Kaspersky : 221748

 

 

Paramètres d'analyse

Analyser avec la base antivirus suivante étendue

Analyser les archives vrai

Analyser les bases de messagerie vrai

 

Cible de l'analyse Poste de travail

A:\

C:\

D:\

E:\

 

Statistiques de l'analyse

Total d'objets analysés 31388

Nombre de virus trouvés 2

Nombre d'objets infectés 7 / 0

Nombre d'objets suspects 0

Durée de l'analyse 01:08:03

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\flashgot.log L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\history.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\key3.db L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\parent.lock L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Local Settings\Application Data\Microsoft\Media Player\CurrentDatabase_219.wmdb L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Local Settings\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Local Settings\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Local Settings\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Local Settings\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Local Settings\Historique\History.IE5\MSHist012006090820060909\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\Mes documents\Exe\mirc616.exe/data0001.bin Infecté : not-a-virus:Client-IRC.Win32.mIRC.616 ignoré

 

C:\Documents and Settings\Minos\Mes documents\Exe\mirc616.exe mIRC: infecté - 1 ignoré

 

C:\Documents and Settings\Minos\Mes documents\Exe\mirc616.rar/mirc616.exe/data0001.bin Infecté : not-a-virus:Client-IRC.Win32.mIRC.616 ignoré

 

C:\Documents and Settings\Minos\Mes documents\Exe\mirc616.rar/mirc616.exe Infecté : not-a-virus:Client-IRC.Win32.mIRC.616 ignoré

 

C:\Documents and Settings\Minos\Mes documents\Exe\mirc616.rar RAR: infecté - 2 ignoré

 

C:\Documents and Settings\Minos\ntuser.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Minos\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Program Files\a-squared\Quarantine\63fa62bf1bac889ce7bf8a2fa30489d7.a2q/Documents and Settings/Minos/Mes documents/Jeux/TR/TRAngelDarknessSetupFR-dm.exe Infecté : not-a-virus:AdWare.Win32.Trymedia.b ignoré

 

C:\Program Files\a-squared\Quarantine\63fa62bf1bac889ce7bf8a2fa30489d7.a2q ZIP: infecté - 1 ignoré

 

C:\Program Files\Windows Media Player\Plugins\AudioScrobbler.log.txt L'objet est verrouillé ignoré

 

C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré

 

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

 

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

 

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

 

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

 

Analyse terminée.

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Voilà le rapport demandé:

KASPERSKY ONLINE SCANNER REPORT

Friday, September 08, 2006 8:55:11 PM

Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)

Kaspersky Online Scanner version: 5.0.83.0

Kaspersky Anti-Virus database last update: 8/09/2006

Kaspersky Anti-Virus database records: 221897

 

 

Scan Settings

Scan using the following antivirus database extended

Scan Archives true

Scan Mail Bases true

 

Scan Target My Computer

A:\

C:\

D:\

E:\

 

Scan Statistics

Total number of scanned objects 31481

Number of viruses found 2

Number of infected objects 7 / 0

Number of suspicious objects 0

Duration of the scan process 00:43:59

 

Infected Object Name Virus Name Last Action

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

 

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

 

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

 

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

 

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

 

C:\Documents and Settings\Minos\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\cert8.db Object is locked skipped

 

C:\Documents and Settings\Minos\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\flashgot.log Object is locked skipped

 

C:\Documents and Settings\Minos\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\history.dat Object is locked skipped

 

C:\Documents and Settings\Minos\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\key3.db Object is locked skipped

 

C:\Documents and Settings\Minos\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\parent.lock Object is locked skipped

 

C:\Documents and Settings\Minos\Cookies\index.dat Object is locked skipped

 

C:\Documents and Settings\Minos\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

 

C:\Documents and Settings\Minos\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

 

C:\Documents and Settings\Minos\Local Settings\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\Cache\_CACHE_001_ Object is locked skipped

 

C:\Documents and Settings\Minos\Local Settings\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\Cache\_CACHE_002_ Object is locked skipped

 

C:\Documents and Settings\Minos\Local Settings\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\Cache\_CACHE_003_ Object is locked skipped

 

C:\Documents and Settings\Minos\Local Settings\Application Data\Mozilla\Firefox\Profiles\d2itsywi.default\Cache\_CACHE_MAP_ Object is locked skipped

 

C:\Documents and Settings\Minos\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

 

C:\Documents and Settings\Minos\Local Settings\Historique\History.IE5\MSHist012006090820060909\index.dat Object is locked skipped

 

C:\Documents and Settings\Minos\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

 

C:\Documents and Settings\Minos\Mes documents\Exe\mirc616.exe/data0001.bin Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped

 

C:\Documents and Settings\Minos\Mes documents\Exe\mirc616.exe mIRC: infected - 1 skipped

 

C:\Documents and Settings\Minos\Mes documents\Exe\mirc616.rar/mirc616.exe/data0001.bin Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped

 

C:\Documents and Settings\Minos\Mes documents\Exe\mirc616.rar/mirc616.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped

 

C:\Documents and Settings\Minos\Mes documents\Exe\mirc616.rar RAR: infected - 2 skipped

 

C:\Documents and Settings\Minos\ntuser.dat Object is locked skipped

 

C:\Documents and Settings\Minos\ntuser.dat.LOG Object is locked skipped

 

C:\Documents and Settings\Minos\UserData\index.dat Object is locked skipped

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

 

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

 

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

 

C:\Program Files\a-squared\Quarantine\63fa62bf1bac889ce7bf8a2fa30489d7.a2q/Documents and Settings/Minos/Mes documents/Jeux/TR/TRAngelDarknessSetupFR-dm.exe Infected: not-a-virus:AdWare.Win32.Trymedia.b skipped

 

C:\Program Files\a-squared\Quarantine\63fa62bf1bac889ce7bf8a2fa30489d7.a2q ZIP: infected - 1 skipped

 

C:\WINDOWS\Debug\oakley.log Object is locked skipped

 

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

 

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

 

C:\WINDOWS\Sti_Trace.log Object is locked skipped

 

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

 

C:\WINDOWS\system32\config\default Object is locked skipped

 

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\SAM Object is locked skipped

 

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

 

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

 

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\software Object is locked skipped

 

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

 

C:\WINDOWS\system32\config\system Object is locked skipped

 

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

 

C:\WINDOWS\system32\h323log.txt Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

 

C:\WINDOWS\wiadebug.log Object is locked skipped

 

C:\WINDOWS\wiaservc.log Object is locked skipped

 

Scan process completed.

Lien vers le commentaire
Partager sur d’autres sites

Re

 

Bon il reste un peu de ménage à faire :

 

-Télécharger et installer EasyCleaner de Toni Helenius (Programme faisant partie de la catégorie des nettoyeurs)

http://personal.inet.fi/business/toniarts/ecleane.htm

 

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC.

Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

 

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware )

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

-Vérifier d'avoir accès à tous les fichiers :

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

Maintenant on va supprimer manuellement les fichiers infectieux !

 

Avant de supprimer quelque chose toujours noter la date et l'heure de création et communiquer les informations lors de la prochaine réponse.

 

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\Documents and Settings\Minos\Mes documents\Exe\

Le dossier va s'ouvrir

Supprime le fichier indiqué en gras:

mirc616.exe(clique droit /supprimer)

mirc616.rar

 

 

Vide la quarantaine de a-squared

C:\Program Files\a-squared\Quarantine\ <= vide le dossier

 

Vider la poubelle !

 

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" -

"Browser Cookies" puis clique sur "Find".

Lorsque le scan est terminé,clique sur "Delete all".

 

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Indiquer si le Pc présente encore des dysfonctionnements

 

Après avoir posté ta réponse :

 

Refaire s'il te plait un scan en ligne

 

A plus et bon courage ! :P

Lien vers le commentaire
Partager sur d’autres sites

Mouarf, je m'y mets de suite.

 

Les seules dysfonctionnement que j'ai, sont:

-FF et ses opérations illégales

-une erreur après installation processguard

 

Je ne pense pas qu'il y ait un lien cause conséquence.

 

 

 

Sur mon ordinateur j'ai:

Ccleaner, EasyCleaner, RegCleaner, A², Spybot, Spywareblaster, McAfee personnal firewall plus, Antivir,F secureBlacklight, SEEm, Ad-aware, MRU blaster,Icesword et sophos anti rootkit .

 

Limite Mirc j'ai arrêté de l'utiliser donc bon. :P

 

 

à Tout à l'heure

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...