[Résolu] Trojan.Proxy.Win32.Horst.vx et Rapport Hijackthis

[Madscalp]

Salut à tous,

 

Je suis emm.... avec la chose décrite en titre c'est-à-dire que régulièrement Kaspersky m'avertit de cette intrusion et me cite h..p://ads.opernuz.com/up/module32i.9.exe.

Il y a en effet des saloperies dont un svchost dans C/Documents and settings/../Local settings/Temp que je ne peux pas virer.

 

Voici le rapport:

 

Logfile of HijackThis v1.99.1

Scan saved at 13:42:03, on 04/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Ditto\Ditto.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Sprite Software\Sprite Backup\SpriteService.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Program Files\PyGrenouille\pygrenouille.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\Ewido anti-spyware 4.0\guard.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\wuauclt.exe

I:\Mes fichiers\Informatique et video\Traitement antivirus\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.my.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Program Files\Power Translator\Applications\LEC IE Translation Extension.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKCU\..\Run: [Ditto] C:\Program Files\Ditto\Ditto.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [spriteService] "C:\Program Files\Sprite Software\Sprite Backup\SpriteService.exe"

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: PyGrenouille.lnk = C:\Program Files\PyGrenouille\pygrenouille.exe

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130238952343

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://213.41.176.23:81/activex/AxisCamControl.cab

O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.56.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{29CB944C-17CC-487D-8BFE-A0377C4F1027}: NameServer = 80.10.246.130,80.10.246.3

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\Ewido anti-spyware 4.0\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe (file missing)

 

Qu'en pensez-vous ?

Merci.

Modifié le 8 février 2007 par Madscalp

[Malekal_morte]

Voici la manipulation à effectuer en entier

Merci de bien vouloir :

- Lire attentivement les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.

- Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

- A l'issu de la procédure, merci de bien copier/coller TOUS les rapports demandés.

- N'hésitez pas à consulter les liens d'aides, ils sont là pour vous guider !

 

Sur HiJackThis, refais un scan et coches les lignes suivantes :

 

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

 

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HiJackThis

 

- Télécharge et installe AVG Anti-Spyware - Tutorial : http://www.malekal.com/tutorial_AVG_AntiSpyware.html

- Mets le à jour à partir du menu Mise à jour en haut

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

 

Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.

Double-clic sur clean. Cela va ouvrir une fenêtre noire.

Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.

Clean va travailler.

Un rapport Va etre généré, colle le contenu entier ici.

 

- Ouvre AVG Anti-Spyware et clic sur l'onglet Analyse, puis le sous-onglet Paramètres

- Sélectionne dans Comment Réagir ? Quarantine. (voir l'aide l'aide AVG Anti-Spyware)

- Reviens au sous-onglet Analyser puis clique sur Analyse complète du système.

---> Le scan démarre.

 

A la fin clique sur Appliquer toutes les actions, les éléments doivent alors être déplacés en quarantaine.

Puis clique sur Enregistrer le rapport d'analyse et enregistre le rapport sur le Bureau.

 

 

Aide : N'hésite pas à consulter l'Aide AVG Anti-Spyware pour tout problème.

 

 

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

 

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- AVG Anti-Spyware

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HiJackThis

[Madscalp]

Merci

Je vais faire ça.

A tout à l'heure.

[Madscalp]

Pardonne-moi de ne pas avoir répondu plus tôt mais la manip est longue ( 2 h de scan avec AVG !!!!).

 

Voici le rapport "clean":

 

Script execute en mode sans echec

Rapport clean par Malekal_morte - http://www.malekal.com

Option 2, executee le 04/02/2007 a 17:09:22,07

 

Microsoft Windows XP [version 5.1.2600]

 

*** Suppression de fichiers sur C:

 

*** Suppression des fichiers dans C:\WINDOWS\

 

*** Suppression des fichiers dans C:\WINDOWS\system32

tentative de suppression de C:\WINDOWS\system32\spool\drivers\setup.exe

tentative de suppression de C:\WINDOWS\system\smss.exe

tentative de suppression de "C:\DOCUME~1\HR0167~1\LOCALS~1\Temp\??exmodul*.exe"

tentative de suppression de "C:\DOCUME~1\HR0167~1\LOCALS~1\Temp\??exhdd*.exe"

tentative de suppression de "C:\Documents and Settings\All Users\Documents\setup.exe"

 

tentative de suppression de "C:\Program Files\Viewpoint\"

 

*** Suppression des clefs du registre effectuee..

*** Fin du rapport !

 

Le rapport AVG:

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 20:16:50 04/02/2007

 

+ Résultat de l'analyse:

 

 

 

I:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP91\A0252276.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Nettoyé.

I:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP91\A0252463.EXE -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Nettoyé.

I:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP91\A0253591.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Nettoyé.

C:\Documents and Settings\H R\Cookies\h_r@com[1].txt -> TrackingCookie.Com : Nettoyé.

C:\Documents and Settings\H R\Cookies\h_r@estat[1].txt -> TrackingCookie.Estat : Nettoyé.

C:\Documents and Settings\H R\Cookies\h_r@stat.onestat[2].txt -> TrackingCookie.Onestat : Nettoyé.

C:\Documents and Settings\H R\Cookies\h_r@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.

 

 

Fin du rapport

 

Le rapport Hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 20:25:13, on 04/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Ditto\Ditto.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Sprite Software\Sprite Backup\SpriteService.exe

C:\Program Files\PyGrenouille\pygrenouille.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\wuauclt.exe

I:\Mes fichiers\Informatique et video\Traitement antivirus\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.my.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Program Files\Power Translator\Applications\LEC IE Translation Extension.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [Ditto] C:\Program Files\Ditto\Ditto.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [spriteService] "C:\Program Files\Sprite Software\Sprite Backup\SpriteService.exe"

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: PyGrenouille.lnk = C:\Program Files\PyGrenouille\pygrenouille.exe

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130238952343

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://213.41.176.23:81/activex/AxisCamControl.cab

O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.56.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{29CB944C-17CC-487D-8BFE-A0377C4F1027}: NameServer = 80.10.246.130,80.10.246.3

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe (file missing)

 

A noter qu'en mode sans échec j'ai pu virer dans le dossier Temp de Local Settings tous les fichiers qui m'emm...aient à l'exception d'un fichier texte du nom de WCESLog dont voici le contenu:

 

02/04/2007 17:32:00.515 **************** Logging Started ****************

02/04/2007 17:32:00.515 Process C:\PROGRA~1\MI3AA1~1\rapimgr.exe p(216)

02/04/2007 17:32:00.515 p(216) t(212) TraceToFile -> ERROR in InitRAPIMgrWindows : hr = 0x800706a6 - rapimgr.cpp(916)

02/04/2007 17:32:00.515 p(216) t(212) RAPIMgr -> Enabling RAPIMgr process for SessionID: 0, ProcessID: 216 - rapimgr.cpp(1909)

02/04/2007 17:46:34.406 **************** Logging Started ****************

02/04/2007 17:46:34.406 Process C:\PROGRA~1\MI3AA1~1\rapimgr.exe p(216)

02/04/2007 17:46:34.406 p(216) t(220) TraceToFile -> ERROR in InitRAPIMgrWindows : hr = 0x800706a6 - rapimgr.cpp(916)

02/04/2007 17:46:34.406 p(216) t(220) RAPIMgr -> Enabling RAPIMgr process for SessionID: 0, ProcessID: 216 - rapimgr.cpp(1909)

02/04/2007 20:19:25.906 **************** Logging Started ****************

02/04/2007 20:19:25.906 Process C:\PROGRA~1\MI3AA1~1\rapimgr.exe p(248)

02/04/2007 20:19:25.906 p(248) t(256) TraceToFile -> ERROR in InitRAPIMgrWindows : hr = 0x800706a6 - rapimgr.cpp(916)

02/04/2007 20:19:25.906 p(248) t(256) RAPIMgr -> Enabling RAPIMgr process for SessionID: 0, ProcessID: 248 - rapimgr.cpp(1909)

 

 

On retrouve ce C:\PROGRA~1\MI3AA1~1\rapimgr.exe p(216) dans le rapport hijackthis mais par contre il m'est impossible de le localiser dans C.

Il semblerait qu'il soit lié à Microsoft Activesync dont je me sers pour mon PDA et je ne pense donc pas qu'il soit en cause.

Depuis la manip, ça semble OK.

Que penses-tu des rapports ?

Merci.

[Malekal_morte]

Suis les directives de cette page concernant ton pare-feu : http://www.malekal.com/Trojan-Proxy.Win32.Horst.php

 

 

 

C'est OK en suivant les dernières manipulations ci-dessous

 

Essaye de rapporter ton infection sur le site que je te donne ci-dessous, ce serait super cool

 

Ton infection : trojan.spambot

 

Finir le nettoyage :

- Nettoye ton ordinateur avec CCleaner : http://www.malekal.com/tutorial_CCleaner.html

- Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP

- Tu peux ensuite désinstaller tous les programmes que l'on a utilisé.

 

 

 

je t'invite à jeter un coup d'oeil à ces liens dans la mesure du possible, essaye de rapporter ton infection :

 

Comment se protéger des virus : - Tout ceci est résume sur cette page : Sécuriser son ordinateur et connaître les menaces

Je t'invite aussi à mettre à jour tous les composants de ton système - Garde l'habitude de les maintenir à jour, un ordinateur avec des logiciels non à jour = infection ! tu peux scanner ton ordinateur pour vérifier quels sont les progammes non à jour en suivant les directives de cette page : http://www.malekal.com/scan_vulnerabilite.php

 

Faire bouger les choses :

 

Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :

- Voir les règles de Malware-Complaints

- Enregistre sur le forum à partir du bouton register en haut :

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

 

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforu...e115fda8cee41a4

 

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

 

Pour poster un message, clics sur le bouton "post reply" et remplir les informations - NE PAS CREER UN SUJET avec le bouton New Topic.

 

Pour toutes aides pour poster ton message, tu peux consulter ce lien : http://www.malekal.com/malwarecomplaints.html

Si tu as des questions ou des problèmes, n'hésites pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.

[Madscalp]

Merci pour ta rapidité et ta compétence.

C'est effectivement cela: j'avais des setup un peu partout.

A bientôt.

[Malekal_morte]

Si tu as fait les manips avec le pare-feu, ils ne devraient plus revenir.

 

Essaye de rapporter ton infection, ce serait cool

 

Bonne soirée.

[Madscalp]

Merci encore pour tes conseils mais il y a quelque chose que je ne saisis pas:

 

Allez dans le panneau de configuration puis pare-feu

Dans l'onglet général assurez-vous que le pare-feu est sur activé

Cliquez en haut sur l'onglet exception

Dans la liste, décochez partage de fichiers et imprimantes

Supprimez les fichiers setup.exe ou data.exe détecté par votre antivirus

Redémarrez l'ordinateur.

Mettez à jour votre ordinateur à partir de Windowsupdate, plus d'informations sur les mises à jour Windows.

 

Je décoche bien partage de fichiers et d'imprimantes mais kaspersky ne m'a rien trouvé d'anormal (donc pas de setup et de data à supprimer)

Est-ce que je dois recocher par la suite et quand "partage de fichiers et d'imprimantes" ?

 

Je vais faire un rapport sur ton site dès que possible (peut-être pas aujourd'hui parce que j'ai du taf)

Merci encore.

Modifié le 5 février 2007 par Madscalp

[Malekal_morte]

Non Laisse le décocher.

[Madscalp]

Non Laisse le décocher.

 

et comment faire des partages de fichiers entre mon fixe et mon pc portable ?