Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

fenetres indsirables intempestives...aidez moi je vous en supplie!


anais
 Partager

Messages recommandés

Bonjour anais,

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

 

 

--> Télécharge HijackThis ici : http://download.hijackthis.eu/hijackthis_199.zip

---> Décompresse l'archive dans un dossier dédié

---> Renomme HijackThis.exe en Vundo.exe

---> Lance-le

---> Choisis l'option "Do A System Scan And Save A Log File"

---> Copie-colle le rapport sur ce forum

 

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

Lien vers le commentaire
Partager sur d’autres sites

voici le rapport log HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 12:19:45, on 02/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\DSLMON.exe

C:\Program Files\Microsoft Reference\Bibliorom Larousse 2.0\QShlf2f.exe

C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\you.ADMIN\Bureau\Scanner.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/def.../search/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/def...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/def...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - Startup: QuickShelf Fr.lnk = C:\Program Files\Microsoft Reference\Bibliorom Larousse 2.0\QShlf2f.exe

O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: DSLMON.lnk = C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\DSLMON.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {04F414E9-E352-4BC3-963D-7BFE5A5F31A9} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1064_XP.cab

O16 - DPF: {5F4D3335-3194-4167-85AE-E7325F2695EF} - http://scripts.dlv4.com/binaries/egaccess4..._1068_em_XP.cab

O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - http://scripts.dlv4.com/binaries/egaccess4..._1070_em_XP.cab

O16 - DPF: {CB5D474E-A510-40A4-B5A4-838933BCBA64} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1065_XP.cab

O16 - DPF: {FA1D6D8F-C6ED-4752-8512-A33283240130} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1066_XP.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{43C7EC32-432B-4409-8188-4D63A2B69A03}: NameServer = 208.67.222.222 208.67.220.220

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

Modifié par anais
Lien vers le commentaire
Partager sur d’autres sites

Voilà,

 

 

1) Suis la procédure avec navilog1 décrite ici

 

Cette procédure doit être suivie à la lettre.

Copie / Colle sur le forum les rapports obtenus en suivant la procédure.

 

 

* Merci IL-MAFIOSO pour le fix et à Malekal_morte pour son excellent tutoriel !

 

 

2) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr"

 

 

---> Valide en appuyant sur OK

---> Laisse Windows calculer, coche uniquement les cases Fichiers Internet temporaires, Corbeille et Fichiers temporaires

---> Clique à nouveau sur OK

 

 

3) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste également le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

Bon travail à toi !!!! :P

Lien vers le commentaire
Partager sur d’autres sites

En ce qui est des deux premières étapes voici les deux rapports suivants:

 

Rapport fixnavi

Search Navipromo version 1.0.4 commencé le 02/03/2007 à 20:39:57,57

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Documents and Settings\you.ADMIN\Bureau

Mise a jour le 26.02.2007 a 14h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

C:\Program Files\InternetGameBox trouvé !

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\you.ADMIN\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

 

C:\windows\system32\rbthzpd.exe

 

Processus caché(s) dans C:\WINDOWS\system32 :

 

C:\windows\system32\rbthzpd.exe

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\tmlpcert2007 trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

C:\WINDOWS\system32\prodsrvs.exe trouvé !

 

 

*** Recherche cles registre ***

 

 

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1063.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1065.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1066.dll

 

 

Recherche Clé Magic Control

 

 

 

*** Module de recherche complémentaire ***

(recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers connus:

 

C:\WINDOWS\pack.epk trouvé !

 

2)Recherche Heuristique :

(fichiers non traités par le fix)

*

C:\WINDOWS\system32\rbthzpd.dat

**

C:\WINDOWS\system32\rbthzpd.dat

***

****

C:\WINDOWS\system32\rbthzpd_navps.dat

 

 

*** Analyse Terminé le 02/03/2007 à 20:41:51,34 ***

 

Rapport cleanavi

 

Clean Navipromo version 1.0.4 commencé le 02/03/2007 à 20:58:22,50

 

Fix lancé depuis C:\Documents and Settings\you.ADMIN\Bureau

Mise a jour le 26.02.2007 a 14h00 by IL-MAFIOSO

 

Executé en mode sans echec

 

Mode suppression par méthode manuelle

 

Nom du fichier saisi : rbthzpd

 

*** Recherche, Creation backups et suppression ***

 

C:\WINDOWS\system32\rbthzpd_navup.dat absent !

C:\WINDOWS\system32\rbthzpd_navtmp.dat absent !

C:\WINDOWS\system32\rbthzpd_m2s.xml absent !

 

C:\WINDOWS\system32\rbthzpd.exe trouvé !

Copie C:\WINDOWS\system32\rbthzpd.exe réalisé avec succès !

C:\WINDOWS\system32\rbthzpd.exe supprimé !

 

C:\WINDOWS\system32\rbthzpd.dat trouvé !

Copie C:\WINDOWS\system32\rbthzpd.dat réalisé avec succès !

C:\WINDOWS\system32\rbthzpd.dat supprimé !

 

C:\WINDOWS\system32\rbthzpd_nav.dat trouvé !

Copie C:\WINDOWS\system32\rbthzpd_nav.dat réalisé avec succès !

C:\WINDOWS\system32\rbthzpd_nav.dat supprimé !

 

C:\WINDOWS\system32\rbthzpd_navps.dat trouvé !

Copie C:\WINDOWS\system32\rbthzpd_navps.dat réalisé avec succès !

C:\WINDOWS\system32\rbthzpd_navps.dat supprimé !

 

C:\WINDOWS\prefetch\rbthzpd*.pf trouvé !

Copie C:\WINDOWS\prefetch\rbthzpd*.pf réalisé avec succès !

C:\WINDOWS\prefetch\rbthzpd*.pf supprimé !

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

C:\Program Files\InternetGameBox ...suppression...

C:\Program Files\InternetGameBox supprimé !

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\you.ADMIN\Application Data ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\tmlpcert2007 supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

C:\WINDOWS\system32\prodsrvs.exe supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\you.ADMIN\Local Settings\Temp effectué !

 

 

*** Sauvegarde du registre vers dossier Backupnavi***

 

 

sauvegarde du registre réalisée avec succès !

 

 

*** Nettoyage registre ***

 

 

Nettoyage registre Ok

 

*** Traitement Recherche complémentaire ***

 

1)Recherche/Suppressions nouveaux fichiers connus:

 

C:\WINDOWS\pack.epk trouvé !

Copie C:\WINDOWS\pack.epk réalisé avec succès !

C:\WINDOWS\pack.epk supprimé !

 

2)Recherche Heuristique (Fichiers à supprimer si nécéssaire):

*

**

***

****

 

*** Nettoyage termine le 02/03/2007 à 21:00:02,73 ***

 

le problème se pose à la troisième étape car quand j'essaye de télécharger ActiveX ----il y'a le message suivant:

Echec du chargement du controle ActiveX Kaspersky On-line Scanner!

Vous devez jouir des prévilèges d'administrateur sur ce poste;en outre, il faut configurer le niveau de sécurité IE sur moyen.

 

????? qu'est ce que je dois faire?

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir anais,

 

** Désolé de te répondre si tard ; avec la sortie de Vista, je suis un peu débordé ! **

 

Echec du chargement du controle ActiveX Kaspersky On-line Scanner!

Vous devez jouir des prévilèges d'administrateur sur ce poste;en outre, il faut configurer le niveau de sécurité IE sur moyen.

----> En ce qui concerne le contrôle Active-X, vérifie que ton navigateur est bien configuré comme indiqué ici

 

---> Tu peux également essayer le scan en ligne avec Panda

 

 

---> Merci de reposter un nouveau rapport HijackThis ainsi qu'un nouveau rapport de BlackLight...

 

Bonne nuit ! :P

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Au fait j'ai oublié de préciser que j'ai déja 4 antivirus: avast,ad-aware,spybot,a.squared free et étant donné que pour le scan en ligne il peut y avoir des incompabilités d'anti-virus alors est ce suffisant d'utiliser un de ces 4 anti-virus et reposter ensuite les rapports?

a+

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Partager

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...