[résolu] pouvez vous m'aider dans l'analyse de mon log hijackt

[labrune]

au fait, tout à l'heure j'ai installé spybot search&destroy, fais une analyse et supprimé ceux qu'il avait trouvé... je ne pense pas que ce soit une connerie mais j'espère avoir bien fait... on verra, je me lance dans le grand nettoyage du pc....

 

@ plus

[Thanos]

non, il n'y a pas de souci ! Par curiosité pense à poster le rapport stp >

 

le rapport de Spybot, que tu trouveras dans => C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Logs.

Le rapport à poster se nomme Fixes 060411(date du jour) ...txt

Modifié le 1 mai 2007 par charles ingals

[labrune]

bonjour charles ingals;

voilà, cela a pris un peu de temps mais toute la procédure que tu m'a conseillé de faire est enfin terminé. Pour le log de spybot, je n'ai pas réussi à le retrouver, ni à l'endroit que tu m'indique (il n'y a as de dossier spybot même en fichier caché) ni dans le spybot inscrit dans le programme file; mais en y songeant, je n'ai pas demandé d'enregistrer le rapport en fin de scan.

Sinon, voici les rapports des procédure que tu m'a demandé. Dans l'ordre suivan:

- le rapport de Avg AS

- le rapport cleanavi.txt sur ton bureau

- le rapport de panda

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 01:32 02/05/2007

 

+ Résultat de l'analyse:

 

 

 

C:\Program Files\DAEMON Tools\SetupDTSB.exe -> Adware.SaveNow : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\bruno d'Antin\Local Settings\Application Data\Microsoft\Windows Defender\FileTracker\{79E403E6-06A3-40C5-AA6B-AE0AFC469EA5} -> Trojan.Qhosts : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\bruno d'Antin\Local Settings\Application Data\Microsoft\Windows Defender\FileTracker\{7F9246CB-BF78-4355-9186-CF1DA984C6F7} -> Trojan.Qhosts : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\bruno d'Antin\Local Settings\Application Data\Microsoft\Windows Defender\FileTracker\{9B5968D9-4A46-4E4A-BD4B-0F2F2F974A7E} -> Trojan.Qhosts : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\bruno d'Antin\Local Settings\Application Data\Microsoft\Windows Defender\FileTracker\{A75941F0-CC60-47CA-A1B3-B94042BC937A} -> Trojan.Qhosts : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\bruno d'Antin\Local Settings\Application Data\Microsoft\Windows Defender\FileTracker\{C54E3D57-177C-4776-A03D-07F5F9EDC6E8} -> Trojan.Qhosts : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\bruno d'Antin\Local Settings\Application Data\Microsoft\Windows Defender\FileTracker\{CB0F05C2-A717-4842-9C24-2FC59917D74D} -> Trojan.Qhosts : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\drivers\etc\hosts -> Trojan.Qhosts : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\drivers\etc\hosts.msn -> Trojan.Qhosts : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\1024 -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

**************************************************************************************************

 

Clean Navipromo version 1.1.5 commencé le 01/05/2007 à 23:35:40.73

 

Fix lancé depuis C:\Documents and Settings\bruno d'Antin\Bureau\navilog1

Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

 

Executé en mode sans echec

 

Mode suppression automatique avec prise en charge résultats Blacklight

 

*** Creation backups fichiers trouvés par Blacklight ***

 

Copie vers "C:\Documents and Settings\bruno d'Antin\Bureau\navilog1\Backupnavi"

 

 

*** Suppression des fichiers trouvés avec Blacklight ***

 

c:\WINDOWS\system32\ezosanr.dat supprimé !

C:\windows\system32\ezosanr.exe supprimé !

c:\WINDOWS\system32\ezosanr_nav.dat supprimé !

c:\WINDOWS\system32\ezosanr_navps.dat supprimé !

 

** 2ème passage **

 

C:\WINDOWS\system32\ezosanr.exe absent !

C:\WINDOWS\system32\ezosanr.dat absent !

C:\WINDOWS\system32\ezosanr_nav.dat absent !

C:\WINDOWS\system32\ezosanr_navps.dat absent !

C:\WINDOWS\system32\ezosanr_navup.dat absent !

C:\WINDOWS\system32\ezosanr_navtmp.dat absent !

C:\WINDOWS\system32\ezosanr_m2s.xml absent !

 

 

C:\WINDOWS\prefetch\ezosanr*.pf trouvé !

Copie C:\WINDOWS\prefetch\ezosanr*.pf realise avec succes !

C:\WINDOWS\prefetch\ezosanr*.pf supprimé !

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

C:\Program Files\InternetGameBox ...suppression...

C:\Program Files\InternetGameBox supprimé !

 

C:\Program Files\WebMediaPlayer ...suppression...

C:\Program Files\WebMediaPlayer supprimé !

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\bruno d'Antin\Application Data ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\bruno d'Antin\Local Settings\Temp effectué !

 

 

*** Sauvegarde du registre vers dossier Backupnavi***

 

 

sauvegarde du registre realise avec succes !

 

 

*** Nettoyage registre ***

 

 

Nettoyage registre Ok

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche et Suppression Heuristique :

 

*

**

***

****

*****

******

*******

********

 

*** Nettoyage termine le 01/05/2007 à 23:36:38.81 ***

 

**************************************************************************************************

 

 

Incident Statut Analyse

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\bruno d'Antin\Application Data\Mozilla\Firefox\Profiles\kgf9j78g.default\cookies.txt[.xiti.com/]

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\bruno d'Antin\Bureau\navilog1\Process.exe

Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@247realmedia[2].txt

Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\bubu\Cookies\[email protected][2].txt

Spyware:Cookie/PointRoll No Désinfecté C:\Documents and Settings\bubu\Cookies\[email protected][1].txt

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@adtech[2].txt

Spyware:Cookie/adultfriendfinder No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@adultfriendfinder[2].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@atdmt[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@bluestreak[1].txt

Spyware:Cookie/BurstNet No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@burstnet[1].txt

Spyware:Cookie/Casalemedia No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@casalemedia[2].txt

Spyware:Cookie/Com.com No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@com[1].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@doubleclick[1].txt

Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@drivecleaner[2].txt

Spyware:Cookie/Hitbox No Désinfecté C:\Documents and Settings\bubu\Cookies\[email protected][1].txt

Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@fastclick[2].txt

Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\bubu\Cookies\[email protected][1].txt

Spyware:Cookie/Hitbox No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@hitbox[2].txt

Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\bubu\Cookies\[email protected][1].txt

Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@mediaplex[1].txt

Spyware:Cookie/QuestionMarket No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@questionmarket[2].txt

Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@serving-sys[2].txt

Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\bubu\Cookies\[email protected][2].txt

Spyware:Cookie/Toplist No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@toplist[1].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@tradedoubler[1].txt

Spyware:Cookie/Tribalfusion No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@tribalfusion[2].txt

Spyware:Cookie/Valueclick No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@valueclick[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@weborama[1].txt

Spyware:Cookie/Winantivirus No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@winantivirus[2].txt

Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\bubu\Cookies\[email protected][1].txt

Spyware:Cookie/Winantivirus No Désinfecté C:\Documents and Settings\bubu\Cookies\[email protected][1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\bubu\Cookies\bubu@xiti[1].txt

Virus:Trj/Lineage.DJE Désinfecté C:\Program Files\Fichiers communs\snpstd\vsnpstd.exe

 

**************************************************************************************************

 

Voilà, voilà.

 

Ce sont de long post, et je te remercie encore une fois d'être si attentif à mon problème.

@ plus tard

[labrune]

re salut,

Au fait, panda a trouvé de nombreux cookies et trojan que je n'ai pas viré (car il n'était pas dit de le faire dans le tutoriel).

Et pour information, au démarrage, le processus svchost.exe prend toujours autant de ressource durant deux à trois minute. Peut être que ce problème va se résoudre à la fin de la procédure.

En tous les cas je suis déjà heureux d'avoir pu viré ces fichiers si indésirables que mon antivirus ne vois même pas et qui me balançaient des pop up à tout va lorsque je naviguais sur le net. Merci de cette aide

[Thanos]

salut

 

Ok navilog t'a débarrassé de l'infection Magic Control Agent

Pour ne pas retomber dans le même piège à l'avenir >

 

L'infection qui a pourri tes surfs se nomme Magic Control Agent comme je te disait plus haut .

 

Cette infection est véhiculée par des logiciels qu'il faut fuir absolument!! en voici une liste non exhaustive pour ne pas tomber dans le piège à nouveau >

• go-astro
  
• GoRecord
  
• HotTVPlayer
  
• MailSkinner
  
• Messenger Skinner
  
• Instant Access
  
• InternetGameBox
  
• sudoplanet
  
• Webmediaplayer sauf celui provenant du site suivant > http://www.azertysite.new.fr/
  

D'une manière générale, méfie toi des utilitaires que tu télécharges!!Utilise Google pour voir si c'e n'est pas un logiciel qui installe un spyware : une simple recherche de quelques minutes te permettra de te faire une idée.

Par exemple : fais une recherche sur MessengerSkinner et tu verras le nombre de discussion ou les gens se plaignent de publicité intempestives ....Tu avais, sans savoir qu'ils infecteraient ton pc, installé InternetGameBox et WebMediaPlayer !

Plus d'infos sur le site de Malekal Morte dont les infos sont tirées > http://www.malekal.com/popupsintempestives.php

 

Voilà une autre liste (chez Assiste.com)que tu peux consulter avant d'installer un antispyware si tu es amené à le faire : elle recense tout un tas de faux utilitaires qui n'ont aucune efficacité, et qui peuvent même être dangereux car pas fiables : http://assiste.com.free.fr/p/craptheque/craptheque.html

D'autres apparaissent chaque jour(ou presque) ! aussi une recherche encore une fois avant d'installer quoique ce soit!!

--------------------------------------------

Au fait, panda a trouvé de nombreux cookies et trojan que je n'ai pas viré (car il n'était pas dit de le faire dans le tutoriel).

En fait Panda n'a trouvé qu'un fichier réellement infecté, et il l'a éliminé tout seul comme un grand!

Le reste du rapport ne montre que des cookies, donc rien de méchant!

 

Il faut télécharger et installer la dernière version de Java qui corrige des failles de sécurité!

Passe par cette page > http://java.com/fr/download/installed.jsp

Clique sur le bouton "Vérifier l'installation" . Un message va t'avertir que ta version est dépassée et te proposer de télécharger la dernière.Installe J2SE Runtime Environnement 6.0 Update 1

lorsque tu installes la mise à jour, on va te proposer d'installer la Google Toolbar ou/et Google Desktop ! à toi de voir : si tu n'en veux pas ,décoche les cases avant de cliquer sur "suivant".

passe par Ajouter/Supprimer des Programmes et désinstalle >

J2SE Runtime Environment 5.0 Update 10

J2SE Runtime Environment 5.0 Update 11

J'aimerai à présent que tu me postes ce rapport >

 

* Lance HijackThis:

-Ouvrir la section outils

-A droite du bouton "Génerer liste de départ" coche les deux cases "Liste Mineure également" et"Section de liste vide"

-Puis tu clique sur le bouton "Génerer liste de départ"

-Copie /colle le rapport qui va se créer.

 

Fais analyser ce fichier en ligne:

 

C:\WINDOWS\system32\drivers\an6djqyl.SYS

 

Rend toi à cette adresse => http://www.virustotal.com/flash/index_en.html

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier an6djqyl.SYS que tu trouveras en allant dans le dossier C:\WINDOWS\system32\drivers

 

Tu cliques une fois sur le fichier an6djqyl.SYS (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser)

 

Si tu ne le vois pas, fais ceci et recommence >

 

Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

courage

[labrune]

rebonjour charles ingals;

voici le rapport hijacktis comme demandé

 

de plus en faisant toutes les manipulations demandé je n'ai pas trouvé le fichier "an6djqyl.SYS". j'ai executé une demande de recherche sur l'ordinateur et il n'est pas trouvé.

merci pour le conseil de mise à jour de java, je n'avais pas éffectué cela dpuis que j'utilise firefox.

 

donc voici le rapport hijackthis:

 

StartupList report, 02/05/2007, 13:57:20

StartupList version: 1.52.2

Started from : C:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

Detected: Windows XP SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v7.00 (7.00.6000.16414)

* Using default options

==================================================

 

Running processes:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\WLTRYSVC.EXE

C:\WINDOWS\System32\bcmwltry.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\WLTRAY.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Apoint\Apoint.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Apoint\Apntex.exe

C:\Program Files\Apoint\HidFind.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\PROGRA~1\Mozilla Firefox\firefox.exe

C:\DOCUME~1\BRUNOD~1\LOCALS~1\Temp\xpinstall.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\MsiExec.exe

C:\WINDOWS\system32\MsiExec.exe

C:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

--------------------------------------------------

 

Listing of startup folders:

 

Shell folders Common Startup:

[C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage]

Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

 

--------------------------------------------------

 

Checking Windows NT UserInit:

 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 

BluetoothAuthenticationAgent = rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

Broadcom Wireless Manager UI = C:\WINDOWS\system32\WLTRAY.exe

igfxtray = C:\WINDOWS\system32\igfxtray.exe

igfxhkcmd = C:\WINDOWS\system32\hkcmd.exe

igfxpers = C:\WINDOWS\system32\igfxpers.exe

Apoint = C:\Program Files\Apoint\Apoint.exe

SunJavaUpdateSched = "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

Windows Defender = "C:\Program Files\Windows Defender\MSASCui.exe" -hide

LogitechVideo[inspector] = C:\Program Files\Logitech\Video\InstallHelper.exe /inspect

avast! = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

!AVG Anti-Spyware = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

 

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe

SuperCopier2.exe = C:\Program Files\SuperCopier2\SuperCopier2.exe

 

--------------------------------------------------

 

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

 

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

 

Shell & screensaver key from Registry:

 

Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\system32\ssmypics.scr

drivers=*Registry value not found*

 

Policies Shell key:

 

HKCU\..\Policies: Shell=*Registry value not found*

HKLM\..\Policies: Shell=*Registry value not found*

 

--------------------------------------------------

 

 

Enumerating Browser Helper Objects:

 

(no name) - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

(no name) - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

(no name) - (no file) - {7E853D72-626A-48EC-A868-BA8D5E23E045}

(no name) - c:\program files\google\googletoolbar3.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

 

--------------------------------------------------

 

Enumerating Task Scheduler jobs:

 

MP Scheduled Scan.job

VLC media player.job

 

--------------------------------------------------

 

Enumerating Download Program Files:

 

[Office Genuine Advantage Validation Tool]

InProcServer32 = C:\WINDOWS\system32\OGACheckControl.DLL

CODEBASE = http://download.microsoft.com/download/d/c.../OGAControl.cab

 

[shockwave ActiveX Control]

InProcServer32 = C:\WINDOWS\system32\macromed\Director\SwDir.dll

CODEBASE = http://download.macromedia.com/pub/shockwa...director/sw.cab

 

[Windows Genuine Advantage Validation Tool]

InProcServer32 = C:\WINDOWS\system32\legitcheckcontrol.dll

CODEBASE = http://download.microsoft.com/download/3/9...heckControl.cab

 

[symantec Download Manager]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\symdlmgr.dll

CODEBASE = https://webdl.symantec.com/activex/symdlmgr.cab

 

[ActiveScan Installer Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\asinst.dll

CODEBASE = http://acs.pandasoftware.com/activescan/as5free/asinst.cab

 

[Office Update Installation Engine]

InProcServer32 = C:\WINDOWS\opuc.dll

CODEBASE = http://office.microsoft.com/officeupdate/content/opuc4.cab

 

[shockwave Flash Object]

InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx

CODEBASE = http://download.macromedia.com/pub/shockwa...ash/swflash.cab

 

--------------------------------------------------

 

Enumerating Winsock LSP files:

 

NameSpace #1: C:\WINDOWS\system32\wshbth.dll

 

--------------------------------------------------

 

Enumerating ShellServiceObjectDelayLoad items:

 

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\system32\webcheck.dll

SysTray: C:\WINDOWS\system32\stobject.dll

WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

 

--------------------------------------------------

End of report, 7 523 bytes

Report generated in 0.234 seconds

 

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

 

 

 

voilà. merci pour la dixième fois de bien vouloir m'aider.

[Thanos]

ok le rapport hijackthis ne montre rien de mauvais.

 

je n'ai pas trouvé le fichier "an6djqyl.SYS". j'ai executé une demande de recherche sur l'ordinateur et il n'est pas trouvé.

tu t'est assuré que les dossiers/fichiers cachés étaient visibles en modifiant les options d'affichage?

 

On va voir ce qui se passe au niveau des services comme ceci >

 

Télecharger et lancer ServiceFilter:

• Télécharger ServiceFilter.
  
• Dézipper ServiceFilter.zip dans un répertoire dédié comme C:\ServiceFilter.
  
• par l'explorateur retrouver ce dossier, l'ouvrir et double-cliquer sur ServiceFilter.vbs.
  
• Votre anti-virus risque de se manifester, autoriser le script à se dérouler.
  
• Un fichier texte sera ouvert (POST_THIS.TXT) listant tous les services autres que Windows.
  
• Selectionner tout le texte (Ctrl + A ).
  
• Copier (CTRL + C) et coller le tout (CTRL + V) dans la prochaine réponse.
  
• Une copie de POST_THIS.TXT est sauvegardée dans le répertoire de ServiceFilter.vbs, en cas d'erreur.
  

[labrune]

voila le résultat de service filter.

en réponse à la question précédente, j'ai effectivement bien rendu tout les fichiers visibles et appliqué cela à tous les dossiers. Sans doute lorsque j'ai enlevé des trojan à l'aide de spybot, le fichier en était et à disparu..

 

 

le rapport de service filter:

 

The script did not recognize the services listed below.

This does not mean that they are a problem.

 

To copy the entire contents of this document for posting:

At the top of this window click "Edit" then "Select All"

Next click "Edit" again then "Copy"

Now right click in the forum post box then click "Paste"

 

########################################

 

ServiceFilter 1.1

by rand1038

 

Microsoft Windows XP Professionnel

Version: 5.1.2600 Service Pack 2

mai 2, 2007 15:48:55

 

 

---> Begin Service Listing <---

 

Unknown Service # 1

Service Name: Adobe LM Service

Display Name: Adobe LM Service

Start Mode: Manual

Start Name: LocalSystem

Description: AdobeLM ...

Service Type: Own Process

Path: "c:\program files\fichiers communs\adobe systems shared\service\adobelmsvc.exe"

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service #2

Service Name: aspnet_state

Display Name: ASP.NET State Service

Start Mode: Manual

Start Name: NT AUTHORITY\NetworkService

Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ...

Service Type: Own Process

Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service # 3

Service Name: avast! Mail Scanner

Display Name: avast! Mail Scanner

Start Mode: Manual

Start Name: LocalSystem

Description: Implémente l'analyse du courrier électronique pour l'antivirus ...

Service Type: Own Process

Path: "c:\program files\alwil software\avast4\ashmaisv.exe" /service

State: Running

Process ID: 460

Started: Vrai

Exit Code: 0

Accept Pause: Faux

Accept Stop: Vrai

 

Unknown Service # 4

Service Name: avast! Web Scanner

Display Name: avast! Web Scanner

Start Mode: Manual

Start Name: LocalSystem

Description: Implémente l'analyse du contenu web (HTTP) pour l'antivirus ...

Service Type: Own Process

Path: "c:\program files\alwil software\avast4\ashwebsv.exe" /service

State: Running

Process ID: 704

Started: Vrai

Exit Code: 0

Accept Pause: Faux

Accept Stop: Vrai

 

Unknown Service # 5

Service Name: AVG Anti-Spyware Guard

Display Name: AVG Anti-Spyware Guard

Start Mode: Auto

Start Name: LocalSystem

Description: ...

Service Type: Own Process

Path: c:\program files\grisoft\avg anti-spyware 7.5\guard.exe

State: Running

Process ID: 1320

Started: Vrai

Exit Code: 0

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service # 6

Service Name: Boonty Games

Display Name: Boonty Games

Start Mode: Manual

Start Name: LocalSystem

Description: Boonty ...

Service Type: Own Process

Path: "c:\program files\fichiers communs\boonty shared\service\boonty.exe"

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service # 7

Service Name: BthServ

Display Name: Bluetooth Support Service

Start Mode: Auto

Start Name: NT AUTHORITY\LocalService

Description: ...

Service Type: Share Process

Path: c:\windows\system32\svchost.exe -k bthsvcs

State: Running

Process ID: 1308

Started: Vrai

Exit Code: 0

Accept Pause: Faux

Accept Stop: Vrai

 

Unknown Service # 8

Service Name: C-DillaCdaC11BA

Display Name: C-DillaCdaC11BA

Start Mode: Auto

Start Name: LocalSystem

Description: ...

Service Type: Own Process

Path: c:\windows\system32\drivers\cdac11ba.exe

State: Running

Process ID: 1384

Started: Vrai

Exit Code: 0

Accept Pause: Faux

Accept Stop: Vrai

 

Unknown Service # 9

Service Name: clr_optimization_v2.0.50727_32

Display Name: .NET Runtime Optimization Service v2.0.50727_X86

Start Mode: Manual

Start Name: LocalSystem

Description: Microsoft .NET Framework ...

Service Type: Own Process

Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service # 10

Service Name: gusvc

Display Name: Google Updater Service

Start Mode: Manual

Start Name: LocalSystem

Description: ...

Service Type: Own Process

Path: "c:\program files\google\common\google updater\googleupdaterservice.exe"

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service # 11

Service Name: LVSrvLauncher

Display Name: LVSrvLauncher

Start Mode: Auto

Start Name: LocalSystem

Description: Launcher for Logitech Video ...

Service Type: Own Process

Path: c:\program files\fichiers communs\logishrd\srvlnch\srvlnch.exe

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 0

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service #12

Service Name: MDM

Display Name: Machine Debug Manager

Start Mode: Auto

Start Name: LocalSystem

Description: Prend en charge le débogage local et distant pour les débogueurs Visual Studio et de script. Si ce ...

Service Type: Own Process

Path: "c:\program files\fichiers communs\microsoft shared\vs7debug\mdm.exe"

State: Running

Process ID: 1484

Started: Vrai

Exit Code: 0

Accept Pause: Faux

Accept Stop: Vrai

 

Unknown Service # 13

Service Name: NBService

Display Name: NBService

Start Mode: Manual

Start Name: LocalSystem

Description: Nero BackItUp Service is responsible to control all jobs created using Nero BackItUp. These jobs ...

Service Type: Own Process

Path: c:\program files\nero\nero 7\nero backitup\nbservice.exe

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service # 14

Service Name: odserv

Display Name: Microsoft Office Diagnostics Service

Start Mode: Manual

Start Name: LocalSystem

Description: Exécute des sections de Microsoft Office ...

Service Type: Own Process

Path: "c:\program files\fichiers communs\microsoft shared\office12\odserv.exe"

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service #15

Service Name: ose

Display Name: Office Source Engine

Start Mode: Manual

Start Name: LocalSystem

Description: Enregistre les fichiers d'installation utilisés pour les mises à jour et réparations. Est requis ...

Service Type: Own Process

Path: "c:\program files\fichiers communs\microsoft shared\source engine\ose.exe"

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service #16

Service Name: SwPrv

Display Name: MS Software Shadow Copy Provider

Start Mode: Manual

Start Name: LocalSystem

Description: Gère les copies logicielles de clichés instantanés de volumes créés par le service de cliché ...

Service Type: Own Process

Path: c:\windows\system32\dllhost.exe /processid:{fef3dbed-8519-485b-bbca-483c4ba0accc}

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service # 17

Service Name: usnjsvc

Display Name: Service Messenger Sharing Folders USN Journal Reader

Start Mode: Manual

Start Name: LocalSystem

Description: Service installé par Messenger pour permettre les opérations de ...

Service Type: Own Process

Path: "c:\program files\msn messenger\usnsvc.exe"

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service # 18

Service Name: WinDefend

Display Name: Windows Defender

Start Mode: Auto

Start Name: LocalSystem

Description: Helps protect users from malicious software, spyware, and other potentially unwanted ...

Service Type: Own Process

Path: "c:\program files\windows defender\msmpeng.exe"

State: Running

Process ID: 1108

Started: Vrai

Exit Code: 0

Accept Pause: Faux

Accept Stop: Vrai

 

Unknown Service # 19

Service Name: wltrysvc

Display Name: Dell Wireless WLAN Tray Service

Start Mode: Auto

Start Name: LocalSystem

Description: Provides automatic configuration for the 802.11 adapter using the Broadcom ...

Service Type: Own Process

Path: c:\windows\system32\wltrysvc.exe c:\windows\system32\bcmwltry.exe

State: Running

Process ID: 1744

Started: Vrai

Exit Code: 0

Accept Pause: Faux

Accept Stop: Vrai

 

Unknown Service # 20

Service Name: WMPNetworkSvc

Display Name: Service Partage réseau du Lecteur Windows Media

Start Mode: Manual

Start Name: NT AUTHORITY\NetworkService

Description: Partage les bibliothèques du Lecteur Windows Media avec des lecteurs réseau et des appareils ...

Service Type: Own Process

Path: "c:\program files\windows media player\wmpnetwk.exe"

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service # 21

Service Name: WudfSvc

Display Name: Windows Driver Foundation - User-mode Driver Framework

Start Mode: Manual

Start Name: LocalSystem

Description: Manages user-mode driver host ...

Service Type: Share Process

Path: c:\windows\system32\svchost.exe -k wudfservicegroup

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

---> End Service Listing <---

 

There are 101 Win32 services on this machine.

21 were unrecognized.

 

Script Execution Time: 1.453125 seconds.

 

 

merci et @ plus

[labrune]

une question en passant.

Dans le gestionnaire de tache, quand je rgarde les processus en cours il y en a un qui s'appel "guard.exe" que je ne peux pas enlever. j'ai vu dans un tutoriel de malike que ce processus n'était pas net (si c'est bien celui là) serais tu ce qu'il en ai?

 

merci

[Thanos]

ok rien de notable au niveau des services

 

Un mot sur le service O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe O23 de Boonty Games.

 

Il ne s'agit pas d'une infection. Conformément aux conditions générales d'utilisation définies que tu peux trouver sur leur site et que tu as acceptée lors du téléchargement d'un jeu (cf ici par exemple pour une traduction google et la visualisation de la page originale) le service Boonty, à l'image de la BoontyBox, collecte des informations te concernant (configuration, téléchargements effectués, toutes informations strictement personnelles que tu aurais fournies de toi même par un formulaire d'enregistrement ou d'inscription à un jeu concours, etc, à des fins d'amélioration du service strictement dit, et se réserve le droit de fournir à des tiers (références de jeu, âge, genre, endroit géographique, éducation, métier, matériel informatique et en ligne et intérêts de jeu vidéo, activités et achats, mais pas nom ou information de contact) comme les producteurs de jeu pour leur recherche de marché.

Je te conseille donc de le supprimer (avec mon aide si tu le souhaites), mais sache qu'il réapparaitra après chaque téléchargement de ces petits jeux que tu effectueras.

 

Tu as à présent deux antispywares qui fonctionnent en même temps (je t'ai fait télécharger AVG AS) : il faut en désactiver un du démarrage de windows!

Ce que je te propose > continuer à utiliser la version d'essai de Avg AS qui protègera ton pc pendant 30 jours. Après ca il perdra cette fonction( ainsi que la mise à jour automatique) et il faudra rétablir Windows Defender.Avg As restera utile poru scanner et nettoyer ton pc!

Mais tu peux aussi désinstaller AVG AS si tu le souhaite! à toi de voir

 

* Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

 

O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO

-Ferme tous les programmes et clique sur "Fix Checked"

 

Pour remettre Windows Defender au démarrage de windows,, il faudra faire cette petite manip >

 

Ouvrir hijackthis =>Cliquer sur Open Misc Tools Section =>cliquer sur le bouton "Backups" =>cocher la case qui correspond à la ligne 04 (celle que je te fais fixer) et cliquer sur "repair" => au message "restore this item ?" répondre "oui".Enfin il faut redémarrer le pc après ca.

 

Dis moi quel est le programme que tu viens d'installer?

 

@+

 

EDIT: ne t'inquiêtes pas pour guard.exe ! c'est le processus de AVG AS qui pemet en gros de protéger le pc!

Modifié le 2 mai 2007 par charles ingals