Cheval de Troie actif

[manchette]

Salut,

en fait à force d'alertes à répétition et sans cause apparente + kerio qui bloquait IE etc etc... on a fini par décider de tout formater sur le DD.

On passera ensuite tout de même ce que tu préconises : silent runners (au cas où) .

Peut tu expliquer le principe stp ? merci

[bruce lee]

re,

 

On passera ensuite tout de même ce que tu préconises : silent runners (au cas où) .

Peut tu expliquer le principe stp ?

 

Si tu n'as pas encore formaté, attend un peu!

 

Silent runners va nous montrer les processus qui se lancent "en silence"

Modifié le 12 novembre 2006 par bruce lee

[manchette]

Hello,

je sais on a formaté un peu vite peut être, je ne maitrise pas tout

 

le formatage et la réinstall sont finis, voici tout de même le résultat de Silent Runners .

Qu'en penses tu ? Y a t'il des choses suspectes ?

Merci

 

(ps : par ailleurs : les notifications email ne marchent pas bien, je les coche mais je ne recois pas de mail.)

 

"Silent Runners.vbs", revision 49, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"

 

 

Startup items buried in registry:

---------------------------------

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "D:\WINDOWS\system32\ctfmon.exe" [MS]

"LClock" = "lclock.exe" [null data]

"IncrediMail" = "D:\Program Files\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"NVMixerTray" = ""D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]

"kav" = ""D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"" ["Kaspersky Lab"]

"(Default)" = "(empty string)" [file not found]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"

-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"

\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Antivirus Internet"

-> {HKLM...CLSID} = "Antivirus Internet"

\InProcServer32\(Default) = "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll" ["Kaspersky Lab"]

 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<<!>> klogon\DLLName = "D:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"]

 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll" ["Kaspersky Lab"]

 

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll" ["Kaspersky Lab"]

 

 

Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------

 

Note: detected settings may not have any effect.

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\

 

"LowRiskFileTypes" = (REG_SZ) .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;

{unrecognized setting}

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\

 

"SaveZoneInformation" = (REG_DWORD) hex:0x00000001

{unrecognized setting}

 

"HideZoneInfoOnProperties" = (REG_DWORD) hex:0x00000001

{unrecognized setting}

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

 

"NoCDBurning" = (REG_DWORD) hex:0x00000001

{unrecognized setting}

 

"ForceClassicControlPanel" = (REG_DWORD) hex:0x00000001

{unrecognized setting}

 

"NoLowDiskSpaceChecks" = (REG_DWORD) hex:0x00000001

{unrecognized setting}

 

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000040

{unrecognized setting}

 

"NoSMBalloonTip" = (REG_DWORD) hex:0x00000000

{unrecognized setting}

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

 

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}

 

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}

 

 

Active Desktop and Wallpaper:

-----------------------------

 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "D:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "D:\Documents and Settings\AURELIE\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

 

 

Enabled Screen Saver:

---------------------

 

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "D:\WINDOWS\system32\logon.scr" [MS]

 

 

Winsock2 Service Provider DLLs:

-------------------------------

 

Namespace Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

 

Transport Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

 

 

Toolbars, Explorer Bars, Extensions:

------------------------------------

 

Explorer Bars

 

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

 

HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Antivirus Internet"

Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32\(Default) = "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll" ["Kaspersky Lab"]

 

Extensions (Tools menu items, main toolbar menu buttons)

 

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\

"ButtonText" = "Antivirus Internet"

 

 

Miscellaneous IE Hijack Points

------------------------------

 

D:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

 

Added lines (compared with English-language version):

[strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

 

Missing lines (compared with English-language version):

[strings]: 1 line

 

 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

 

Kaspersky Anti-Virus 6.0, AVP, ""D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r" ["Kaspersky Lab"]

 

 

----------

<<!>>: Suspicious data at a malware launch point.

 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

DLL launch points, use the -supp parameter or answer "No" at the

first message box and "Yes" at the second message box.

---------- (total run time: 52 seconds, including 18 seconds for message boxes)

[bruce lee]

re,

 

Poste un nouveau rapport hijackthis s'il te plait

[manchette]

Salut,

 

euh, je te parlais du post précédent, le fichier html d'aprés scan en ligne chez Kaspersky.

y a t'il des choses génantes coté sécurité ?

 

Sinon je viens de reprendre HJT , voici le log :

Logfile of HijackThis v1.99.1

Scan saved at 18:29:37, on 15/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

D:\WINDOWS\system32\ctfmon.exe

D:\WINDOWS\lclock.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

D:\PROGRA~1\INCRED~1\bin\IMApp.exe

D:\Documents and Settings\AURELIE\Bureau\Eurofake.exe

D:\Program Files\IncrediMail\bin\IncMail.exe

D:\Program Files\MoneyCashBAR\MoneyCashBAR.exe

D:\Documents and Settings\AURELIE\Bureau\Kitbar4$.exe

D:\PROGRA~1\INCRED~1\bin\ImNotfy.exe

D:\Program Files\eurobarre\eb.exe

D:\PROGRA~1\MOZILL~1\FIREFOX.EXE

D:\DOCUME~1\AURELIE\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/french

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.incredimail.com/page.asp?page=r...don=IncrediMail

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [NVMixerTray] "D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [kav] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LClock] lclock.exe

O4 - HKCU\..\Run: [incrediMail] D:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - Startup: Eurobarre.lnk = D:\Program Files\eurobarre\eb.exe

O4 - Startup: Kitbar4$.lnk = D:\Documents and Settings\AURELIE\Bureau\Kitbar4$.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O20 - Winlogon Notify: klogon - D:\WINDOWS\system32\klogon.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

 

 

par ailleurs :

 

1- peut tu stp me dire où trouver :

jv16 power tools version gratuite

a squared version gratuite ?

2- vois tu d'autres outils de base ?

(j'ai pris spybot et ad aware.)

merci

Modifié le 15 novembre 2006 par manchette

[bruce lee]

bonjour manchette,

 

Le rapport hijackthis et celui de kaspersky sont clean

 

As tu encore des problemes avec ton PC

 

Pour tes questions, tu devrais tout trouvé dans les conseils de sécurité (je te les donnerai quand tu m'auras confirmé ou non pour tes problemes)

[manchette]

Salut,

formatage oblige la menace semble avoir été éradiquée

 

Je veux bien les liens quand aux logiciels demandés plus haut, oui

[bruce lee]

re,

 

content que tu n'es plus de problemes

 

Pense a mettre la question en resolu, pour se faire tu edites ton

titre (premier message) et tu mets devant [résolu]

 

les voici les conseils:

 

***

 

- Windows Update parfaitement à jour (catégories critique, Services Pack et Services Release)

- pare-feu bien paramétré

- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)

- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

- un contôle régulier de la console JAVA pour s'assurer qu'elle est à jour

Pour en savoir plus, consulte la page de Ipl_001 : http://IPL001.free.fr/IT/IT-AM0.html

 

***

 

1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC :

 

 

Navigateurs

• => Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de Megataupe :
  - Téléchargement :

http://www.mozilla-europe.org/fr/products/firefox/
- Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628
Je te le recommande vivement !
 
=> Opera
- Téléchargement : http://www.opera.com/download/
- Tutorial par Pitcat : http://speedweb1.ovh.org/forum-tesgaz/view...ae5af52b512dbab
- Fonctionnalitées et Astuces par Lordtoniok : http://forum.zebulon.fr/index.php?showtopic=73742
 
Si tu veux toujours utiliser IE ! :
 
=> IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux)
Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg : les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !)
- Téléchargement : http://www.spywarewarrior.com/uiuc/resource.htm

 

Sécurisation des ports

• => ZebProtect (pour sécuriser les ports de ton PC, très simple) :
  - Téléchargement :

http://telechargement.zebulon.fr/123.html
- Tutorial par Tesgaz : http://www.zebulon.fr/articles/zebprotect.php
 
=> Si tu veux tester ton firewall :
- scanner les ports du PC : http://www.pcflank.com/

 

Sécurisation de la navigation

• => SpywareBlaster :
  - Téléchargement :

http://www.javacoolsoftware.com/downloads.html
- Tutorial : http://www.ordi-netfr.org/tutorialspywareblaster.php
Freeware permettant d'empêcher l'installation de spywares (logiciels espions) et autres adwares (insertion de publicité) sur ton PC. Contrairement à des logiciels comme Spybot - Search & Destroy ou Ad-aware, SpywareBlaster est un logiciel préventif.
 
=> Le fichier Hosts :
Souvent négligé par les internautes, il est pourtant très recommandé de savoir l'exploiter.
- Télécharger le fichier Hosts de Tesgaz régulièrement mis à jour : http://speedweb1.free.fr/download/secu/hosts.ZIP
- Télécharger les listes hosts du forum Assiste.com par Pierre Pinard : http://assiste.forum.free.fr/viewtopic.php?t=11318
- Explications sur le Hosts : http://speedweb1.free.fr/frames2.php?page=securite10
- Conversations sur le Hosts sur Zebulon : http://forum.zebulon.fr/index.php?showtopic=88615

Verifie si ta console Java est à jour:

 

Java Sun et télécharge la dernière version (si ta version actuelle n'estt pas à jour)

 

Après installation et redémarrage (toujours si elle n'etait pas à jour), va dans panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.

 

Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

 

En cas de problèmes chez Sun, tu peux aller télécharger la dernière version chez File Hippo

 

canned fait par liegeois

 

 

Outils de détection et de désinfection non résidents

• => Ad-Aware SE de Lavasoft :
  - Téléchargement :

http://www.ordi-netfr.com/adawarese.html
- Téléchargement 2 : http://www.lavasoft.de/support/download/#free
- Tutorial : http://home.tiscali.be/schouppeguy/adawarese/adawase.htm
- Tutorial 2 par Patarien : http://tutopat.hostonet.org/viewtopic.php?t=207
 
=> SpyBot-Search & Destroy de Patrick Kolla :
- Téléchargement : http://spybot.safer-networking.de/fr/download/index.html
- Tutorial : http://www.safer-networking.org/fr/tutorial/index.html
- Tutorial par Tesgaz : http://www.zebulon.fr/articles/spybot_1.php
A noter la présence de 2 outils résidents optionnels, le "Teatimer" et le "SDhelper"; le tuto indiqué t'en dira d'avantage.
 
=>AVG anti-spyware :
- Téléchargement : http://download.grisoft.cz/softw/70/filedi..._4.0.0.172a.exe
- Tutorial par Malekal_morte : http://www.malekal.com/tutorial_ewidoV4.html#mozTocId415851
Ewido est un antimalware très efficace. Certaines fonctions ne sont gratuites que 30 jours, mais il est très performant en analyse en mode sans échec.

 

Contrôleurs d'intégrité - Résidents / pour utilisateurs avancés

• =>Winpooch projet Opensources :
  - Téléchargement :

http://winpooch.free.fr/page/home.php?lang=fr&page=home
- Conversation sur Zebulon par Jack Burton : http://forum.zebulon.fr/index.php?showtopi...amp;hl=Winpooch
 
=>WinPatrol de BillP Studios :
- Téléchargement : http://www.winpatrol.com/download.html
- Tutorial par Krigou : http://www.libellules.ch/weblog/comments.php?id=46_0_1_0_C
 
=>ProcessGuard de DiamondCS :
- Téléchargement : http://www.diamondcs.com.au/processguard/i...p?page=download
- Conversation sur Zebulon par Megataupe : http://forum.zebulon.fr/index.php?showtopic=66717
- tutorial par Odsen : http://benoit.aun.free.fr/securite-facile-...rocessguard.php
 
=>Icesword - IDS de la Xfocus Team :
- Téléchargement : http://www.open-files.com/forum/index.php?...st&p=459692
- tutorial par Txon : http://www.open-files.com/forum/index.php?showtopic=29383
- Tutorial sur Zebulon par Horus Agressor : http://forum.zebulon.fr/index.php?showtopic=96713

 

 

2)- Les utilitaires pour nettoyer le PC :

• => EasyCleaner de Toni Helenius :
  - Téléchargement :

http://personal.inet.fi/business/toniarts/ecleane.htm
- Tutorial - temporaires par DarkBG : http://www.uptoopc.net/nettoyer/temporaires.php
- Tutorial - registre : http://www.uptoopc.net/nettoyer/registre.php
- Tutorial - autres fonctions : http://www.uptoopc.net/nettoyer/autresfonctions.php
Easy cleaner est un utilitaire de nettoyage.
 
=> ATF Cleaner de Atribune :
- Téléchargement : http://www.atribune.org/ccount/click.php?id=1
- Tutorial par Lomaster : http://lomaster.freehostia.com/atfcleaner.html
 
=> JV16 :
- Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html
- Tutorial par Tesgaz : http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

3)- Pour aller plus loin dans l'optimisation et la sécurisation - quelques pistes par Tesgaz :

• =>Configurez vos services :
  

http://speedweb1.free.fr/frames2.php?page=service3
http://speedweb1.free.fr/frames2.php?page=service4
 
=>Optimiser la protection de son PC pour Internet en toute sécurité :
http://speedweb1.free.fr/frames2.php?page=securite1
 
=>Autorisation et restriction des Dossiers et fichiers avec NTFS :
http://speedweb1.free.fr/frames2.php?page=securite4
 
=>Améliorer votre sécurité grâce aux restrictions :
http://speedweb1.free.fr/frames2.php?page=securite6
 
=>Les mots de passe :
http://speedweb1.free.fr/frames2.php?page=securite7

 

 

4)- Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware :

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

canned de Malekal_morte : http://www.malekal.com/

 

Plus d'info sur le topic d'Ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

 

J'espère t'avoir été assez clair, et je reste à ta disposition si tu as une question sur ce que je viens de te recommmander. Tu as beaucoup d'informations d'un coup, prends le temps de les digérer. Zebulon est une mine d'informations concernant l'optimisation, la sécurisation et la prévention, il ne faut pas hésiter à y poser des questions.

• Pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu".
  

 

A bientot sur les forums de

[manchette]

Salut,

merci de toutes ces infos que j'ai sauvées précieusement.

 

Mon souci : le cheval de Troie décrit plus haut est revenu !!! Malgré le formatage

 

QUe faire ? te montrer le résultat de Silent Runners ?

 

ca me donne ceci :

 

"Silent Runners.vbs", revision 49, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"

 

 

Startup items buried in registry:

---------------------------------

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "D:\WINDOWS\system32\ctfmon.exe" [MS]

"LClock" = "lclock.exe" [null data]

"IncrediMail" = "D:\Program Files\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"kav" = ""D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"" ["Kaspersky Lab"]

"(Default)" = "(empty string)" [file not found]

"NVMixerTray" = ""D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"

-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"

\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Antivirus Internet"

-> {HKLM...CLSID} = "Antivirus Internet"

\InProcServer32\(Default) = "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll" ["Kaspersky Lab"]

 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<<!>> klogon\DLLName = "D:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"]

 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll" ["Kaspersky Lab"]

 

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll" ["Kaspersky Lab"]

 

 

Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------

 

Note: detected settings may not have any effect.

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\

 

"LowRiskFileTypes" = (REG_SZ) .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;

{unrecognized setting}

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\

 

"SaveZoneInformation" = (REG_DWORD) hex:0x00000001

{unrecognized setting}

 

"HideZoneInfoOnProperties" = (REG_DWORD) hex:0x00000001

{unrecognized setting}

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

 

"NoCDBurning" = (REG_DWORD) hex:0x00000001

{unrecognized setting}

 

"ForceClassicControlPanel" = (REG_DWORD) hex:0x00000001

{unrecognized setting}

 

"NoLowDiskSpaceChecks" = (REG_DWORD) hex:0x00000001

{unrecognized setting}

 

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000040

{unrecognized setting}

 

"NoSMBalloonTip" = (REG_DWORD) hex:0x00000000

{unrecognized setting}

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

 

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}

 

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}

 

 

Active Desktop and Wallpaper:

-----------------------------

 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "D:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "D:\Documents and Settings\aurelie\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

 

 

Enabled Screen Saver:

---------------------

 

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "D:\WINDOWS\system32\logon.scr" [MS]

 

 

Startup items in "aurelie" & "All Users" startup folders:

---------------------------------------------------------

 

D:\Documents and Settings\aurelie\Menu D�arrer\Programmes\D�arrage

"Eurobarre" -> shortcut to: "D:\Program Files\eurobarre\eb.exe" [null data]

"Kitbar4$" -> shortcut to: "G:\Kitbar4$.exe" [file not found]

 

 

Winsock2 Service Provider DLLs:

-------------------------------

 

Namespace Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

 

Transport Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

 

 

Toolbars, Explorer Bars, Extensions:

------------------------------------

 

Explorer Bars

 

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

 

HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Antivirus Internet"

Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32\(Default) = "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll" ["Kaspersky Lab"]

 

Extensions (Tools menu items, main toolbar menu buttons)

 

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\

"ButtonText" = "Antivirus Internet"

 

 

Miscellaneous IE Hijack Points

------------------------------

 

D:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

 

Added lines (compared with English-language version):

[strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

 

Missing lines (compared with English-language version):

[strings]: 1 line

 

 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

 

Kaspersky Anti-Virus 6.0, AVP, ""D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r" ["Kaspersky Lab"]

 

 

----------

<<!>>: Suspicious data at a malware launch point.

 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

DLL launch points, use the -supp parameter or answer "No" at the

first message box and "Yes" at the second message box.

---------- (total run time: 52 seconds, including 18 seconds for message boxes)

Modifié le 25 novembre 2006 par manchette

[bruce lee]

salut manchette,

 

Poste un nouveau rapport hijackthis s'il te plait.