Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Plantage régulier du navigateur

manu78

Par manu78
dans Analyses et éradication malwares

 Partager

Messages recommandés

oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Bravo Manu pour tes premiers nettoyages. On y va!

 

Quelques questions liminaires:

 

 

- Peux-tu joindre le rapports Ewido?

 

- As-tu passé Spybot?

 

 

 

Si tu n'arrives pas à effectuer une action que je te soumets merci de le signaler.Précise moi aussi si certains fichiers à cocher ou supprimer n'existent plus.

-------------------------------------------------------------------------------------------------------------------------------

 

 

- Les traceurs cookies sont à supprimer mais ne présentent qu'un "risque" très mineur:

"Les cookies "traceurs" souvent détectés par des logiciels anti-spywares. Ce sont des cookies qui permettent d'établir un profil sur l'utilisateur, sans pour autant connaître son nom, adresse e-mail...

Ils permettent d'établir un profil, par exemple le visiteur B a visité le site XXX ainsi que le site YYY ce qui permet à ce genre de sites de mieux cibler le profil des utilisateurs."

 

(source: http://kerio.probb.fr/)

 

Logiquement AVG Antispyware (j'ai vu que tu disposais de ce logiciel) comme Ewido les supprimment: est-ce que cela a été le cas??

 

Si non, relance un scan Ewido et supprime ce qu'il met à jour.

 

 

-------------------------------------------------------------------------------------------------------------------------------

 

-Il reste des traces d'un spyware du nom de Search Centrix:

 

00096188 spyware/searchcentrix Spyware No 1 Yes No hkey_current_user\software\dynamic toolbar

 

Pour le supprimer :

 

-recopie ces lignes

 

Windows Registry Editor Version 5.00

  [-HKEY_CURRENT_USER\Software\Dynamic Toolbar]
 [-HKEY_CURRENT_USER\Software\Dynamic Toolbar\REALBAR BarID 2017231921681102]
 [-HKEY_CURRENT_USER\Software\Dynamic Toolbar\REALBAR LastConfigDown]
 [-HKEY_CURRENT_USER\Software\Dynamic Toolbar\REALBAR LastLeft 12

 

-ouvre ton bloc-note et copie les lignes dedans

 

-enregistre ce fichier sur ton bureau en le nommant searchcenter.reg

 

-clique droit dessus et sélectionne "fusionner". Un message va apparaître auquel il faudra répondre "oui".

 

-Puis cherche avec l'outil de recherche Windows les fichiers suivants et supprime-les (s'ils existent):

 

2020search.dll

2020search2.dll

2020se~1.dll

bjam.dll

mspphe.dll

mssvr.exe

Srng.exe

wdskctl.exe

 

 

-------------------------------------------------------------------------------------------------------------------------------

 

 

Il reste également un programme infectieux:

 

- dans "Ajouter/Supprimer des programmes "de ton panneau de configuration, supprime s'il existe le programme suivant :

 

Smiley Central et/ou My Web Search

 

-Vire aussi toutes les toolbars s'il en reste (a priori non...)

 

-Et supprime bien les dossiers en rapport avec Incredimail, Smiley Central , MyWebSearch et toute toolbar qui pourraient rester dans: C:\Program Files.

 

 

-----------------------------------------------------------------------------------------------------------------------------------

 

-Désinstalle eMule dont MWAV indique la présence et qui est un nid à virusvoir ceci:

 

http://forum.zebulon.fr/index.php?showtopic=85544

 

-------------------------------------------------------------------------------------------------------------------------------

 

 

-Dans Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

Google Updater Service (gusvc)

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,

puis dérouler le Type de Démarrage pour le modifier en Désactivé

Cliquer sur Appliquer puis OK

 

- Lancer Hijackthis, choisir Open the Misc.Tools section

- La fenêtre "Configuration" va s'ouvrir

- Cliquer sur Delete a NT service...

- La fenêtre "Delete a Windows NT service" va s'ouvrir

Entrer dans la zone de dialogue :

 

Google Updater Service

 

 

Note : s'assurer de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.

Cliquer NO

 

 

 

 

- Relance HIJACKTHIS et sélectionne "do a scan only", puis coche les lignes suivantes:

 

Ce BHO semble lié au spyware MyWebSearch: coche-le

 

O8 - Extra context menu item: &Search - ?p=ZNxdm414YYFR

 

 

Ce BHO est lié à Windows Live mais il ne correspond plus à rien: coche-le

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

Ces BHO sont liés à Google ToolBar mais ils ne correspondent plus à rien: coche-le

 

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

 

O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)

 

 

Ce bouton additionnel d'IE ne correspond à aucun fichier: coche-le

 

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

 

 

 

Une fois coché ces éléments, clique sur "FIX CHECKED" en bas d'Hijackthis, puis REDEMARRE.

-----------------------------------------------------------------------------------------------------------------------------------

 

Pour terminer cette deuxi
è
me pha
s
e, nettoie
à
nouveau ton PC avec ATF Cleaner et CCleaner (onglet
s
"nettoyage" et "erreur
s
"). Pui
s
pour contr
ô
ler que le
s
cho
s
e
s
avancent:

 

- envoie un nouveau log du
s
can Panda
(ou
K
a
s
per
s
k
y
s
i cela refonctionne)

 

- envoie un nouveau log du
s
can
Ewido
ou
AVG ANTI
S
PYWARE (en
s
upprimant ce qu'il te trouve)

 

-
S
canne ton PC avec
S
pybot
et
s
upprime ce qu'il te trouve.

 

- Envoie enfin un nouveau
log Hijac
k
thi
s
.

 

 

Et di
s
-nou
s
s
i tu
à
l'impre
s
s
ion que ton PC comme ton navigateur tournent mieux...

 

A+

 

 

Modifié par ogu

manu78 Power Member

manu78

Posté(e)
  • Auteur
Posté(e) (modifié)
Bravo Manu pour tes premiers nettoyages. On y va!

 

Quelques questions liminaires:

- Peux-tu joindre le rapports Ewido?

 

- As-tu passé Spybot?

Fait ce matin en premier

__________________________________________________

ewido anti-
s
pyware online
s
canner

__________________________________________________

 

 

Name: Trac
k
ingCoo
k
ie.2o7

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@2o7[2].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.Adverti
s
ing

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@adverti
s
ing[1].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.Adviva

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@adviva[2].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.Atdmt

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@atdmt[2].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.Blue
s
trea
k

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@blue
s
trea
k
[1].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.
S
erving-
s
y
s

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@b
s
.
s
erving-
s
y
s
[1].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.Doubleclic
k

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@doubleclic
k
[1].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.E
s
tat

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@e
s
tat[2].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.Fa
s
tclic
k

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@fa
s
tclic
k
[1].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.Webtrend
s

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@m.webtrend
s
[2].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.Mediaplex

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@mediaplex[1].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.2o7

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@m
s
nportal.112.2o7[1].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.Overture

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@overture[2].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.
S
erving-
s
y
s

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@
s
erving-
s
y
s
[1].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.
S
martad
s
erver

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@
s
martad
s
erver[1].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.Netflame

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@
s
s
l-hint
s
.netflame[2].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.
S
tatcounter

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@
s
tatcounter[2].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.Tradedoubler

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@tradedoubler[2].txt

Ri
s
k
: Medium

 

Name: Trac
k
ingCoo
k
ie.Weborama

Path: C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@weborama[1].txt

Ri
s
k
: Medium

 

Name: Adware.2020
S
earch

Path: H
K
U\
S
-1-5-21-1371562647-1684416898-3389642015-1008\
S
oftware\Micro
s
oft\Internet Explorer\Toolbar\WebBrow
s
er\\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}

Ri
s
k
: Medium

 

Name: Adware.2020
S
earch

Path: H
K
U\
S
-1-5-21-1371562647-1684416898-3389642015-1008\
S
oftware\Micro
s
oft\Window
s
\CurrentVer
s
ion\Ext\
S
tat
s
\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}

Ri
s
k
: Medium

 

Name: Adware.Power
S
earch

Path: C:\Program File
s
\Trend Micro\Hijac
k
Thi
s
\bac
k
up
s
\bac
k
up-20071222-215854-913.dll

Ri
s
k
: Medium

 

....................

- As-tu passé Spybot?

.......................

Oui, j'ai nettoyé

 

........................................

-Il reste des traces d'un spyware du nom de Search Centrix:

00096188 spyware/searchcentrix Spyware No 1 Yes No hkey_current_user\software\dynamic toolbar

...................................

-Puis cherche avec l'outil de recherche Windows les fichiers suivants et supprime-les (s'ils existent):

2020search.dll

2020search2.dll

2020se~1.dll

bjam.dll

mspphe.dll

mssvr.exe

Srng.exe

wdskctl.exe

..................................

 

Ok nettoyé le premier.

pour les autres aucuns n'étaient présents.

 

.............

Il reste également un programme infectieux:

- Smiley Central et/ou My Web Search

- Vire aussi toutes les toolbars s'il en reste (a priori non...)

- Et supprime bien les dossiers en rapport avec Incredimail, Smiley Central , MyWebSearch et toute toolbar qui pourraient rester dans: C:\Program Files.

................

Ok mais il n'y avait pas grand chose.

 

.......................

-Désinstalle eMule dont MWAV indique la présence et qui est un nid à virusvoir ceci:

-Dans Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

Google Updater Service (gusvc)

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,

puis dérouler le Type de Démarrage pour le modifier en Désactivé

Cliquer sur Appliquer puis OK

 

- Lancer Hijackthis, choisir Open the Misc.Tools section

- La fenêtre "Configuration" va s'ouvrir

- Cliquer sur Delete a NT service...

- La fenêtre "Delete a Windows NT service" va s'ouvrir

...............

 

- Pour Emule, il ne restait qu'un répertoire sans rien dedans. Je l'ai viré.

- pour la manip ave Google Updater Service,Hijackthis me dis après avoir appliqué toute la procédure : not found in the registry :P

 

..............................

- Relance HIJACKTHIS et sélectionne "do a scan only", puis coche les lignes suivantes:

O8 - Extra context menu item: &Search - ?p=ZNxdm414YYFR

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)[/b]

O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

[/b]Une fois coché ces éléments, clique sur "FIX CHECKED" en bas d'Hijackthis, puis REDEMARRE.

............

Ok c'est suprimé

 

............................................

- envoie un nouveau log du scan Panda (ou Kaspersky si cela refonctionne)

 

- envoie un nouveau log du scan Ewido ou AVG ANTISPYWARE (en supprimant ce qu'il te trouve)

..........................

Panda

 

;***********************************************************************************************************************************************************************************

ANALY
S
I
S
: 2007-12-24 10:40:40

PROTECTION
S
: 1

MALWARE: 1

S
U
S
PECT
S
: 0

;***********************************************************************************************************************************************************************************

PROTECTION
S

De
s
cription Ver
s
ion Active Updated

;===================================================================================================================================================================================

AVG 7.5.516 7.5.516 Ye
s
Ye
s

;===================================================================================================================================================================================

MALWARE

Id De
s
cription Type Active
S
everity Di
s
infectable Di
s
infected Location

;===================================================================================================================================================================================

00096188
s
pyware/
s
earchcentrix
S
pyware No 1 Ye
s
No h
k
ey_current_u
s
er\
s
oftware\dynamic toolbar

;===================================================================================================================================================================================

S
U
S
PECT
S

Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

 

 

AVG Antispyware que j'ai nettoyé après le rapport

 

---------------------------------------------------------

AVG Anti-
S
pyware - Rapport d'analy
s
e

---------------------------------------------------------

 

+ Cr
é
é
à
: 12:20:08 24/12/2007

 

+ R
é
s
ultat de l'analy
s
e:

 

 

 

C:\
S
y
s
tem Volume Information\_re
s
tore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP753\A0317618.dll -> Adware.Power
S
earch : Aucune action entrepri
s
e.

C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@m
s
nportal.112.2o7[1].txt -> Trac
k
ingCoo
k
ie.2o7 : Aucune action entrepri
s
e.

C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@blue
s
trea
k
[1].txt -> Trac
k
ingCoo
k
ie.Blue
s
trea
k
: Aucune action entrepri
s
e.

C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@doubleclic
k
[1].txt -> Trac
k
ingCoo
k
ie.Doubleclic
k
: Aucune action entrepri
s
e.

C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@
s
s
l-hint
s
.netflame[2].txt -> Trac
k
ingCoo
k
ie.Netflame : Aucune action entrepri
s
e.

C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@b
s
.
s
erving-
s
y
s
[1].txt -> Trac
k
ingCoo
k
ie.
S
erving-
s
y
s
: Aucune action entrepri
s
e.

C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@
s
erving-
s
y
s
[2].txt -> Trac
k
ingCoo
k
ie.
S
erving-
s
y
s
: Aucune action entrepri
s
e.

C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@
s
tatcounter[2].txt -> Trac
k
ingCoo
k
ie.
S
tatcounter : Aucune action entrepri
s
e.

 

 

Fin du rapport

 

 

 

......................................................

 

- Scanne ton PC avec Spybot et supprime ce qu'il te trouve.

 

- Envoie enfin un nouveau log Hijackthis.

Et dis-nous si tu à l'impression que ton PC comme ton navigateur tournent mieux...

 

Spyboté à l'instant.

 

Hijacktisé aussi

Logfile of Trend Micro Hijac
k
Thi
s
v2.0.2

S
can
s
aved at 12:52:05, on 24/12/2007

Platform: Window
s
XP
S
P2 (WinNT 5.01.2600)

M
S
IE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running proce
s
s
e
s
:

C:\WINDOW
S
\
S
y
s
tem32\
s
m
s
s
.exe

C:\WINDOW
S
\
s
y
s
tem32\winlogon.exe

C:\WINDOW
S
\
s
y
s
tem32\
s
ervice
s
.exe

C:\WINDOW
S
\
s
y
s
tem32\l
s
a
s
s
.exe

C:\WINDOW
S
\
s
y
s
tem32\
s
vcho
s
t.exe

C:\WINDOW
S
\
S
y
s
tem32\
s
vcho
s
t.exe

C:\Program File
s
\Ahead\InCD\InCD
s
rv.exe

C:\WINDOW
S
\Explorer.EXE

C:\WINDOW
S
\
s
y
s
tem32\
s
pool
s
v.exe

C:\Program File
s
\Gri
s
oft\AVG Anti-
S
pyware 7.5\guard.exe

C:\PROGRA~1\Gri
s
oft\AVGFRE~1\avgam
s
vr.exe

C:\PROGRA~1\Gri
s
oft\AVGFRE~1\avgup
s
vc.exe

C:\PROGRA~1\Gri
s
oft\AVGFRE~1\avgemc.exe

c:\APP
S
\Powercinema\
K
ernel\TV\CLCap
S
vc.exe

c:\APP
S
\Powercinema\
K
ernel\TV\CL
S
ched.exe

C:\Program File
s
\CyberLin
k
\
S
hared File
s
\CLML_NT
S
ervice\CLML
S
erver.exe

c:\APP
S
\HID
S
ERVICE\HID
S
ERVICE.exe

C:\Program File
s
\CyberLin
k
\
S
hared File
s
\CLML_NT
S
ervice\CLML
S
ervice.exe

C:\Program File
s
\Fichier
s
commun
s
\Micro
s
oft
S
hared\V
S
7Debug\mdm.exe

C:\WINDOW
S
\
s
y
s
tem32\HPZipm12.exe

C:\WINDOW
S
\
s
y
s
tem32\
s
l
s
erv.exe

C:\WINDOW
S
\
s
y
s
tem32\
s
vcho
s
t.exe

C:\WINDOW
S
\
S
OUNDMAN.EXE

C:\WINDOW
S
\ALCWZRD.EXE

C:\ATI Technologie
s
\ATI Control Panel\atiptaxx.exe

C:\App
s
\Powercinema\PCM
S
ervice.exe

C:\app
s
\ABoard\ABoard.exe

C:\PROGRA~1\ME
S
S
AG~1\
S
tartMe
s
s
ager.exe

C:\PROGRA~1\Gri
s
oft\AVGFRE~1\avgcc.exe

C:\app
s
\ABoard\AO
S
D.exe

C:\PROGRA~1\Wanadoo\Ta
s
k
BarIcon.exe

C:\Program File
s
\Ahead\InCD\InCD.exe

C:\Program File
s
\Gri
s
oft\AVG Anti-
S
pyware 7.5\avga
s
.exe

C:\Program File
s
\Java\jre1.6.0_03\bin\ju
s
ched.exe

C:\WINDOW
S
\
s
y
s
tem32\ctfmon.exe

C:\PROGRA~1\Wanadoo\Ge
s
tionnaireInternet.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\Program File
s
\
S
pybot -
S
earch & De
s
troy\TeaTimer.exe

C:\PROGRA~1\Wanadoo\Toa
s
ter.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOW
S
\
S
y
s
tem32\ALERTM~1\ALERTM~1.EXE

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program File
s
\Avant Brow
s
er\avant.exe

C:\Program File
s
\Trend Micro\Hijac
k
Thi
s
\Hijac
k
Thi
s
.exe

 

R1 - H
K
CU\
S
oftware\Micro
s
oft\Internet Explorer\Main,
S
earch Bar =

R0 - H
K
CU\
S
oftware\Micro
s
oft\Internet Explorer\Main,
S
tart Page =

R1 - H
K
LM\
S
oftware\Micro
s
oft\Internet Explorer\Main,Default_Page_URL =

R1 - H
K
LM\
S
oftware\Micro
s
oft\Internet Explorer\Main,Default_
S
earch_URL =

R1 - H
K
LM\
S
oftware\Micro
s
oft\Internet Explorer\Main,
S
earch Page =

R0 - H
K
LM\
S
oftware\Micro
s
oft\Internet Explorer\Main,
S
tart Page =

R1 - H
K
CU\
S
oftware\Micro
s
oft\Internet Explorer\Main,Window Title = Orange

R0 - H
K
CU\
S
oftware\Micro
s
oft\Internet Explorer\Toolbar,Lin
k
s
FolderName = Lien
s

R3 - URL
S
earchHoo
k
:
S
earch Cla
s
s
- {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\
S
EARCH~1.DLL

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program File
s
\Fichier
s
commun
s
\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO:
S
pybot-
S
&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\
S
PYBOT~1\
S
DHelper.dll

O2 - BHO:
S
S
VHelper Cla
s
s
- {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program File
s
\Java\jre1.6.0_03\bin\
s
s
v.dll

O2 - BHO: Window
s
Live
S
ign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program File
s
\Fichier
s
commun
s
\Micro
s
oft
S
hared\Window
s
Live\Window
s
LiveLogin.dll

O4 - H
K
LM\..\Run: [iMJPMIG8.1] "C:\WINDOW
S
\IME\imjp8_1\IMJPMIG.EXE" /
S
poil /RemAdvDef /Migration32

O4 - H
K
LM\..\Run: [PHIME2002A
S
ync] C:\WINDOW
S
\
s
y
s
tem32\IME\TINTLGNT\TINT
S
ETP.EXE /
S
YNC

O4 - H
K
LM\..\Run: [PHIME2002A] C:\WINDOW
S
\
s
y
s
tem32\IME\TINTLGNT\TINT
S
ETP.EXE /IMEName

O4 - H
K
LM\..\Run: [Raccourci ver
s
la page de
s
propri
é
t
é
s
de High Definition Audio] HDAudProp
S
hortcut.exe

O4 - H
K
LM\..\Run: [
s
oundMan]
S
OUNDMAN.EXE

O4 - H
K
LM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - H
K
LM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - H
K
LM\..\Run: [ATIPTA] C:\ATI Technologie
s
\ATI Control Panel\atiptaxx.exe

O4 - H
K
LM\..\Run: [PCM
S
ervice] "c:\App
s
\Powercinema\PCM
S
ervice.exe"

O4 - H
K
LM\..\Run: [ACTIVBOARD] c:\app
s
\ABoard\ABoard.exe

O4 - H
K
LM\..\Run: [Me
s
s
ager
S
tarter Wanadoo] C:\PROGRA~1\ME
S
S
AG~1\
S
tartMe
s
s
ager.exe Me
s
s
ager Wanadoo

O4 - H
K
LM\..\Run: [AVG7_CC] C:\PROGRA~1\Gri
s
oft\AVGFRE~1\avgcc.exe /
S
TARTUP

O4 - H
K
LM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - H
K
LM\..\Run: [WOOTA
S
K
BARICON] C:\PROGRA~1\Wanadoo\Ge
s
tMaj.exe Ta
s
k
BarIcon.exe

O4 - H
K
LM\..\Run: [inCD] C:\Program File
s
\Ahead\InCD\InCD.exe

O4 - H
K
LM\..\Run: [!AVG Anti-
S
pyware] "C:\Program File
s
\Gri
s
oft\AVG Anti-
S
pyware 7.5\avga
s
.exe" /minimized

O4 - H
K
LM\..\Run: [
s
unJavaUpdate
S
ched] C:\Program File
s
\Java\jre1.6.0_03\bin\ju
s
ched.exe

O4 - H
K
CU\..\Run: [ctfmon.exe] C:\WINDOW
S
\
s
y
s
tem32\ctfmon.exe

O4 - H
K
CU\..\Run: [WOO
K
IT] C:\PROGRA~1\Wanadoo\
S
hell.exe appLaunchClientZone.
s
hl|DEFAULT=cnx|PARAM=

O4 - H
K
CU\..\Run: [
s
pybot
S
D TeaTimer] C:\Program File
s
\
S
pybot -
S
earch & De
s
troy\TeaTimer.exe

O4 - H
K
U
S
\
S
-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOW
S
\
s
y
s
tem32\CTFMON.EXE (U
s
er '
S
ERVICE LOCAL')

O4 - H
K
U
S
\
S
-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Gri
s
oft\AVGFRE~1\avgw.exe /RUNONCE (U
s
er '
S
ERVICE LOCAL')

O4 - H
K
U
S
\
S
-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOW
S
\
s
y
s
tem32\CTFMON.EXE (U
s
er '
S
ERVICE R
É
S
EAU')

O4 - H
K
U
S
\
S
-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOW
S
\
s
y
s
tem32\CTFMON.EXE (U
s
er '
S
Y
S
TEM')

O4 - H
K
U
S
\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOW
S
\
s
y
s
tem32\CTFMON.EXE (U
s
er 'Default u
s
er')

O8 - Extra context menu item: Bloquer ce
s
erveur... - C:\Program File
s
\Avant Brow
s
er\AddAllToADBlac
k
Li
s
t.htm

O8 - Extra context menu item: Bloquer cette publicit
é
... - C:\Program File
s
\Avant Brow
s
er\AddToADBlac
k
Li
s
t.htm

O8 - Extra context menu item: Ouvrir dan
s
une nouvelle fen
ê
tre d'Avant Brow
s
er - C:\Program File
s
\Avant Brow
s
er\OpenInNewBrow
s
er.htm

O8 - Extra context menu item: Ouvrir tou
s
le
s
lien
s
de la page... - C:\Program File
s
\Avant Brow
s
er\OpenAllLin
k
s
.htm

O8 - Extra context menu item: Rechercher
s
ur le Web... - C:\Program File
s
\Avant Brow
s
er\
S
earch.htm

O8 - Extra context menu item:
S
urligner - C:\Program File
s
\Avant Brow
s
er\Highlight.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program File
s
\Java\jre1.6.0_03\bin\
s
s
v.dll

O9 - Extra 'Tool
s
' menuitem: Con
s
ole Java (
S
un) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program File
s
\Java\jre1.6.0_03\bin\
s
s
v.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOW
S
\
s
y
s
tem32\
S
hdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\
S
PYBOT~1\
S
DHelper.dll

O9 - Extra 'Tool
s
' menuitem:
S
pybot -
S
earch & De
s
troy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\
S
PYBOT~1\
S
DHelper.dll

O9 - Extra button: Me
s
s
ager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Me
s
s
ager.exe

O9 - Extra 'Tool
s
' menuitem: Me
s
s
ager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Me
s
s
ager.exe

O14 - IERE
S
ET.INF:
S
TART_PAGE_URL=file://C:\APP
S
\IE\offline\fr.htm

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (C
K
AVWeb
S
can Object) -

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnline
S
can Control) -

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Total
S
can In
s
taller Cla
s
s
) -

O23 -
S
ervice: ATI
S
mart - Un
k
nown owner - C:\WINDOW
S
\
s
y
s
tem32\ati2
s
gag.exe

O23 -
S
ervice: AVG Anti-
S
pyware Guard - GRI
S
OFT
s
.r.o. - C:\Program File
s
\Gri
s
oft\AVG Anti-
S
pyware 7.5\guard.exe

O23 -
S
ervice: AVG7 Alert Manager
S
erver (Avg7Alrt) - GRI
S
OFT,
s
.r.o. - C:\PROGRA~1\Gri
s
oft\AVGFRE~1\avgam
s
vr.exe

O23 -
S
ervice: AVG7 Update
S
ervice (Avg7Upd
S
vc) - GRI
S
OFT,
s
.r.o. - C:\PROGRA~1\Gri
s
oft\AVGFRE~1\avgup
s
vc.exe

O23 -
S
ervice: AVG E-mail
S
canner (AVGEM
S
) - GRI
S
OFT,
s
.r.o. - C:\PROGRA~1\Gri
s
oft\AVGFRE~1\avgemc.exe

O23 -
S
ervice: CyberLin
k
Bac
k
ground Capture
S
ervice (CBC
S
) (CLCap
S
vc) - Un
k
nown owner - c:\APP
S
\Powercinema\
K
ernel\TV\CLCap
S
vc.exe

O23 -
S
ervice: CyberLin
k
Ta
s
k
S
cheduler (CT
S
) (CL
S
ched) - Un
k
nown owner - c:\APP
S
\Powercinema\
K
ernel\TV\CL
S
ched.exe

O23 -
S
ervice: CyberLin
k
Media Library
S
ervice - Cyberlin
k
- C:\Program File
s
\CyberLin
k
\
S
hared File
s
\CLML_NT
S
ervice\CLML
S
erver.exe

O23 -
S
ervice: Generic
S
ervice for HID
K
eyboard Input Collection
s
(GenericHid
S
ervice) - Un
k
nown owner - c:\APP
S
\HID
S
ERVICE\HID
S
ERVICE.exe

O23 -
S
ervice: InCD Helper (InCD
s
rv) - Nero AG - C:\Program File
s
\Ahead\InCD\InCD
s
rv.exe

O23 -
S
ervice: My
s
qlInventime - Un
k
nown owner - c:\my
s
ql\bin\my
s
qld-nt.exe

O23 -
S
ervice: Pml Driver HPZ12 - HP - C:\WINDOW
S
\
s
y
s
tem32\HPZipm12.exe

O23 -
S
ervice:
S
martLin
k
S
ervice (
S
L
S
ervice) - - C:\WINDOW
S
\
S
Y
S
TEM32\
s
l
s
erv.exe

 

--

End of file - 8956 byte
s

 

Quant au ralentissement, il s'agit plus de "figeages" car tout s'arrette, y compris le copteur de temps de ma connexion orange.

A l'usage depuis hier, jen ai moins mais il y a quand même eu 1 ou 2 blocages.

Je vais essayer de passer sur Mozilla et suprimer Avant Browser pour voir.

 

En tout cas merci pour tout ça déja.

 

Manu

Modifié par manu78
oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Salut Manu, joyeux Noël !

 

Cela avance, on devrait y arriver.

 

--------------------------------------------------------------------------------------------------------------------------

 

A priori plus de problème du côté des cookies traceurs: sauf que j'ignore si le sacn en ligne d'Ewido supprime ce qu'il trouve.Est-ce le cas?

 

--------------------------------------------------------------------------------------------------------------------------

 

-Pour terminer de supprimer Adware.2020Search

 

--recopie ces lignes

 

Windows Registry Editor Version 5.00

 

[-HKEY_CURRENT_USER\S-1-5-21-1371562647-1684416898-3389642015-1008\Software\Microsoft\InternetExplorer\Toolbar\WebBrowser\\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}] [-HKEY_CURRENT_USER\S-1-5-21-1371562647-1684416898-3389642015-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}]

[-HKEY_CURRENT_USER\software\dynamic toolbar]

 

 

-ouvre ton bloc-note et copie les lignes dedans

 

-enregistre ce fichier sur ton bureau en le nommant 2020search.reg

 

-clique droit dessus et sélectionne "fusionner". Un message va apparaître auquel il faudra répondre "oui".

 

 

-Vide ta restauration système en suivant ce tuto:

 

http://www.informatruc.com/desactiver_restauration.php

 

 

Puis REDEMARRE.

 

Nota: ne pas la réactiver par la suite, on gérera cela plus tard.

----------------------------------------------------------------------------------------------------------------------------

 

Pour Google Updater (qui n'est pas infectieux, mais ça reste un élément d'une toolbar...)

Edit: il n'apparaît plus sur le rapport HJT, XP a du supprimer le service (devenu inutile) au reboot.

 

 

--------------------------------------------------------------------------------------------------------------------------

On continue avec de nouveaux scans pour s'assurer qu'il ne reste plus rien:

 

- Télécharge le logiciel portable de scan d'EWIDO sur cette page:

 

http://download.ewido.net/ewido_micro.exe

 

Lance-le et supprime ce qu'il va trouver (normalement, rien du tout ou vraiment pas grand chose) et copie ici son rapport.

 

--------------------------------------------------------------------------------------------------------------------------

 

-Tente un nouveau rapport en ligne de Kaspersky, à défaut celui de Panda, et joins le rapport.

 

--------------------------------------------------------------------------------------------------------------------------

Edit: je viens de voir que tu as complété ton message:

 

-Ton rapport HJT est propre, c'est rassurant.

 

-J'allais te conseiller en fin de procédure de supprimer AvantBrowser (qui n'est qu'une surcouche se greffant à Internet Explorer...Bof!) pour passer à Firefox.

 

Peut-être (mais je ne connais pas Wanadoo) que désinstaller les produits Wanadoo pour configurer ta connexion à la main serait une bonne idée (mais je ne sais pas faire, on verra plus tard éventuellement).

 

Essaie de m'en dire plus sur ta navigation: sens-tu des améliorations, si oui de façon notable ou non??

 

Il se peut que le problème de navigation ne soit pas intégralement réglé par la désinfection, mais ce sera toujours ça de pris.

 

 

 

Une fois que tout sera désinfecté on pourra si tu le souhaites optimiser le PC (de manière simple et rapide) et le sécuriser au minimum.

On poursuivra avec un scan antirootkit à la prochaine étape.

 

Courage :P !

Modifié par ogu
manu78 Power Member

manu78

Posté(e)
  • Auteur
Posté(e)
Salut Manu, joyeux Noël !

.................

-Pour terminer de supprimer Adware.2020Search

--recopie ces lignes

Windows Registry Editor Version 5.00

 

[-HKEY_CURRENT_USER\S-1-5-21-1371562647-1684416898-3389642015-1008\Software\Microsoft\InternetExplorer\Toolbar\WebBrowser\\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}] [-HKEY_CURRENT_USER\S-1-5-21-1371562647-1684416898-3389642015-1008\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}]

[-HKEY_CURRENT_USER\software\dynamic toolbar]

-ouvre ton bloc-note et copie les lignes dedans

............................................................................................

-[/b]Vide ta restauration système en suivant ce tuto:

 

Joyeux Noël à toi aussi.

-OK j'ai fait ce qu'il faut pour Adware

- Ok aussi pour les points de restauration, il n'y en a plus.

 

----------------------------------------------------------------------------------------------------------------------------

On continue avec de nouveaux scans pour s'assurer qu'il ne reste plus rien:

- Télécharge le logiciel portable de scan d'EWIDO

Lance-le et supprime ce qu'il va trouver (normalement, rien du tout ou vraiment pas grand chose) et copie ici son rapport.

------------------------------------------------------------------------------------------------------------------------

 

Ok j'ai téléchargé Ewido et voila son scan.

---------------------------------------------------------

AVG Anti-
S
pyware - Rapport d'analy
s
e

---------------------------------------------------------

 

+ Cr
é
é
à
: 12:20:08 24/12/2007

 

+ R
é
s
ultat de l'analy
s
e:

 

C:\
S
y
s
tem Volume Information\_re
s
tore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP753\A0317618.dll -> Adware.Power
S
earch : Aucune action entrepri
s
e.

C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@m
s
nportal.112.2o7[1].txt -> Trac
k
ingCoo
k
ie.2o7 : Aucune action entrepri
s
e.

C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@blue
s
trea
k
[1].txt -> Trac
k
ingCoo
k
ie.Blue
s
trea
k
: Aucune action entrepri
s
e.

C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@doubleclic
k
[1].txt -> Trac
k
ingCoo
k
ie.Doubleclic
k
: Aucune action entrepri
s
e.

C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@
s
s
l-hint
s
.netflame[2].txt -> Trac
k
ingCoo
k
ie.Netflame : Aucune action entrepri
s
e.

C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@b
s
.
s
erving-
s
y
s
[1].txt -> Trac
k
ingCoo
k
ie.
S
erving-
s
y
s
: Aucune action entrepri
s
e.

C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@
s
erving-
s
y
s
[2].txt -> Trac
k
ingCoo
k
ie.
S
erving-
s
y
s
: Aucune action entrepri
s
e.

C:\Document
s
and
S
etting
s
\nadia p\Coo
k
ie
s
\nadia_p@
s
tatcounter[2].txt -> Trac
k
ingCoo
k
ie.
S
tatcounter : Aucune action entrepri
s
e.

 

Fin du rapport

 

.....................

[/b]-Tente un nouveau rapport en ligne de Kaspersky, à défaut celui de Panda, et joins le rapport.

................

 

Rien à faire avec kaspersky. A la fin de l'analyse, il se passe plus rien et pas de rapport !

Voici à nouveau le Panda !

;***********************************************************************************************************************************************************************************

ANALY
S
I
S
: 2007-12-25 15:21:02

PROTECTION
S
: 1

MALWARE: 14

S
U
S
PECT
S
: 0

;***********************************************************************************************************************************************************************************

PROTECTION
S

De
s
cription Ver
s
ion Active Updated

;===================================================================================================================================================================================

AVG 7.5.516 7.5.516 Ye
s
Ye
s

;===================================================================================================================================================================================

MALWARE

Id De
s
cription Type Active
S
everity Di
s
infectable Di
s
infected Location

;===================================================================================================================================================================================

00139061 Coo
k
ie/Doubleclic
k
Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.doubleclic
k
.net/]

00139064 Coo
k
ie/Atla
s
DMT Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.atdmt.com/]

00145393 Coo
k
ie/Tradedoubler Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.tradedoubler.com/]

00145738 Coo
k
ie/Mediaplex Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.mediaplex.com/]

00167704 Coo
k
ie/Xiti Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.xiti.com/]

00168056 Coo
k
ie/YieldManager Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[ad.yieldmanager.com/]

00168056 Coo
k
ie/YieldManager Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[ad.yieldmanager.com/]

00168056 Coo
k
ie/YieldManager Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[ad.yieldmanager.com/]

00168056 Coo
k
ie/YieldManager Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[ad.yieldmanager.com/]

00168056 Coo
k
ie/YieldManager Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[ad.yieldmanager.com/]

00168056 Coo
k
ie/YieldManager Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[ad.yieldmanager.com/]

00168106 Coo
k
ie/Weborama Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.weborama.fr/]

00169190 Coo
k
ie/Adverti
s
ing Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.adverti
s
ing.com/]

00169190 Coo
k
ie/Adverti
s
ing Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.adverti
s
ing.com/]

00169190 Coo
k
ie/Adverti
s
ing Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.adverti
s
ing.com/]

00170554 Coo
k
ie/Overture Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.overture.com/]

00173520 Coo
k
ie/Blue
s
trea
k
Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.blue
s
trea
k
.com/]

00184846 Coo
k
ie/Adrevolver Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.adrevolver.com/]

00207936 Coo
k
ie/Adviva Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.adviva.net/]

00273339 Coo
k
ie/
S
martad
s
erver Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.
s
martad
s
erver.com/]

00273339 Coo
k
ie/
S
martad
s
erver Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.
s
martad
s
erver.com/]

00273339 Coo
k
ie/
S
martad
s
erver Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.
s
martad
s
erver.com/]

00273339 Coo
k
ie/
S
martad
s
erver Trac
k
ingCoo
k
ie No 0 Ye
s
No C:\Document
s
and
S
etting
s
\nadia p\Application Data\Mozilla\Firefox\Profile
s
\uxi6vypi.default\coo
k
ie
s
.txt[.
s
martad
s
erver.com/]

02654326 Adware/
K
eenValue Adware No 0 Ye
s
No C:\RECYCLER\
S
-1-5-21-1371562647-1684416898-3389642015-500\Dc1\bin\IncrediMail_In
s
tall.exe

;===================================================================================================================================================================================

S
U
S
PECT
S

Location

;===================================================================================================================================================================================

;

===================================================================================================================================================================================

 

 

..............................

Peut-être (mais je ne connais pas Wanadoo) que désinstaller les produits Wanadoo pour configurer ta connexion à la main serait une bonne idée (mais je ne sais pas faire, on verra plus tard éventuellement).

.................

 

On a proposé à ma mère d'échanger sa vieille livebox contre une nouvelle.

je ferai la connexion en manuel dès que j'aurai installé la nouvelle.

 

..............................

Essaie de m'en dire plus sur ta navigation: sens-tu des améliorations, si oui de façon notable ou non??

Il se peut que le problème de navigation ne soit pas intégralement réglé par la désinfection, mais ce sera toujours ça de pris.

 

Ca fige encore ! :P

 

..............................

Une fois que tout sera désinfecté on pourra si tu le souhaites optimiser le PC (de manière simple et rapide) et le sécuriser au minimum.

On poursuivra avec un scan antirootkit à la prochaine étape.

 

Courage :P !

 

OK pour l'optimisation.

 

Merci encore.

oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Salut!

 

- Ok aussi pour les points de restauration, il n'y en a plus.

 

Pourtant AVG voit un spy dans un fichier de restauration...C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP753\A0317618.dll

 

Bizarre, car désactiver la restau système supprime normalement les points de restauration...

 

- Eventuellement recherche avec l'outil Windows cette dll et supprime-là: A0317618.dll

 

- Dans "démarrer", "exécuter", tape services.msc puis "ok".

 

Dans la fenêtre qui s'ouvre, cherche le service intitulé "service de restauration système", double-clique dessus et règle son démarrage sur: DESACTIVE.

 

Valide avec Ok puis redémarre.

 

 

------------------------------------------------------------------------------------------------------------------------

 

L'adware a disparu, par contre les tracing-cookies sont toujours là: il semblerait que tu ais mal configuré Ewido/AVg, et qu'il se contente de détecter sans supprimer...("Aucune action entreprise.")

 

Télécharge alors cette version d'Ewido, qui nettoie sans avoir besoin de réglage spécifique: il te suffira de sélectionner "Remove infections" après le scan:

 

http://download.ewido.net/ewido_micro.exe

 

 

------------------------------------------------------------------------------------------------------------------------

 

La scan Panda est propre, il suffit simplement de vider ta corbeille pour que l'installeur qu'il détecte disparaisse.

 

 

------------------------------------------------------------------------------------------------------------------------

 

On a proposé à ma mère d'échanger sa vieille livebox contre une nouvelle.je ferai la connexion en manuel dès que j'aurai installé la nouvelle.

 

Ca fige encore ! :P

 

OK pour la config' de la Box.Tu penseras aussi à activer son pare-feu interne.

 

Pour les "figeages": cela le fait avec Firefox, comme avec AvantBrowser? Depuis quand Firefox est-il installé/utilisé?

 

 

En tout cas plus rien d'infectieux n'apparaît dans le rapport Hijackthis ni dans ceux d'AVG et de Panda.

 

------------------------------------------------------------------------------------------------------------------------

 

 

On va maintenant contrôler les rootkits:

 

-Télécharge BlackLight de F-secure:

 

ftp://ftp.f-secure.com/f-prot/tools/fsbl.exe

 

-Lance le scan BlackLight et copie son rapport ici.

 

Tuto de Malekal pour en savoir plus:

 

http://www.malekal.com/tutorial_f-secure_BlackLight.php

Modifié par ogu
ph1ph1l0u Full Patch Member

ph1ph1l0u

Posté(e)
Posté(e) (modifié)

ouais, un de ces jours, c'est le PC tout entier qui refusera de démarrer si tu continues à le martyriser comme cela:

Son navigateur se bloque fréquemment et rien n'y fait pas même le ctrl+alt+sup, seul un arrachage violent et énergique de la prise de courant sol.gif y met fin !

 

En plus, Avant Browser est une grosse merde, puisque "Ce navigateur s'appuie sur le moteur d'Internet Explorer..." qui lui est un vrai bâton à m...

 

enfin, pas besoin de finir la phrase... (icrosoft? :P , hin hin, mauvaise réponse)

 

Installe-lui plutôt Firefox avec des extensions adéquates (Firekeeper, AdBlock, NoScript, FlashBlock, Procon Latte), elle sera plus à l'abri.

Modifié par philipped94
manu78 Power Member

manu78

Posté(e)
  • Auteur
Posté(e) (modifié)
ouais, un de ces jours, c'est le PC tout entier qui refusera de démarrer si tu continues à le martyriser comme cela:

En plus, Avant Browser est une grosse ....................

Installe-lui plutôt Firefox avec des extensions adéquates (Firekeeper, AdBlock, NoScript, FlashBlock, Procon Latte), elle sera plus à l'abri.

Ben quand il plante, je ne peux que l'arrêter sauvagement mais rassure toi, c'est avec le bouton du PC :P

Sinon j'aimais bien AB pour ses fonctionnalités (programmation de la souris,...) mais bon, j'ai bien mis Firefox depuis.

 

 

Salut!

Pourtant AVG voit un spy dans un fichier de restauration...C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP753\A0317618.dll

Bizarre, car désactiver la restau système supprime normalement les points de restauration...

....................

oups je croyais pourtant l'avoir désactivé ! j'ai refais la manip', ça devrait être bon maintenant.

 

..............................

L'adware a disparu, par contre les tracing-cookies sont toujours là: il semblerait que tu ais mal configuré Ewido/AVg, et qu'il se contente de détecter sans supprimer...("Aucune action entreprise.")

Télécharge alors cette version d'Ewido, qui nettoie sans avoir besoin de réglage spécifique: il te suffira de sélectionner "Remove

C'est fait, j'ai repasse cette version et j'ai tout enlevé.

 

..................................

OK pour la config' de la Box.Tu penseras aussi à activer son pare-feu interne.

 

Pour les "figeages": cela le fait avec Firefox, comme avec AvantBrowser? Depuis quand Firefox est-il installé/utilisé?

En tout cas plus rien d'infectieux n'apparaît dans le rapport Hijackthis ni dans ceux d'AVG et de Panda.

J'ai Firefox depuis 2 jours et ça fige aussi :P

 

.................................

On va maintenant contrôler les rootkits:

 

-Télécharge BlackLight de F-secure:

-Lance le scan BlackLight et copie son rapport ici.

C'est fait et il n'a rien trouve no hidden items found !

Merci

Modifié par manu78
oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Re,

 

a priori ton PC est propre maintenant; j'ignore donc d'où proviennent les problèmes de navigateurs, mais c'est déjà ça de pris!

 

Si j'étais toi je désinstallerais tous les composant Wanadoo, et je les réinstallerai (ou je créerai une connexion à la main).

 

D'ailleurs si ta box est déjà configuré, peut-ête même n'est-il pas nécessaire de recréer une connexion.

Essaie une désinstall' et lance Firefox pour voir.

 

Une fois ce problème résolu (si on y parvient!!), on pourra sécuriser ton PC , l'améliorer un peu et rétablir la restauration système.

 

Explique aussi à ta maman qu'il ne faut pas installer de toolbars et se renseigner avant d'installer un programme comme IncrediMail :P (j'ai le même souci avec la mienne!)

Modifié par ogu
manu78 Power Member

manu78

Posté(e)
  • Auteur
Posté(e)
Re,

 

a priori ton PC est propre maintenant; j'ignore donc d'où proviennent les problèmes de navigateurs, mais c'est déjà ça de pris!

 

Si j'étais toi je désinstallerais tous les composant Wanadoo, et je les réinstallerai (ou je créerai une connexion à la main).

 

D'ailleurs si ta box est déjà configuré, peut-ête même n'est-il pas nécessaire de recréer une connexion.

Essaie une désinstall' et lance Firefox pour voir.

 

Une fois ce problème résolu (si on y parvient!!), on pourra sécuriser ton PC , l'améliorer un peu et rétablir la restauration système.

 

Explique aussi à ta maman qu'il ne faut pas installer de toolbars et se renseigner avant d'installer un programme comme IncrediMail :P (j'ai le même souci avec la mienne!)

Voila dernier jour de vacances, j'ai ré-installé aujourd'hui la livebox (nouveau modèle) et d'après M. Orange, ça pouvait être la cause des plantages, à voir !

Petite leçon à ma mère avant de partir sur les adds-on et je pense que c'est bon comme ça.

 

En tous cas, merci beaucoup et meilleurs voeux à toi et à tes proches.

Manu

oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)
En tous cas, merci beaucoup et meilleurs voeux à toi et à tes proches.

 

Pareillement!

 

Tiens -nous au courant si possible, que l'on sache si le problème venait de là.

 

On pourra éventuellement sécuriser / optimiser un peu le PC si tu le souhaites, mais en attendant il est impératif de remettre en marche la restauration système:

 

- dans "démarrer", "executer", tape "services.msc" puis "ok".

 

Cherche la ligne "service de restauration système " et double-clique dessus.

Dans la fenêtre qui s'ouvre, règle le démarrage sur "automatique" puis valide avec "appliquer " et "ok".

 

- Clique-droit sur "poste de travail", puis dirige-toi sur "propriétés".

 

Va dans l'onglet "restauration système" et décoche la case "désactiver la restauration système sur tous les lecteurs".

 

- Enfin, redémarre.

 

A suivre...

Modifié par ogu

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...