Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Resolu] Analyse Hijack svp

Niloux

Par Niloux
dans Analyses et éradication malwares

 Partager

Messages recommandés

Niloux Junior Member

Niloux

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Je vous poste ici mon analyse Hijack, si qqn de compétent pouvait me dire s'il y a un souci, ce serait fort appréciable.

 

Merci d'avance.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:57:16, on 09/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\WDBtnMgr.exe

C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Steam\Steam.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

I:\Installation\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe

O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [steam] "C:\Program Files\Steam\Steam.exe" -silent

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1186054505868

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jin...ows-i586-jc.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Modifié par Niloux

eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

Salut,

 

Reouvre hijackthis et coche

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

 

Clique sur fix checked

 

2°) La procedure

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.

Les manipulations sont à faire sans interruption et dans l'ordre.

Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

 

Télécharge Brute Force Uninstaller (de Merijn)

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT sur le lien suivant

http://metallica.geekstogo.com/EGDACCESS.bfu

et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note: si tu utlises Internet Explorer, lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

FAIS UN CLIC-DROIT sur le lien suivant

http://perso.numericable.fr/~altshift/Info...Winsoftware.bfu

et choisis "Enregistrer la cible sous..." afin de télécharger Winsoftware.bfu (de Lazzzy). Sauvegarde dans le dossier créé (C:\BFU). **Note: si tu utlises Internet Explorer, lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir trois fichiers dans le dossier C:\BFU : Winsoftware.bfu, EGDACCESS.bfu et BFU.exe (très important).

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

--- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

EGDACCESS.bfu

 

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.

 

--- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

Winsoftware.bfu

 

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.

 

Clique Exit pour fermer le programme BFU.

 

 

Redémarre normalement

 

Poste un nouveau hijackthis avec le rapport situé ici C:\egd.txt

 

Amicalement

 

Eclypse

Niloux Junior Member

Niloux

Posté(e)
  • Auteur
Posté(e)

Salut et merci déjà de ta réponse.

 

Mais le 2ème lien ne fonctionne pas.

Et peux tu me dire à quoi vont servir ces logiciels.

Je veux dire, que montre mon analyse Hijack?

 

Merci d'avance de vos réponses.

eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

Les fichiers BFU doivent enregistré via le bouton droit dans le meme dossier que BFU

 

Ton log montre quelques infections a des spyware du typeWinantivirus :P

 

Amicalement

 

Eclypse

Niloux Junior Member

Niloux

Posté(e)
  • Auteur
Posté(e) (modifié)

Coucou Eclypse :P

 

Déjà merci bcp de ton aide.

J'ai bien fait tout ce que tu m'avais dit et voici le nouveau rapport situé dans C/egd.txt :

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

"nwiz"="nwiz.exe /install"

"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"

"ZoneAlarm Client"="\"C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

"WD Button Manager"="WDBtnMgr.exe"

"Ai Quicker Help"="\"C:\\Program Files\\ASUS\\ASUS DH Remote\\AsRc.exe\""

"Picasa Media Detector"="C:\\Program Files\\Picasa2\\PicasaMediaDetector.exe"

"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

"RTHDCPL"="RTHDCPL.EXE"

"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_02\\bin\\jusched.exe\""

"QuickTime Task"="\"C:\\Program Files\\QuickTime\\QTTask.exe\" -atboottime"

"avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

@=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

@=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"NoChange"="1"

"Installed"="1"

@=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

@=""

 

Tu trouves que c'est bien? :P

Modifié par Niloux
eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

Salut

 

 

1°) Suis cette procedure : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

2°) Télécharge Ewido dispo : http://downloads.grisoft.cz/softw/70/filed...up-7.5.1.43.exe

3°) Met le à jour et lance un scan complet puis poste le rapport

4°) Télécharge Clean dispo : http://malekal.com/download/clean.zip

5°) Dézippe le sur ton bureau ouvre le dossier et choisis clean.cmd puis l'option 1 puis poste le rapport

6°) Télécharge Navilog dispo : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

7°) Une fois navilog lancé choisis F puis 1 puis poste le rapport

8°) Télécharge Smitfraud dispo : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

9°) Une fois lancé choisis l'option 1 puis poste le rapport

 

Amicalement

 

Eclypse

Niloux Junior Member

Niloux

Posté(e)
  • Auteur
Posté(e)

Rebonjour Eclypse :P

 

J'ai fait toutes les manipulations que tu m as demandé. Mais je voulais juste savoir, histoire que je me couche moins idiot ce soir, si tu pouvais m expliquer le ou les problèmes que tu avais détectés chez moi :P (merci d'avance de ta réponse).

 

Pour en revenir aux différents rapports :

 

Alors pour Genproc :

 

[1] Aucune infection caractéristique trouvée !

 

Pour Clean :

 

11/08/2007 a 15:03:19,04

 

*** Recherche des fichiers dans C:

 

*** Recherche des fichiers dans C:\WINDOWS\

 

*** Recherche des fichiers dans C:\WINDOWS\system32

 

*** Recherche des fichiers dans C:\Program Files

*** Fin du rapport !

 

Pour Navilog :

 

Search Navipromo version 2.0.7 commencé le 11/08/2007 à 15:06:31,92

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 08.08.2007 a 18h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Nono\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

 

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

======================================

 

Copyright 2005-2006 F-Secure Corporation. All rights reserved.

This is a beta version. It will expire on 1st of October, 2007.

Version information: 2.2.1064.

 

[+] Started on 08/11/07 at 15:06:35.

[+] Initializing ...

[+] Starting scan, press Ctrl-C to abort.

[+] Scanning for hidden items ............................................................................................................................................................

[+] Scan complete.

[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.

[+] Exited on 08/11/07 at 15:26:12 (return code = 0).

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

**

***

****

*****

******

*******

********

 

3)Recherche Certificats :

 

 

*** Recherche avec GenericNaviSearch Beta ***

!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

 

Fichiers trouvés :

 

Aucun Fichier trouvé !

 

Fichiers suspects :

 

Aucun Fichier suspect trouvé !

 

 

*** Analyse Terminé le 11/08/2007 à 15:27:39,59 ***

 

 

 

 

 

Pour Smitfraud :

SmitFraudFix v2.210

 

Rapport fait à 15:07:39,50, 11/08/2007

Executé à partir de C:\Documents and Settings\Nono\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\WDBtnMgr.exe

C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Steam\Steam.exe

C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\navilog1\fsblc.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nono

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nono\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Nono\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E752205E-CA8E-4F02-969A-CC6A42C2BDAD}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{E752205E-CA8E-4F02-969A-CC6A42C2BDAD}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{E752205E-CA8E-4F02-969A-CC6A42C2BDAD}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

Voilou :P

eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

De simple verification et dans la premiere je t'ai donné le mode demploi contre un adaware generic qui fais de la pub :P

Niloux Junior Member

Niloux

Posté(e)
  • Auteur
Posté(e)
De simple verification et dans la premiere je t'ai donné le mode demploi contre un adaware generic qui fais de la pub :P

Oki, et alors a priori pas de souci en vue.

 

Ewido me donne ce rapport là :

 

Créé à: 15:48:13 11/08/2007

 

+ Résultat de l'analyse:

 

 

 

C:\Documents and Settings\Nono\Cookies\nono@247realmedia[2].txt -> TrackingCookie.247realmedia : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@112.2o7[2].txt -> TrackingCookie.2o7 : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@2o7[2].txt -> TrackingCookie.2o7 : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@2o7[4].txt -> TrackingCookie.2o7 : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@aolfr.122.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@aolfr.122.2o7[2].txt -> TrackingCookie.2o7 : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@msnportal.112.2o7[2].txt -> TrackingCookie.2o7 : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@adbrite[2].txt -> TrackingCookie.Adbrite : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@ads.adbrite[1].txt -> TrackingCookie.Adbrite : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@ads.addynamix[1].txt -> TrackingCookie.Addynamix : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@adrevolver[2].txt -> TrackingCookie.Adrevolver : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@adtech[2].txt -> TrackingCookie.Adtech : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@adtech[3].txt -> TrackingCookie.Adtech : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@advertising[1].txt -> TrackingCookie.Advertising : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@advertising[3].txt -> TrackingCookie.Advertising : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@atdmt[1].txt -> TrackingCookie.Atdmt : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@atdmt[3].txt -> TrackingCookie.Atdmt : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@bluestreak[2].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@bluestreak[3].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@iv2.bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@iv2.bluestreak[2].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@com[1].txt -> TrackingCookie.Com : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@doubleclick[2].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@doubleclick[3].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@estat[2].txt -> TrackingCookie.Estat : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@fastclick[2].txt -> TrackingCookie.Fastclick : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@ehg-darksideprod.hitbox[2].txt -> TrackingCookie.Hitbox : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@ehg-neuftelecom.hitbox[2].txt -> TrackingCookie.Hitbox : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@ehg-neuftelecom.hitbox[3].txt -> TrackingCookie.Hitbox : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@hitbox[1].txt -> TrackingCookie.Hitbox : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@hitbox[3].txt -> TrackingCookie.Hitbox : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@searchportal.information[1].txt -> TrackingCookie.Information : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@mediaplex[1].txt -> TrackingCookie.Mediaplex : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@mediaplex[2].txt -> TrackingCookie.Mediaplex : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@realmedia[2].txt -> TrackingCookie.Realmedia : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@revenue[2].txt -> TrackingCookie.Revenue : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@counter7.sextracker[1].txt -> TrackingCookie.Sextracker : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@sextracker[1].txt -> TrackingCookie.Sextracker : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@smartadserver[3].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@smartadserver[4].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@specificclick[2].txt -> TrackingCookie.Specificclick : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@spylog[1].txt -> TrackingCookie.Spylog : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@statcounter[1].txt -> TrackingCookie.Statcounter : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@trafficmp[2].txt -> TrackingCookie.Trafficmp : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@trafic[1].txt -> TrackingCookie.Trafic : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@weborama[1].txt -> TrackingCookie.Weborama : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@weborama[4].txt -> TrackingCookie.Weborama : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@m.webtrends[2].txt -> TrackingCookie.Webtrends : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@statse.webtrendslive[1].txt -> TrackingCookie.Webtrendslive : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@yadro[1].txt -> TrackingCookie.Yadro : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.

C:\Documents and Settings\Nono\Cookies\nono@ad.yieldmanager[3].txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.

 

 

Fin du rapport

 

Je corrige tout je suppose?

eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

des simples cookies :P rien d'alarmant :P tout est normale

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...