Problème pour enlver Privacy Protection

mjabrane · le 22 novembre 2007

Bonjour à tous!

Je me suis fait piéger en téléchargeant un codec ce qui a eu pour effet de lancer plein de pop up pour acheter des logiciels anti virus.

Après quelques scan et nettoyage vu ci et là dans des forums j'ai pu en enlever certains.

Cepedant j'ai toujours l'office scan qui se déclenche toutes les minutes disant que mon ordi est infecté avec TROJ_AGENT.YVM et TROJ_AGENT.YTI.

De plus j'ai toujours la Protection Privacy dans Propriéte Affichage / Bureau / WEB .

Vous êtes mon dernier recours !

Merci de votre aide

wong · le 22 novembre 2007

Bonjour mjabrane et bienvenue sur le forum,

Télécharge Hijackthis V 2.0.2 : http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe

Enregistre ce fichier sur le bureau. Ferme tous les programmes ouverts y compris le navigateur ( sauf ton anti-virus et pare-feux )

Fais un double clic sur HJTInstall.exe afin de lancer l'installation ( par défaut il s'installera ici : C:\Program Files\Trend Micro\HijackThis ).
Clique sur Install ensuite sur I Accept
Clique sur Do a scan system and save log file
Cela va t'ouvrir un rapport dans le Bloc-note à la fin du scan.
Dans le Bloc-notes, vérifie dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistre le fichier sous le nom HJT1.txt.
Copie/Colle tout son contenu dans ta prochaine réponse.

Pour t'aider, voici un Tuto en images : http://cybersecurite.xooit.com/t138-Hijack...-2-0-2.htm#1185

Cordialement.

mjabrane · le 22 novembre 2007

Bonjour mjabrane et bienvenue sur le forum,

Télécharge Hijackthis V 2.0.2 : http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe

mjabrane · le 22 novembre 2007

J'ai fait une fausse manip'. Je maîtrise pas bien le forum. Entre midi et deux heures les pop up sont repartis de plus belle.

Voici ce que donne le rapport. Merci

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:26:24, on 22/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\CA\BrightStor ARCserve Backup for Laptops & Desktops\Client\ScheduleSrvc.exe

C:\WINDOWS\dmprimer.exe

C:\WINDOWS\SYSTEM32\DNTUS26.EXE

C:\WINDOWS\system32\DWRCS.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\Program Files\PDF Complete\pdfsvc.exe

C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

C:\Program Files\UPHClean\uphclean.exe

C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

C:\WINDOWS\TEMP\GQ4DE3.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE

C:\Program Files\PDF Complete\pdfsty.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe

C:\Program Files\CA\BRIGHT~1\Client\plugins\autotcp.exe

C:\WINDOWS\system32\proquota.exe

C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=...6Ojg5&lid=2

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par ALCYON-PAU

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.12:80

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.2*;email*;10.33.*;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: MSVPS System - {AEAAD087-D66D-4FA3-A366-8F47C32E9E5F} - C:\WINDOWS\popnetnlf.dll (file missing)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: The jokwmp - {459C681F-AA94-49B7-A55B-110D924E5FCE} - C:\WINDOWS\jokwmp.dll (file missing)

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [PDF Complete] "C:\Program Files\PDF Complete\pdfsty.exe"

O4 - HKLM\..\Run: [setRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [Mobile Backup] C:\PROGRA~1\CA\BRIGHT~1\Client\rwclient.exe -Login

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: BrightStor ARCserve Backup for Laptops & Desktops Auto TCPIP.lnk = C:\PROGRA~1\CA\BRIGHT~1\Client\plugins\autotcp.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = alcyon.fr

O17 - HKLM\Software\..\Telephony: DomainName = alcyon.fr

O17 - HKLM\System\CCS\Services\Tcpip\..\{CF25666A-9E86-47F2-8011-2C7C6AF4AADD}: Domain = alcyon.fr

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = alcyon.fr

O21 - SSODL: sapnet - {114B01F7-4CF4-4BDB-8965-16CDBF592948} - C:\WINDOWS\sapnet.dll

O21 - SSODL: rmvgor - {6E873E11-D132-4450-AAB3-31CAA51A4F37} - C:\WINDOWS\rmvgor.dll

O23 - Service: CA BrightStor ARCserve Backup for Laptops & Desktops Scheduler (CA BABLD Scheduler) - Computer Associates International, Inc. - C:\Program Files\CA\BrightStor ARCserve Backup for Laptops & Desktops\Client\ScheduleSrvc.exe

O23 - Service: DM Primer (DMPrimer) - Computer Associates - C:\WINDOWS\dmprimer.exe

O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DNTUS26.EXE

O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\Shared\hpqwmi.exe

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE

O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/mjabrane/LOCALS~1/Temp/msoclip1/01/clip_image002.jpg

O24 - Desktop Component 1: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--

End of file - 8590 bytes

wong · le 22 novembre 2007

RE mjabrane,

Quel est ton Pare-feu ?

Ton Java n'est pas à jour ( on verra ensuite ).

1°) Télécharge SDFix (créé par AndyManchesta) : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'installer.

2°) Redémarre en mode sans échec

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer la procédure ( ou, événtuellement, de l'enregistrer dans un fichier texte ).

Clique sur Démarrer
Clique sur Arrêter l'ordinateur
Dans la fenêtre qui s'ouvre : clique sur " Redémarrer "
Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec seul " )
Appui dur la touche " ENTRÉE "
Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ).
Clique sur ta session normale : ton nom (Administrateur )
Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI

Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php

2.1 - Lance SDFix

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer l'outil.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés, puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumé car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Copie/Colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

2.2 - Nettoyage avec HijackThis

Lance un scan HijackThis : Clique sur Do a system scan only et coche les lignes ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=...6Ojg5&lid=2

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par ALCYON-PAU

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: MSVPS System - {AEAAD087-D66D-4FA3-A366-8F47C32E9E5F} - C:\WINDOWS\popnetnlf.dll (file missing)

O3 - Toolbar: The jokwmp - {459C681F-AA94-49B7-A55B-110D924E5FCE} - C:\WINDOWS\jokwmp.dll (file missing)

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/mjabrane/LOCALS~1/Temp/msoclip1/01/clip_image002.jpg

O24 - Desktop Component 1: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis.

3°) Redémarre en mode normal

3.1 - Télécharge SmitFraudFix de S!Ri : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Pour utiliserSmitFraudFix:

Faux positif : process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Double clique sur SmitfraudFix.exe
Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection.
Le rapport se trouve à la racine du disque système C:\rapport.txt
Copie/Colle le rapport dans ton prochain message.

3.2 - Lance HijackThis

Copie/Colle un nouveau rapport HijackThis dans ta réponse

J'attens 3 rapports ( celui de SDFix, celui de SmitfraudFix et celui de HijackThis ).

Cordialement.

Connexion

Pas encore inscrit ?

Problème pour enlver Privacy Protection

Messages recommandés

mjabrane

wong

mjabrane

mjabrane

wong

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer