Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rapport HJT sur PC Win98

Silfeed

Par Silfeed
dans Analyses et éradication malwares

 Partager

Messages recommandés

Silfeed Extrem Member

Silfeed

Posté(e)
Posté(e) (modifié)

Bonjour à tous!

 

Voila, je viens d'installer AVG sur le nouveau PC que ma maman a reçu de quelqu'un.

Quelle ne fut pas ma surprise de constater qu'il n'y avait pas d'antivirus!

 

AVG a trouvé le ver I-Worm Bugbear. Oui mais voila, apres un scan et un autre, il se fait que ce bugbear ne VEUT PAS disparaitre...

 

 

J'ai essayé de l'enlever via le Vcleaner de grisoft (trouvé par google) mais... ca n'a rien changé...

Ensuite par un outil de symantec, rien non plus...

 

AVG a trouvé aussi Dialer.23.AW ainsi que d'autres mais je n'arrive pas a retrouver le log d'AVG en .txt pour le poster ici...

 

J'ai déja fixé quelques lignes 010 avec HJT, mais j'ai eu un message d'erreur bizarre concernant newdotnet qui a l'air d'etre une belle saleté... me disant qu'il fallait faire une manip supplementaire car fixer la ligne ne suffisait apparement pas... j'ai effacé le dossier dans programes files mais c'est peut etre pas suffisant...

 

De temps en temps j'ai le message que mon pc n'est pas connecté, puis je clique sur réessayer et ca marche, mais c'est pas normal...

 

J'ai aussi un msg d'erreur avec JAVAW dans un module, je vais poster le cadre ici après.

 

Voici mon rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 18:31:56, on 30/09/06

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\HPBPRO.EXE

C:\WINDOWS\SYSTEM\HPBOID.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\IRMON.EXE

C:\WINDOWS\SYSTEM\IBMBAYSN.EXE

C:\WINDOWS\SYSTEM\IBMBAY2M.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\IRXFER.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\TOOLBOX2.0\APACHE TOMCAT 4.0\WEBAPPS\TOOLBOX\STATUSCLIENT\STATUSCLIENT.EXE

C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGCC.EXE

C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGEMC.EXE

C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGAMSVR.EXE

C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\HPZID412.EXE

C:\MES DOCUMENTS\MES FICHIERS REçUS\FXBGBEAR.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\MES DOCUMENTS\MES FICHIERS REçUS\HIJACKTHIS.EXE

C:\WINDOWS\NOTEPAD.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.chello.be:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F1 - win.ini: run=hpfsched

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] systray.exe

O4 - HKLM\..\Run: [irMon] IrMon.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [iBMUltraBayHotSwapSound] C:\WINDOWS\SYSTEM\IBMBAYSN.EXE

O4 - HKLM\..\Run: [iBMUltraBayHotSwapCPLLoader] C:\WINDOWS\SYSTEM\IBMBAY2M.EXE

O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\NDetect.exe

O4 - HKLM\..\Run: [iCSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [statusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [sSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [HP Port Resolver] C:\WINDOWS\SYSTEM\hpbpro.exe

O4 - HKLM\..\RunServices: [HP Status Server] C:\WINDOWS\SYSTEM\hpboid.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe

O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O10 - Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet6_30.dll' missing

 

Merci beaucoup d'avance pour votre attention

 

Alex

Modifié par Silfeed
Lien vers le commentaire
Partager sur d’autres sites

Freeman206 Member

Freeman206

Posté(e)
Posté(e) (modifié)

Bonjour.

 

I) Télécharge LSPFix

 

* Lance LSPFix.

* Déconnecte-toi d'internet, et ferme toutes les fenêtres ouvertes.

* Dans la fenêtre LSP-Fix, coche la case I Know what I'm doing

* Dans la liste "Keep", tu as quelques DLL, ne touche surtout pas à ces dll si on ne t'a pas dit d'y toucher.

* Dans cette liste, sélectionne toutes les dll suivantes, et appuie sur le bouton >> pour les faire passer du côté "Remove" :

 

newdotnet6_30.dll

 

Ensuite, pour finir, clique sur le bouton "Finish".

 

Il ce peut que tu perdes ta connection internet si c'est le cas tu relance LSFPfix et tu cliques sur la case I Know what I'm doing.

 

 

 

 

 

 

II) Télécharge Spyware terminator

 

 

* Instal le puis lance le.

* Accepte le téléchargement automatique des mises à jour

* Accepte la protection en temps réel

* N'instal pas l'antivirus conseillé (Clam Antivirus)

* Accpete l'envoie d'information à Spyware central.

* Décoche l'option Run Fast Scan every day at

 

Le programme démarre.

 

* Vas dans l'onglet Update puis clique sur update.

* Le programme va redémarrer

* Vas dans l'onglet Scan puis clique sur Full Spyware Scan

* Clique ensuite sur Start Scan Now

* A la fin du scan, coche tous les malwares trouvés puis clique sur Remove

* Clqiue sur view system Report puis enregistre le rapport dans tes document.

 

 

Post le ensuite le rapport.

 

 

Si tu as des problèmes et avant de poser une question sur l'utilisation de ce logiciel, regarde ce Tuto explicatif.by malekal_morte

 

 

 

 

 

 

III) Ton log Hijackthis n'est pas entier :

 

Renomme Hijackthis en bonjour.exe et clique sur "Do a system scan and save logfile". A la fin du scan, le bloc note vas s'ouvrir. Enregistre-en le contenu dans tes documents et post le log en fesant un copier-coller.

Modifié par Freeman206
Lien vers le commentaire
Partager sur d’autres sites
Silfeed Extrem Member

Silfeed

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour Freeman206! Et merci pour la réponse rapide!

Voila, j'ai effectué les manips jusqu'a spywareterminator, mais tout ne s'est pas passé comme prévu...

 

 

II) Télécharge Spyware terminator

* Instal le puis lance le.

 

...

 

Le programme démarre.

 

* Vas dans l'onglet Update puis clique sur update.

* Le programme va redémarrer

 

Ok pour ca, mais ce n'est pas le programme qui a redémarré, le programme m'a demandé de redémarrer tout le pc... est ce normal?

 

 

* Clqiue sur view system Report puis enregistre le rapport dans tes document.

Post le ensuite le rapport.

 

Alors ici c'est original... je clique sur "view system rapport" après avoir enlevé les objets infectés et... j'ai le message d'erreur suivant :

 

SPYWAR~1 a causé une défaillance de page dans

le module KERNEL32.DLL à 0167:bff83c69.

 

Spywar~1

 

Ce programme va etre arreté car il a effectué une operation non conforme.

Quittez tous les programmes puis redemarrez l’ordinateur. Si le problème persiste contactez le revendeur du programme.

 

DETAILS :

 

Registres :

EAX=3739a191 CS=0167 EIP=bff83c69 EFLGS=00010202

EBX=00c0f618 SS=016f ESP=00c0f598 EBP=00c0f628

ECX=0407d1c0 DS=016f ESI=00000001 FS=2937

EDX=bffc9490 ES=016f EDI=bff791a8 GS=0000

Octets à CS : EIP :

89 01 8b 45 e0 8b 40 34 8b 4d e4 89 41 08 c7 45

État de la pile :

818a17e8 818a17fc 00000005 0000407d 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 70bef4ba 8187d60c 818a1804

 

J'ai quand même trouvé le rapport dans le dossier du programme, mais chose curieuse... quand j'ai tenté de lancer le programme spywareterminator par l'icone du desktop, ou même dans démarrer > tous les programmes etc... après l'update et le redémarrage pc il ne le trouvait pas. J'ai du lancer l'explorateur windows et aller dans le dossier, et le fichier s'appelle Spywar~1... :P

 

Voici le rapport :

 

 

 

Spyware Terminator Version: 1.5.0.740

Start time: 01/10/06 13:16:36

System: Windows 98

User: Admin

 

Processes Scan

C:\WINDOWS\SYSTEM\HPBPROPS.DLL [Hewlett-Packard Company] HPBPRO.EXE [Hewlett-Packard Company],

C:\WINDOWS\SYSTEM\HPBOID.EXE [Hewlett-Packard Company]

C:\WINDOWS\SYSTEM\WINSPOOL.DRV [Microsoft Corporation] C:\WINDOWS\SYSTEM\DHCPCSVC.DLL [Empty],

C:\WINDOWS\SYSTEM\IBMBAYSN.EXE [iBM]

C:\WINDOWS\SYSTEM\IBMBAY2.CPL [iBM] IBMBAY2M.EXE [iBM],

C:\WINDOWS\SYSTEM\UPNP.DLL [Microsoft Corporation] DHCPCSVC.DLL, [file not found],

C:\WINDOWS\SYSTEM\IPHLPAPI.DLL [Microsoft Corporation] DHCPCSVC.DLL,

C:\WINDOWS\SYSTEM\SENSAPI.DLL [Microsoft Corporation] C:\PROGRAM FILES\HEWLETT-PACKARD\TOOLBOX2.0\APACHE TOMCAT 4.0\WEBAPPS\TOOLBOX\STATUSCLIENT\HPPTUI0.DLL [Hewlett-Packard], C:\PROGRAM FILES\HEWLETT-PACKARD\TOOLBOX2.0\APACHE TOMCAT 4.0\WEBAPPS\TOOLBOX\STATUSCLIENT\STATUSCLIENT.EXE [Hewlett-Packard],

C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGEMCPS.DLL [GRISOFT, s.r.o.] AVGEMSUI.DLL [GRISOFT, s.r.o.], AVGREP.DLL [GRISOFT, s.r.o.], AVGSCAN.DLL [GRISOFT, s.r.o.], AVGUNARC.DLL [GRISOFT, s.r.o.], AVGVAULT.DLL [GRISOFT, s.r.o.], AVGCCKRN.DLL [GRISOFT, s.r.o.], C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGRES.DLL [Empty], C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGF.DLL [Empty], AVGLNG.DLL [GRISOFT, s.r.o.], AVGCFG.DLL [GRISOFT, s.r.o.], AVGKLIB.DLL [GRISOFT, s.r.o.], AVGCC.EXE [GRISOFT, s.r.o.], AVGTEST.DLL [GRISOFT, s.r.o.], C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGSET.DLL [Empty], AVGTRES.DLL [GRISOFT, s.r.o.], AVGABOUT.DLL [GRISOFT, s.r.o.], AVGTMGR.DLL [GRISOFT, s.r.o.], AVGLOG.DLL [GRISOFT, s.r.o.], AVGCTRL.DLL [GRISOFT, s.r.o.], C:\WINDOWS\SYSTEM\DCIMAN32.DLL [intel® Corp., Microsoft Corp.], AVGMAIL.DLL [GRISOFT, s.r.o.], SASLDIGESTMD5.DLL [GRISOFT, s.r.o.], SASLCRAMMD5.DLL [GRISOFT, s.r.o.], SASLPLAIN.DLL [GRISOFT, s.r.o.], SASLLOGIN.DLL [GRISOFT, s.r.o.], C:\WINDOWS\SYSTEM\NETBIOS.DLL [Empty], AVGSCAN.DLL, AVGUNARC.DLL, AVGLNG.DLL, AVGCFG.DLL, AVGLOG.DLL, AVGKLIB.DLL, AVGEMC.EXE [GRISOFT, s.r.o.], LIBSASL.DLL [GRISOFT, s.r.o.],

C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGCFG.DLL [GRISOFT, s.r.o.] AVGKLIB.DLL, AVGLOG.DLL, AVGAMSVR.EXE [GRISOFT, s.r.o.],

C:\WINDOWS\SYSTEM\MSSHRUI.DLL [Microsoft Corporation] C:\WINDOWS\SYSTEM\IMFPRINT.DLL [Zenographics, Inc.], C:\WINDOWS\SYSTEM\ZSPOOL.DLL [Zenographics, Inc.], C:\WINDOWS\SYSTEM\IMF32.DLL [Zenographics, Inc.], C:\WINDOWS\SYSTEM\ZTAG32.DLL [Zenographics, Inc.], C:\WINDOWS\SYSTEM\HPBHEALR.DLL [Empty], C:\WINDOWS\SYSTEM\HPDOMON.DLL [Hewlett-Packard], C:\WINDOWS\SYSTEM\HPZIMN12.DLL [HP], C:\WINDOWS\SYSTEM\HPPAMON0.DLL [HP], C:\WINDOWS\SYSTEM\HPBMMON.DLL [Hewlett-Packard],

C:\WINDOWS\SYSTEM\RPCRT4.DLL [Microsoft Corporation] C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE [Empty], C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\MSO97.DLL [Empty],

C:\WINDOWS\SYSTEM\RICHED20.DLL [Microsoft Corporation] MSO97.DLL,

C:\WINDOWS\SYSTEM\NMGCDD5.DLL [NeoMagic Corporation]

C:\WINDOWS\SYSTEM\CABINET.DLL [Microsoft Corporation] C:\Program Files\Spyware Terminator\SPYWAR~1.EXE [Crawler.com],

C:\WINDOWS\SYSTEM\WININET.DLL [Microsoft Corporation] C:\PROGRAM FILES\SPYWARE TERMINATOR\SPYWARETERMINATORSHIELD.EXE [Crawler.com],

C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\WINWORD.EXE [Empty]

 

Startup Scan

 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"MsnMsgr" = "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" [ Microsoft Corporation ]

"ALUAlert" = "C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [ file not found ]

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"ScanRegistry" = "C:\WINDOWS\SCANREGW.EXE" [ Microsoft Corporation ]

"TaskMonitor" = "C:\WINDOWS\TASKMON.EXE" [ Microsoft Corporation ]

"SystemTray" = "C:\WINDOWS\SYSTEM\SYSTRAY.EXE" [ Microsoft Corporation ]

"IrMon" = "C:\WINDOWS\SYSTEM\IRMON.EXE" [ Microsoft Corporation ]

"LoadPowerProfile" = "C:\WINDOWS\SYSTEM\POWRPROF.DLL" [ Microsoft Corporation ]

"IBMUltraBayHotSwapSound" = "C:\WINDOWS\SYSTEM\IBMBAYSN.EXE" [ IBM ]

"IBMUltraBayHotSwapCPLLoader" = "C:\WINDOWS\SYSTEM\IBMBAY2M.EXE" [ IBM ]

"Mirabilis ICQ" = "C:\Program Files\ICQ\NDetect.exe" [ file not found ]

"ICSDCLT" = "C:\WINDOWS\SYSTEM\ICSDCLT.DLL" [ Microsoft Corporation ]

"LoadQM" = "C:\WINDOWS\LOADQM.EXE" [ Microsoft Corporation ]

"StatusClient" = "C:\PROGRAM FILES\HEWLETT-PACKARD\TOOLBOX2.0\APACHE TOMCAT 4.0\WEBAPPS\TOOLBOX\STATUSCLIENT\STATUSCLIENT.EXE" [ Hewlett-Packard ]

"TomcatStartup" = "C:\PROGRAM FILES\HEWLETT-PACKARD\TOOLBOX2.0\HPBPSTTP.EXE" [ Hewlett-Packard ]

"AVG7_CC" = "C:\Program Files\Grisoft\AVG Free\avgcc.exe" [ GRISOFT, s.r.o. ]

"AVG7_EMC" = "C:\Program Files\Grisoft\AVG Free\avgemc.exe" [ GRISOFT, s.r.o. ]

"AVG7_AMSVR" = "C:\Program Files\Grisoft\AVG Free\avgamsvr.exe" [ GRISOFT, s.r.o. ]

"SpywareTerminator" = "C:\PROGRAM FILES\SPYWARE TERMINATOR\SPYWARETERMINATORSHIELD.EXE" [ Crawler.com ]

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

"LoadPowerProfile" = "C:\WINDOWS\SYSTEM\POWRPROF.DLL" [ Microsoft Corporation ]

"SSDPSRV" = "C:\WINDOWS\SYSTEM\SSDPSRV.EXE" [ Microsoft Corporation ]

"SchedulingAgent" = "C:\WINDOWS\SYSTEM\MSTASK.EXE" [ Microsoft Corporation ]

"HP Port Resolver" = "C:\WINDOWS\SYSTEM\HPBPRO.EXE" [ Hewlett-Packard Company ]

"HP Status Server" = "C:\WINDOWS\SYSTEM\HPBOID.EXE" [ Hewlett-Packard Company ]

 

BHO Scan

AcroIEHlprObj Class {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX [(]

{53707962-6F74-2D53-2644-206D7942484F} C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\SDHELPER.DLL [safer Networking Limited]

{c95fe080-8f5d-11d2-a20b-00aa003c157a} [file not found]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

{BDEADF00-C265-11d0-BCED-00A0C90AB50F} = Dossiers Web (C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\MSONSEXT.DLL) [Empty]

{BB7DF450-F119-11CD-8465-00AA00425D90} = Microsoft Access Custom Icon Handler (C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\SOA800.DLL) [Microsoft Corporation]

{00020D75-0000-0000-C000-000000000046} = Microsoft Exchange (C:\PROGRAM FILES\WINDOWS MESSAGING\MLSHEXT.DLL) [Microsoft Corporation]

{59850401-6664-101B-B21C-00AA004BA90B} = Séparateur du Classeur Microsoft Office (C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\UNBIND.DLL) [Microsoft Corporation]

{0006F045-0000-0000-C000-000000000046} = Microsoft Outlook Custom Icon Handler (C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OLKFSTUB.DLL) [Microsoft Corporation]

{F802F260-519B-11D1-BB5D-0060974C6013} = ICQ Shell Extension (C:\PROGRAM FILES\ICQ\ICQSHEXT.DLL) [file not found]

{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = AVG7 Shell Extension (C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGSE.DLL) [GRISOFT, s.r.o.]

{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} = AVG7 Find Extension (C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGSE.DLL) [GRISOFT, s.r.o.]

 

Services Scan

"WDMFS" = C:\WINDOWS\SYSTEM\Drivers\wdmfs.sys [file not found]

 

Protocol Filters Scan

Class Install Handler = {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} (C:\WINDOWS\SYSTEM\URLMON.DLL) [Microsoft Corporation]

 

Hosts Scan

C:\WINDOWS\\HOSTS (file not found)

 

IE Scan

IERESET.INF missing SAFESITE_VALUE="http://home.microsoft.com/" or SAFESITE_VALUE="ie.search.msn.com"

Modifié par Silfeed
Lien vers le commentaire
Partager sur d’autres sites
Silfeed Extrem Member

Silfeed

Posté(e)
  • Auteur
Posté(e) (modifié)

Voici le rapport Hijackthis apres avoir renommé le prgm :

 

Logfile of HijackThis v1.99.1

Scan saved at 14:01:31, on 01/10/06

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\HPBPRO.EXE

C:\WINDOWS\SYSTEM\HPBOID.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\IRMON.EXE

C:\WINDOWS\SYSTEM\IBMBAYSN.EXE

C:\WINDOWS\SYSTEM\IBMBAY2M.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\TOOLBOX2.0\APACHE TOMCAT 4.0\WEBAPPS\TOOLBOX\STATUSCLIENT\STATUSCLIENT.EXE

C:\WINDOWS\IRXFER.EXE

C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGCC.EXE

C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGEMC.EXE

C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM FILES\SPYWARE TERMINATOR\SPYWARETERMINATORSHIELD.EXE

C:\MES DOCUMENTS\MES FICHIERS REçUS\BONJOUR.EXE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.chello.be:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F1 - win.ini: run=hpfsched

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] systray.exe

O4 - HKLM\..\Run: [irMon] IrMon.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [iBMUltraBayHotSwapSound] C:\WINDOWS\SYSTEM\IBMBAYSN.EXE

O4 - HKLM\..\Run: [iBMUltraBayHotSwapCPLLoader] C:\WINDOWS\SYSTEM\IBMBAY2M.EXE

O4 - HKLM\..\Run: [iCSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [statusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

O4 - HKLM\..\Run: [spywareTerminator] "C:\PROGRAM FILES\SPYWARE TERMINATOR\SpywareTerminatorShield.exe"

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [sSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [HP Port Resolver] C:\WINDOWS\SYSTEM\hpbpro.exe

O4 - HKLM\..\RunServices: [HP Status Server] C:\WINDOWS\SYSTEM\hpboid.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Modifié par Silfeed
Lien vers le commentaire
Partager sur d’autres sites
Silfeed Extrem Member

Silfeed

Posté(e)
  • Auteur
Posté(e) (modifié)

Alors étant donné que je trouve pas ce rapport AVG sur le PC, voici la copie d'écran que j'ai avant qu'il finisse le scan : de toute façon ce sont les fichiers qui sont infectés, il y en a pas plus à la fin du scan :

 

prtscreenrapportavgxw4.jpg

 

Puis je virer tout ce qu'il y a dans le dossier C:/WINDOWS/TEMP ou il vaut mieux pas? :P

 

Aussi, je suis en train de faire un scan en ligne avec Panda Active scan, je poste le rapport quand il a fini?

Modifié par Silfeed
Lien vers le commentaire
Partager sur d’autres sites
Freeman206 Member

Freeman206

Posté(e)
Posté(e) (modifié)

Re bonjour.

 

 

I) Si tu utilise un modem pour te conecter, télécharge un pare feu :

- Je te conseil Kerio.

- Pour le configurer regarde ce tuto explicatif.

 

 

 

 

II) Télécharge et installe ATF-Cleaner (Par Attribune) :

 

a) Démarre ATF-Cleaner :

 

b) Coche ceci :

 

* Windows Temp

* Current User Temp

* All Users Temp

* Cookies

* Temporary Internet Files

* Prefetch

* Java Cache

* Recycle Bin

 

c) Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

 

 

 

 

 

III) Relance Hijackthis, coche les lignes qui suivent et clique sur fix checked :

 

O4 - HKLM\..\Run: [iCSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient

 

 

 

IV) Fais un scan antivirus en ligne avec IE : http://www.pandasoftware.fr/Activescan/Activescan.html. Enregistre et post ensuite le rapport.

 

==> Si tu as Avast désactive le le temps du scan.

Modifié par Freeman206
Lien vers le commentaire
Partager sur d’autres sites
Silfeed Extrem Member

Silfeed

Posté(e)
  • Auteur
Posté(e)

Merci beaucoup!

 

Je m'y colle.

 

En attendant voici déja le rapport de Panda (avant les manips) :P

 

Incident Statut Analyse

 

Adware:adware/cydoor No Désinfecté C:\WINDOWS\TEMP\cd_clint.dll

Adware:adware/gator No Désinfecté C:\WINDOWS\TEMP\bundle.inf

Spyware:spyware/new.net No Désinfecté c:\windows\newdotnet3_36.dll

Adware:adware/downloadware No Désinfecté c:\windows\Digital Signature 20020605.htm

Outil indésirable:application/altnet No Désinfecté hkey_classes_root\clsid\{3EEC42B5-FB94-40D3-A588-BB54B383A7CB}

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\SYSTEM\bdedata2.dll

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\SYSTEM\bdedownloader.dll

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\SYSTEM\bdefdi.dll

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\SYSTEM\bdeinsta25.dll

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\SYSTEM\bdeverify.exe

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\SYSTEM\bdeverify.dll

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\SYSTEM\bdesecureinstall.exe

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\SYSTEM\bdeload.dll

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\SYSTEM\BDESac24.dll

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\SYSTEM\BDESac10.dll

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\SYSTEM\BDERastMMX_30001.dll

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\SYSTEM\BDERastDx6_30002.dll

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba8205.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba2163.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vbaA3B3.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba2292.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba2335.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba32B0.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba4141.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba93A2.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba5285.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba60C3.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vbaF201.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba9001.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vbaF132.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vbaF0F2.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba1C5.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba30F4.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vbaE0E6.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba80A4.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vbaA2D5.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vbaA125.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba3345.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vbaD2C0.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba6282.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vbaA220.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba6263.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba92C3.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba82C2.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vba8331.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vbaE050.TMP

Virus:W32/Bugbear.B Désinfecté C:\WINDOWS\TEMP\vbaD025.TMP

Spyware:Cookie/Xiti No Désinfecté C:\WINDOWS\Cookies\anyuser@xiti[1].txt

Spyware:Cookie/Gator No Désinfecté C:\WINDOWS\Cookies\[email protected][2].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\WINDOWS\Cookies\anyuser@doubleclick[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\WINDOWS\Cookies\anyuser@bluestreak[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\WINDOWS\Cookies\anyuser@weborama[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\WINDOWS\Cookies\user@weborama[1].txt

Spyware:Cookie/Comclick No Désinfecté C:\WINDOWS\Cookies\[email protected][1].txt

Spyware:Cookie/RealMedia No Désinfecté C:\WINDOWS\Cookies\user@realmedia[1].txt

Spyware:Cookie/Paypopup No Désinfecté C:\WINDOWS\Cookies\[email protected][1].txt

Spyware:Cookie/Adtech No Désinfecté C:\WINDOWS\Cookies\user@adtech[2].txt

Spyware:Cookie/X10 No Désinfecté C:\WINDOWS\Cookies\user@x10[1].txt

Spyware:Cookie/Comclick No Désinfecté C:\WINDOWS\Cookies\[email protected][3].txt

Spyware:Cookie/bravenetA No Désinfecté C:\WINDOWS\Cookies\user@bravenet[2].txt

Spyware:Cookie/Gator No Désinfecté C:\WINDOWS\Cookies\[email protected][1].txt

Spyware:Cookie/Advalvas No Désinfecté C:\WINDOWS\Cookies\[email protected][2].txt

Spyware:Cookie/Weborama No Désinfecté C:\WINDOWS\Cookies\user@weborama[2].txt

Spyware:Cookie/Beweb No Désinfecté C:\WINDOWS\Cookies\user@beweb[2].txt

Spyware:Cookie/Cgi-bin No Désinfecté C:\WINDOWS\Cookies\user@cgi-bin[3].txt

Spyware:Cookie/Traffic Marketplace No Désinfecté C:\WINDOWS\Cookies\user@trafficmp[2].txt

Spyware:Cookie/Adserver No Désinfecté C:\WINDOWS\Cookies\[email protected][2].txt

Spyware:Cookie/Adserver No Désinfecté C:\WINDOWS\Cookies\[email protected][1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\WINDOWS\Cookies\user@bluestreak[1].txt

Spyware:Cookie/888 No Désinfecté C:\WINDOWS\Cookies\user@888[2].txt

Spyware:Cookie/Rn11 No Désinfecté C:\WINDOWS\Cookies\user@rn11[1].txt

Spyware:Cookie/FortuneCity No Désinfecté C:\WINDOWS\Cookies\user@fortunecity[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\WINDOWS\Cookies\user@weborama[3].txt

Spyware:Cookie/Beweb No Désinfecté C:\WINDOWS\Cookies\user@beweb[3].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\WINDOWS\Cookies\user@bluestreak[3].txt

Spyware:Cookie/Gator No Désinfecté C:\WINDOWS\Cookies\[email protected][3].txt

Spyware:Cookie/888 No Désinfecté C:\WINDOWS\Cookies\user@888[3].txt

Spyware:Cookie/Adserver No Désinfecté C:\WINDOWS\Cookies\[email protected][4].txt

Spyware:Cookie/Weborama No Désinfecté C:\WINDOWS\Cookies\user@weborama[5].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\WINDOWS\Cookies\user@bluestreak[2].txt

Spyware:Cookie/Serving-sys No Désinfecté C:\WINDOWS\Cookies\[email protected][1].txt

Spyware:Cookie/Gator No Désinfecté C:\WINDOWS\Cookies\[email protected][4].txt

Spyware:Cookie/RealMedia No Désinfecté C:\WINDOWS\Cookies\user@realmedia[4].txt

Spyware:Cookie/Beweb No Désinfecté C:\WINDOWS\Cookies\user@beweb[4].txt

Spyware:Cookie/Adtech No Désinfecté C:\WINDOWS\Cookies\user@adtech[3].txt

Spyware:Cookie/Humanclick No Désinfecté C:\WINDOWS\Cookies\[email protected][2].txt

Spyware:Cookie/Adserver No Désinfecté C:\WINDOWS\Cookies\[email protected][1].txt

Spyware:Cookie/FortuneCity No Désinfecté C:\WINDOWS\Cookies\user@fortunecity[3].txt

Spyware:Cookie/Adserver No Désinfecté C:\WINDOWS\Cookies\[email protected][1].txt

Spyware:Cookie/MetriWeb No Désinfecté C:\WINDOWS\Cookies\anyuser@metriweb[1].txt

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\BDE\Cache\bdedetect1.dll

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\BDE\Cache\bdeclean.exe

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\BDE\b3dsetup.exe

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\BDE\bdeclean.exe

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\BDE\bdeplayer2.dll

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\BDE\bdeimage.dll

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\BDE\npbdplay2.dll

Outil indésirable:Application/BrilliantDigital No Désinfecté C:\WINDOWS\BDE\bdeviewer.exe

Dialer:Dialer.Gen No Désinfecté C:\Program Files\KFH\cl\dating.exe

Dialer:Dialer.Gen No Désinfecté C:\Program Files\DownloadWare\Downloads\91.dat

Dialer:Dialer.AW No Désinfecté C:\Program Files\DownloadWare\Downloads\105.dat

Spyware:Cookie/Kazaa Networks No Désinfecté C:\RECYCLED\DC63.TXT

Spyware:Cookie/Kazaa Networks No Désinfecté C:\RECYCLED\DC64.TXT

 

A suivre, je reviens dès que j'ai fini les manips

Lien vers le commentaire
Partager sur d’autres sites
Silfeed Extrem Member

Silfeed

Posté(e)
  • Auteur
Posté(e) (modifié)

Re bonjour.

I) Si tu utilise un modem pour te conecter, télécharge un pare feu :

- Je te conseil Kerio.

 

Euh tu es sûr que ca tourne sur 98? :P

Je viens d'avoir un message d'erreur en installant le fichier, me disant que ca tourne a partir de Win 2000 :P

 

Pourtant il est écrit que ca fonctionne bel et bien sous 98, mais pas en pratique apparement.

 

Bon j'installe Jetico qui lui fonctionne sous 98, à suivre...

Modifié par Silfeed
Lien vers le commentaire
Partager sur d’autres sites
Silfeed Extrem Member

Silfeed

Posté(e)
  • Auteur
Posté(e)

Il y a une raison si je t'ai demandé de faire le scan panda après les autre manip :P .

Oui en théorie KPF devrait marcher sous 98... Je te propose alors Jetico

 

:P jsuis impatient :P DSL

 

Les serveurs ftp ne fonctionnent pas, ou alors c mon pc qui refuse la connexion...

Le serveur http lui fonctionne.

 

A suivre

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...