spyware secure

[bruce lee]

Re,

 

On refais la manip :

 

Démarre en mode sans echec.

 

[*]Double-Clique sur OTMoveIt.exe pour le lancer.

[*]Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

 

C:\windows\system32\tiwdyfmzod.exe

c:\WINDOWS\system32\tiwdyfmzod_nav.dat

c:\WINDOWS\system32\tiwdyfmzod.dat

c:\WINDOWS\system32\tiwdyfmzod_navps.dat

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt.
  Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.
  

Poste moi le rapport de OTMoveIT disponible ici : C:\_OTMoveIt\MovedFiles, en pièce jointe.

[esined]

Re,

 

On refais la manip :

 

Démarre en mode sans echec.

 

[*]Double-Clique sur OTMoveIt.exe pour le lancer.

[*]Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt.
  Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.
  

Poste moi le rapport de OTMoveIT disponible ici : C:\_OTMoveIt\MovedFiles, en pièce jointe.

[esined]

Re,

 

On refais la manip :

 

Démarre en mode sans echec.

 

[*]Double-Clique sur OTMoveIt.exe pour le lancer.

[*]Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt.
  Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.
  

Poste moi le rapport de OTMoveIT disponible ici : C:\_OTMoveIt\MovedFiles, en pièce jointe.

impossible de te mettre le rapport mais pour les 4 fichiers il me met a la fin de chaque ligne not found je crois que ça se complique un peu j ai maintenant a chaque fois que je me connecte une page entiere bleue spyware secure Modifié le 10 juin 2007 par esined

[Gof]

Bonsoir esined

 

Bruce lee est parti quelques jours en vacanes, on va poursuivre ensemble si tu le veux bien.

 

(édité, je n'avais pas fait attention que tu avais Vista).

 

Peux tu reposter un log hijackthis je te prie.

Modifié le 11 juin 2007 par Gof

[esined]

Bonsoir esined

 

Bruce lee est parti quelques jours en vacanes, on va poursuivre ensemble si tu le veux bien.

 

(édité, je n'avais pas fait attention que tu avais Vista).

 

Peux tu reposter un log hijackthis je te prie.

Logfile of HijackThis v1.99.1

Scan saved at 17:18:32, on 12/06/2007

Platform: Unknown Windows (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16386)

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Common Files\ACD Systems\FR\DevDetect.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

C:\Program Files\Spyware Doctor\SDTrayApp.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Windows\ehome\ehmsas.exe

C:\hp\kbd\kbd.exe

C:\Program Files\Intel\IntelDH\CCU\CCU_Engine.exe

C:\Program Files\Internet Explorer\IEUser.exe

C:\Users\allain\AppData\Local\Temp\Temp5_hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Common Files\ACD Systems\FR\DevDetect.exe" -autorun

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [iAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [sDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"

O4 - HKLM\..\Run: [PCDAS] C:\Program Files\Defenza\pcd-as.exe /10003

O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll

O11 - Options group: [iNTERNATIONAL] International*

O13 - Gopher Prefix:

O16 - DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} (Module de délivrance de certificat MINEFI) - https://static.impots.gouv.fr/abos/static/s...te/certdgi1.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by125fd.bay125.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Intel® Alert Service (AlertService) - Intel® Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel® Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe

O23 - Service: Intel® Software Services Manager (ISSM) - Intel® Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Intel® Viiv Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe

O23 - Service: Intel® Application Tracker (MCLServiceATL) - Intel® Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: Intel® Remoting Service (Remote UI Service) - Intel® Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

par rapport au 1er il ya une ligne 04 qui a disparu suite a une mauvaise manip de ma part je ne suis pas tres qualifie merci de ce que tu pourras faire @+

Modifié le 12 juin 2007 par esined

[Gof]

Bonsoir esined

 

par rapport au 1er il ya une ligne 04 qui a disparu suite a une mauvaise manip de ma part je ne suis pas tres qualifie

Oui en effet, il s'agit de cette ligne : O4 - HKCU\..\Run: [tiwdyfmzod] c:\windows\system32\tiwdyfmzod.exe tiwdyfmzod que Bruce lee t'a fait corrigé en supprimant les fichiers infectieux en même temps avec OTMoveIt. Il cherchait à obtenir le rapport de ce dernier afin de vérifier que les fichiers avaient été bien supprimé en fait.

 

Bien que la ligne ne soit plus présente, si les fichiers sont toujours la, l'infection est toujours présente. Je ne suis pas à l'aise avec Vista, je n'en ai pas l'habitude, on va donc y aller doucement. On va essayer cette manipulation pour voir ce qu'on peut trouver en fichier suspect.

 

Copie-colle le texte suivant dans le bloc-notes:

CHCP 1252
echo Effectué le %date% à %time%.>>recherche.txt
dir %Systemdrive%\*_nav.dat /a h /s >>recherche.txt
dir %Systemdrive%\*_navps.dat /a h /s >>recherche.txt
dir %Systemdrive%\*.dat /a h /s >>recherche.txt
notepad recherche.txt
del /q recherche.txt

Assure toi que le retour automatique à la ligne n'est pas activé
Sauvegarde comme look.bat sur le Bureau :
Nom: look.bat
Type: Tous les fichiers

Localise look.bat sur le Bureau (il aura cette icône -> ), double-clique dessus et poste le contenu du bloc-notes.

Quand tu fermeras le bloc-notes, la fenêtre CMD se fermera aussitôt et le fichier texte sera effacé.

 

Si cela fonctionne, on affinera la recherche par la suite.

[esined]

Bonsoir esined

 

Oui en effet, il s'agit de cette ligne : O4 - HKCU\..\Run: [tiwdyfmzod] c:\windows\system32\tiwdyfmzod.exe tiwdyfmzod que Bruce lee t'a fait corrigé en supprimant les fichiers infectieux en même temps avec OTMoveIt. Il cherchait à obtenir le rapport de ce dernier afin de vérifier que les fichiers avaient été bien supprimé en fait.

 

Bien que la ligne ne soit plus présente, si les fichiers sont toujours la, l'infection est toujours présente. Je ne suis pas à l'aise avec Vista, je n'en ai pas l'habitude, on va donc y aller doucement. On va essayer cette manipulation pour voir ce qu'on peut trouver en fichier suspect.

 

Copie-colle le texte suivant dans le bloc-notes:

CHCP 1252
echo Effectué le %date% à %time%.>>recherche.txt
dir %Systemdrive%\*_nav.dat /a h /s >>recherche.txt
dir %Systemdrive%\*_navps.dat /a h /s >>recherche.txt
dir %Systemdrive%\*.dat /a h /s >>recherche.txt
notepad recherche.txt
del /q recherche.txt

Assure toi que le retour automatique à la ligne n'est pas activé
Sauvegarde comme look.bat sur le Bureau :
Nom: look.bat
Type: Tous les fichiers

Localise look.bat sur le Bureau (il aura cette icône -> ), double-clique dessus et poste le contenu du bloc-notes.

Quand tu fermeras le bloc-notes, la fenêtre CMD se fermera aussitôt et le fichier texte sera effacé.

 

Si cela fonctionne, on affinera la recherche par la suite.

si tu n es pas a l aise avec vista moi je ne le suis pas avec les manipsil faut que tu me guide qu appelles tu bloc note et ou je le trouve comment m assurer que le retour auto n est pas active type tousfichiers c est ou tu vois un peu le genre ça va prendre le temps a bientot Modifié le 13 juin 2007 par esined

[Gof]

Bonjour esined

 

On va y aller tranquillement .

 

Tu devrais trouver le bloc-notes dans ton menu démarrer>Tous les programmes>Accessoires.

Sinon il se trouve dans le dossier System32 de windows sous le nom de notepad.exe.

Autre alternative, va dans ton menu démarrer>exécuter et tape : notepad.

 

Une fois le bloc-notes d'ouvert, pour t'assurer que le retour à la ligne n'est pas activé, tu te rends dans l'onglet Format et tu "décoches" Retour automatique à la ligne.

[esined]

Bonjour esined

 

On va y aller tranquillement .

 

Tu devrais trouver le bloc-notes dans ton menu démarrer>Tous les programmes>Accessoires.

Sinon il se trouve dans le dossier System32 de windows sous le nom de notepad.exe.

Autre alternative, va dans ton menu démarrer>exécuter et tape : notepad.

 

Une fois le bloc-notes d'ouvert, pour t'assurer que le retour à la ligne n'est pas activé, tu te rends dans l'onglet Format et tu "décoches" Retour automatique à la ligne.

bonsoir le bloc note c est fait maintenant explique moi comment le nommer et la sauvegarde sur le bureau @+

Modifié le 14 juin 2007 par esined

[Gof]

Bon, on recommence alors.

 

Tou ouvres le bloc-notes en double-cliquant dessus. Ensuite tu copies-colles ce qui suit (sans le mot citation) :

HCP 1252

echo Effectué le %date% à %time%.>>recherche.txt

dir %Systemdrive%\*_nav.dat /a h /s >>recherche.txt

dir %Systemdrive%\*_navps.dat /a h /s >>recherche.txt

dir %Systemdrive%\*.dat /a h /s >>recherche.txt

notepad recherche.txt

del /q recherche.txt

 

Tu t'assures que le retour automatique à la ligne n'est pas activé, comme je te l'ai montré.

Là ensuite, tu viens sur Fichier en haut, et tu sélectionnes Enregistrer sous.

En nom tu mets : look.bat

En Type tu choisis : Tous les fichiers

Tu sélectionnes le bureau à gauche sur les icônes et tu valides le tout par Ok.

Tu devrais avoir à présent un fichier sur ton bureau se nommant look.bat avec cette icône :

 

Tu n'as plus qu'à double-cliquer dessus, et copier-coller le contenu du bloc-notes quand il s'ouvrira. Cela peut prendre un certain temps, il faut patienter.