Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

orange_bleue

Suspicion d'une infection; analyse rapport Hijackthis

Messages recommandés

Bonjour,

 

Un moment d'égarement et me voici obligé de revenir sur le forum vous soumettre mon problème.

 

Mon problème est assez récent et me semble corrélé à l'installation de messengerskinner que j'ai désinstallé depuis.

En effet, depuis quelques jours, Zone alarm me prévient que le programme sqnlqoljom.exe essaie de se connecter à Internet. Je refuse systématiquement, mais je déplore quand même des pop up: fenêtres sur des sites de rencontres ou sur des (faux ?) programmes de lutte contre les virus.

J'ai trouvé trace de fichiers sqnlqoljom sous c:/windows/system32 et c:/prefetch.

 

J'ai suivi à la lettre le tutorial de résolution des problèmes, phase 1 à 4. Voici le rapport Hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 15:11:29, on 04/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\System32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\windows\system32\sqnlqoljom.exe

C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe

C:\WINDOWS\system32\LVComsX.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [sqnlqoljom] c:\windows\system32\sqnlqoljom.exe sqnlqoljom

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

svp, pouvez-vous m'aider ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Invité Laurent_62

Bonjour orange_bleue,

 

Dans un premier temps je vais te demander un scan complémentaire

 

=> Télécharge F-Secure Blacklight : (F-Secure) https://europe.f-secure.com/blacklight/try.shtml

* Clique en bas sur I accept

-- Dans la nouvelle fenêtre sur le lien Download Blacklight Beta graphical user interface version

-- Met le sur ton bureau

* Lance-le en double-cliquant sur le fichier blbeta.exe

-- Accepte la licence (après l'avoir lue), puis clique sur Scan

note : Ce scan peut prendre un certain temps il faut donc être patient

-- Une fois le scan terminé clique sur Next

important : N'utilise pas la fonction cleaning pour le moment.

 

-- Un rapport sera généré dans le même dossier que blbeta.exe (bureau) et se présente sous le nom fsbl-bxxxx.log (les xxxx sont des chiffres).

-- Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

 

note : si besoin un tutoriel est consultable ici http://www.malekal.com/tutorial_f-secure_BlackLight.html

 

 

=> Renomme Hijackthis

Clique droit sur Hijackthis.exe >> Renommer

Nomme le scan.exe

 

Refais un log et post le en même temps que celui de Blacklight.

 

a+

 

edit:

 

Un petit truc au passage

=> Rend toi sur ce site http://virusscan.jotti.org/

* Clique en haut à droite sur "Parcourir"

-- Choisis le fichier :

 

C:\windows\system32\sqnlqoljom.exe

 

* Clique sur sur submit

* Après le scan le résultat s'affichera en bas, Fais en un copier / coller dans ta prochaine réponse

 

Note :

Le scan peut, suivant la charge du serveur, prendre un peu de temps; Sois patient.

 

a++

Modifié par Laurent_62

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci pour ton aide Laurent_62

 

Ci-dessous le rapport du scan Blacklight:

 

11/04/06 16:38:17 [info]: BlackLight Engine 1.0.47 initialized

11/04/06 16:38:17 [info]: OS: 5.1 build 2600 (Service Pack 2)

11/04/06 16:38:18 [Note]: 7019 4

11/04/06 16:38:18 [Note]: 7005 0

11/04/06 16:38:24 [Note]: 7006 0

11/04/06 16:38:24 [Note]: 7011 1420

11/04/06 16:38:24 [Note]: 7026 0

11/04/06 16:38:24 [Note]: 7026 0

11/04/06 16:38:33 [Note]: FSRAW library version 1.7.1020

11/04/06 16:57:04 [Note]: 2000 1012

11/04/06 16:57:04 [Note]: 2000 1012

 

Le rapport de Hijackthis.exe renommé scan.exe:

 

Logfile of HijackThis v1.99.1

Scan saved at 17:09:06, on 04/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\System32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\windows\system32\sqnlqoljom.exe

C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe

C:\WINDOWS\system32\LVComsX.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\VW0P5IMH\blbeta[1].exe

C:\Program Files\HijackThis\scan.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [sqnlqoljom] c:\windows\system32\sqnlqoljom.exe sqnlqoljom

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

et pour finir le résultat du scan Jotti's: aïe ! un dialer.

 

File: sqnlqoljom.exe

Status: INFECTED/MALWARE

MD5 83d44ffbe7ac36a922af62c1caff2a5a

Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT, PE_PATCH

Scanner results

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found Dialer.Egroup

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

VirusBuster Found nothing

VBA32 Found nothing

 

J'attends tes instructions.

Partager ce message


Lien à poster
Partager sur d’autres sites
Invité Laurent_62

Re,

Aux vues de ces rapports il n'y a apriori qu'un processus a traiter cependant il serait etonnant qu'il soit seul.

Par precaution j'ajoute un scan avec AVG (ex ewido) pour voir si c'est reellement le cas

 

 

=> Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1

-- Met le sur ton bureau

Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec

 

 

=> Télécharge jv16-powertools (Jouni Vuorio) http://telechargement.zebulon.fr/201-jv16-powertools.html

note : Cette version est la dernière qui a été distribuée gratuitement. Une version plus récente existe mais est payante après une période d'essai de 30 jours.

- Voici un tutoriel si besoin http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

=> Télécharge AVG AntiSpyware .

http://www.ewido.net/en/download/

-- Installe le

* Lance AVG AntiSpyware

-- menu Mises à jour

---- Clique sur le bouton Commencer la mise à jour

-- menu analyse onglet paramètres

---- dans la catégorie Rapports coche les cases

[X] Générer un rapport après chaque analyse

[X] Uniquement en cas de menace

---- Dans la catégorie Comment réagir ? sélectionne Quarantaine

* Quitte AVG anti-spyware

 

Note :

AVG anti-spyware est en version d'essai de 30 jours. Il sera toujours possible de l'utiliser après cette période mais il ne disposera plus de la protection résidente ni des mises a jour automatiques. Il faudra donc lancer manuellement la mise à jour et le scan.

- Si besoin un tutoriel http://www.malekal.com/tutorial_AVG_AntiSpyware.html

 

 

=> Redémarre ton PC en mode sans échec

-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.

 

- Au démarrage de l'ordinateur "tapote" la touche F8 de ton clavier jusqu'à ce que les options de démarrage apparaissent.

* A l'aide des touches de ton clavier descend jusque Mode sans échec puis valide par la touche [entrée]

-- Si le choix est proposé choisis le même nom d'utilisateur qu'en mode normal.

 

Note :

-- Windows démarrera avec le strict minimum nécessaire. Tu ne pourras pas te connecter ou utiliser certaines fonctions ou programmes.

-- L'affichage sera inhabituel avec par exemple des icônes plus grandes.

 

 

=> Lance Hijackthis (scan.exe)

-- Clique sur Do a system scan only

---- Coche les cases correspondant à cette ligne

 

O4 - HKLM\..\Run: [sqnlqoljom] c:\windows\system32\sqnlqoljom.exe sqnlqoljom

 

---- Clique sur Fix cheked

-- Quitte Hijackthis

 

 

=> Autorise l'affichage des fichiers et dossiers cachés

 

* Clique sur Démarrer >>> Panneau de configuration

* Dans le menu en haut clique sur Outils choisis Option des dossiers

* Sélectionne l'onglet Affichage

-- [X] Coche Afficher les Fichiers et dossiers cachés

-- [ ] Décoche Masquer les fichiers protégés du système d'exploitation

-- [ ] Décoche Masquer les extensions dont le type est connu

* clique succesivement sur

-- En haut Appliquer à tous les dossiers

-- En bas Appliquer et Ok pour valider les changements

* Ferme la fenêtre

 

 

 

=> Recherche et supprime ce(s) fichiers(s)

c:\windows\system32\sqnlqoljom.exe

 

 

=> Lance ATF-Cleaner :

* Sous l'onglet Main, choisis : Select All

* Clique sur le bouton Empty Selected

 

 

* Sous l'onglet Firefox (si présent) : Clique sur select all

-- Au message "are you sure you want to delete your firefox saved password" clique sur NON

-- Clique sur Empty selected

 

* Sous l'onglet Opéra (si présent) : Clique sur select all

-- Au message "are you sure you want to delete your firefox saved password" clique sur NON

-- Clique sur Empty selected

* Quitte ATF-Cleaner

 

 

=> Lance jv16-powertools

* Clique à gauche sur Preferences ensuite sur Language choisis French(français) clique sur Ok et Ok

* Clique sur Outil registre en haut sur Outils - Nettoyeur de registre

* Clique sur Continuer et Démarrer

* Le scan fini clique en haut sur Sélectionner >>> Sélection spéciale et Eléments qui peuvent être supprimés sans riques

* Clique en bas sur Supprimer puis Fermer

* quitte Jv16

 

 

=> Lance AVG AntiSpyware

* Menu analyse

-- Onglet Analyser

* clique sur analyse complète du système pour lancer le scan

* Le scan fini clique sur Appliquer toutes les actions

-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau

* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse

 

 

=> Redémarre en mode normal

 

 

=> Résultat

- Post les différents rapports obtenus

-- AVG Anti-spyware

-- Un nouveau log Hijackthis (fait en mode normal)

-- Toutes questions, remarques, complément d'information et si une amélioration est constatée.

 

----------------------------------------

En dehors du traitement du souci en cours il est remarqué aussi dans ton log hiajckthis un souci au niveau des mises a jour et particulierement au niveau de Java

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\ jre1.5.0_04 \bin\npjpi150_04.dll

Il serait donc bon et utile de le mettre à jour. en prenant soin de désinstaller les anciennes versions avant

http://www.java.com/fr/

 

A+

Partager ce message


Lien à poster
Partager sur d’autres sites

Re Laurent_62,

 

Et voici le rapport de AVG Anti-spyware

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 20:59:38 04/11/2006

 

+ Résultat de l'analyse:

 

 

 

HKLM\SYSTEM\ControlSet002\Enum\PCI\VEN_1813&DEV_4000&SUBSYS_000116BE&REV_02\3&61aaa01&0&38\\HardwareID -> Adware.HyperBar : Erreur lors du nettoyage.

C:\Documents and Settings\Julien2\Cookies\julien2@adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.

C:\Documents and Settings\Julien2\Cookies\julien2@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyé.

C:\Documents and Settings\Julien2\Cookies\julien2@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.

C:\Documents and Settings\Julien2\Cookies\julien2@estat[1].txt -> TrackingCookie.Estat : Nettoyé.

C:\Documents and Settings\Michel\Cookies\michel@estat[1].txt -> TrackingCookie.Estat : Nettoyé.

C:\Documents and Settings\Michel\Cookies\michel@banner.goldenpalace[2].txt -> TrackingCookie.Goldenpalace : Nettoyé.

C:\Documents and Settings\Michel\Cookies\michel@goldenpalace[1].txt -> TrackingCookie.Goldenpalace : Nettoyé.

C:\Documents and Settings\Michel\Cookies\michel@www.goldenpalace[1].txt -> TrackingCookie.Goldenpalace : Nettoyé.

C:\Documents and Settings\Julien2\Cookies\julien2@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.

C:\Documents and Settings\Michel\Cookies\michel@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.

C:\Documents and Settings\Julien2\Cookies\julien2@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.

C:\Documents and Settings\Michel\Cookies\michel@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.

C:\Documents and Settings\Julien2\Cookies\julien2@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.

C:\Documents and Settings\Michel\Cookies\michel@zedo[1].txt -> TrackingCookie.Zedo : Nettoyé.

 

 

Fin du rapport

 

ainsi que le nouveau log Hijackthis (fait en mode normal). J'en ai profité pour mettre à jour Java.

 

Logfile of HijackThis v1.99.1

Scan saved at 21:39:46, on 04/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\System32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe

C:\WINDOWS\system32\LVComsX.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\HijackThis\scan.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Mon sentiment est que le problème est maintenant résolu et je t'en remercie. Mais est-ce aussi ton avis ?

Faut-il désinstaller les programmes téléchargés ?

 

Vu que tu me demandes mes impressions, j'ai été trés surpris de la durée importante de démarrage en mode sans échec: plusieurs minutes. Est-ce normal ?

Autre question, je trouve que mon rapport Hijack a considérablement grossi depuis la dernière fois. Je retrouve bien évidemment en plus les périphériques (scanner + imprimante) que j'ai installés hier, mais y a-t-il d'autres lignes que je pourrais fixer ?

Partager ce message


Lien à poster
Partager sur d’autres sites
Invité Laurent_62

Re,

 

Je vais essayer de reprendre dans l'ordre des questions

 

Mon sentiment est que le problème est maintenant résolu et je t'en remercie. Mais est-ce aussi ton avis ?

 

- Pour ma part ca me semble correct. Le rapport Hijackthis ne démontre plus rien d'inquietant

 

Faut-il désinstaller les programmes téléchargés ?

 

- ATFcleaner peut être supprimé.

Bien que très efficace dans une procédure d'eradication il manque toutefois d'options pour une utilisation à titre d'entretien comme par exemple la possibilité de garder certains cookies comme le fait Ccleaner

 

- Jv16 C'est au choix

Il permet de nettoyer la base de registre dans un cadre d'entretien et par consequent peut être utilisé régulièrement.

 

Fsecure Blacklight est à supprimer

ce type de programme ayant une fonction bien spécifique il n'est d'aucune utilité dans un cadre d'entretien. De plus l'evolutions des versions fait que l'on utilisera toujours la dernière

 

Vu que tu me demandes mes impressions, j'ai été trés surpris de la durée importante de démarrage en mode sans échec: plusieurs minutes. Est-ce normal ?

Ca c'est une bonne question à laquelle je n'aurais malheureusement pas de réponse très exploitable.

Le mode sans echec etant un mode diagnostique changeant Windows avec le strict minimum il devrait être plus rapide à démarrer donc c'est étrange (defrag peut etre)

 

Autre question, je trouve que mon rapport Hijack a considérablement grossi depuis la dernière fois. Je retrouve bien évidemment en plus les périphériques (scanner + imprimante) que j'ai installés hier, mais y a-t-il d'autres lignes que je pourrais fixer ?

 

Pour l'optimisation il y a en effet quelques programmes qui peuvent être désactivés

Les lignes 04 c'est au choix soit en les fixant avec Hijackthis (en s'assurant de sauvegarder les backups) soit via MSCONFIG ce qui rend la reactivation d'autant plus aisée.

 

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

 

 

Voila je pense avoir fais le tour mais si besoin je repasserai sans souci.

 

Bon surf!

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×