[résolu]demande d'aide pour infection par fp.pc-on-internet.com

[zoliv75]

Bonjour Thanos et merci pour ton aide !

 

Après la manip consistant à supprimer le service newInstall1, j'obtiens le rapport Hijackthis suivant :

 

------------------------------------------------------------------------

 

Logfile of Trend Micro Hijac

k

Thi

s

v2.0.2

S

can

s

aved at 18:06:42, on 13/03/2008

Platform: Window

s

Vi

s

ta (WinNT 6.00.1904)

M

S

IE: Internet Explorer v7.00 (7.00.6000.16609)

Boot mode: Normal

 

Running proce

s

s

e

s

:

C:\Window

s

\

s

y

s

tem32\Dwm.exe

C:\Window

s

\Explorer.EXE

C:\Program File

s

\Window

s

Defender\M

S

A

S

Cui.exe

C:\Program File

s

\Avira\AntiVir Per

s

onalEdition Cla

s

s

ic\avgnt.exe

C:\Program File

s

\e-Carte Bleue\LCL\e-Carte Bleue VI

S

A Cleo\ECB-CLEO.exe

C:\Program File

s

\DAEMON Tool

s

\daemon.exe

C:\Program File

s

\Analog Device

s

\Core\

s

max4pnp.exe

C:\Window

s

\

S

y

s

tem32\rundll32.exe

C:\Program File

s

\Java\jre1.6.0_03\bin\ju

s

ched.exe

C:\Program File

s

\Common File

s

\Real\Update_OB\real

s

ched.exe

C:\Program File

s

\Adobe\Reader 8.0\Reader\reader_

s

l.exe

C:\Program File

s

\Window

s

S

idebar\

s

idebar.exe

C:\Window

s

\

S

y

s

tem32\rundll32.exe

C:\Program File

s

\Copernic De

s

k

top

S

earch 2\De

s

k

top

S

earch

S

ervice.exe

C:\Program File

s

\Window

s

Live\Me

s

s

enger\m

s

nm

s

gr.exe

C:\Window

s

\ehome\ehtray.exe

C:\Program File

s

\Le Robert\Le Petit Robert\PRHYPER.EXE

C:\Program File

s

\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program File

s

\EP

S

ON\EP

S

ON

S

MART PANEL for

S

canner\E

s

pMain.exe

C:\Program File

s

\Logitech\

S

etPoint\

S

etPoint.exe

C:\Program File

s

\VirtuaWin\VirtuaWin.exe

C:\Program File

s

\VirtuaWin\module

s

\VWA

s

s

igner.exe

C:\Program File

s

\VirtuaWin\module

s

\WinLi

s

t.exe

C:\Window

s

\ehome\ehm

s

a

s

.exe

C:\Program File

s

\Common File

s

\Logitech\

K

hal

S

hared\

K

HALMNPR.EXE

C:\U

s

er

s

\Olivier\AppData\Local\Octo

s

hape\Octo

s

hape

S

treaming

S

ervice

s

\Octo

s

hapeClient.exe

C:\Window

s

\

s

y

s

tem32\ta

s

k

eng.exe

C:\U

s

er

s

\Olivier\De

s

k

top\ADMIN\HiJac

k

Thi

s

.exe

 

R1 - H

K

CU\

S

oftware\Micro

s

oft\Internet Explorer\Main,

S

earch Page =

http://go.micro

s

oft.com/fwlin

k

/?Lin

k

Id=54896

R1 - H

K

LM\

S

oftware\Micro

s

oft\Internet Explorer\Main,Default_Page_URL =

http://go.micro

s

oft.com/fwlin

k

/?Lin

k

Id=69157

R1 - H

K

LM\

S

oftware\Micro

s

oft\Internet Explorer\Main,Default_

S

earch_URL =

http://go.micro

s

oft.com/fwlin

k

/?Lin

k

Id=54896

R1 - H

K

LM\

S

oftware\Micro

s

oft\Internet Explorer\Main,

S

earch Page =

http://go.micro

s

oft.com/fwlin

k

/?Lin

k

Id=54896

R0 - H

K

LM\

S

oftware\Micro

s

oft\Internet Explorer\Main,

S

tart Page =

http://go.micro

s

oft.com/fwlin

k

/?Lin

k

Id=69157

R0 - H

K

LM\

S

oftware\Micro

s

oft\Internet Explorer\

S

earch,

S

earchA

s

s

i

s

tant =

R0 - H

K

LM\

S

oftware\Micro

s

oft\Internet Explorer\

S

earch,Cu

s

tomize

S

earch =

R0 - H

K

CU\

S

oftware\Micro

s

oft\Internet Explorer\Toolbar,Lin

k

s

FolderName =

O1 - Ho

s

t

s

: ::1 localho

s

t

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program File

s

\Common File

s

\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: e-Carte Bleue Brow

s

er Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\Window

s

\

s

y

s

tem32\BhoECart.dll

O2 - BHO:

S

S

VHelper Cla

s

s

- {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program File

s

\Java\jre1.6.0_03\bin\

s

s

v.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program file

s

\google\googletoolbar1.dll

O2 - BHO: NTIECatcher Cla

s

s

- {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program File

s

\Xi\NetTran

s

port 2\NTIEHelper.dll

O3 - Toolbar: Copernic De

s

k

top

S

earch 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program File

s

\Copernic De

s

k

top

S

earch 2\De

s

k

top

S

earchBand201013011.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program file

s

\google\googletoolbar1.dll

O4 - H

K

LM\..\Run: [Window

s

Defender] %ProgramFile

s

%\Window

s

Defender\M

S

A

S

Cui.exe -hide

O4 - H

K

LM\..\Run: [avgnt] "C:\Program File

s

\Avira\AntiVir Per

s

onalEdition Cla

s

s

ic\avgnt.exe" /min

O4 - H

K

LM\..\Run: [

K

ernel and Hardware Ab

s

traction Layer]

K

HALMNPR.EXE

O4 - H

K

LM\..\Run: [Adobe Photo Downloader] "C:\Program File

s

\Adobe\Photo

s

hop Album Edition D

é

couverte\3.2\App

s

\apdproxy.exe"

O4 - H

K

LM\..\Run: [eCarteBleue-CLEO] "C:\Program File

s

\e-Carte Bleue\LCL\e-Carte Bleue VI

S

A Cleo\ECB-CLEO.exe" /dontopenmycard

s

O4 - H

K

LM\..\Run: [DAEMON Tool

s

] "C:\Program File

s

\DAEMON Tool

s

\daemon.exe" -lang 1033

O4 - H

K

LM\..\Run: [

s

oundMAXPnP] C:\Program File

s

\Analog Device

s

\Core\

s

max4pnp.exe

O4 - H

K

LM\..\Run: [

s

oundTray] C:\Program File

s

\Analog Device

s

\

S

oundMAX\

S

oundTray.exe

O4 - H

K

LM\..\Run: [Nv

S

vc] RUNDLL32.EXE C:\Window

s

\

s

y

s

tem32\nv

s

vc.dll,nv

s

vc

S

tart

O4 - H

K

LM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Window

s

\

s

y

s

tem32\NvCpl.dll,Nv

S

tartup

O4 - H

K

LM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Window

s

\

s

y

s

tem32\NvMcTray.dll,NvTa

s

k

barInit

O4 - H

K

LM\..\Run: [

s

unJavaUpdate

S

ched] "C:\Program File

s

\Java\jre1.6.0_03\bin\ju

s

ched.exe"

O4 - H

K

LM\..\Run: [T

k

BellExe] "C:\Program File

s

\Common File

s

\Real\Update_OB\real

s

ched.exe" -o

s

boot

O4 - H

K

LM\..\Run: [Adobe Reader

S

peed Launcher] "C:\Program File

s

\Adobe\Reader 8.0\Reader\Reader_

s

l.exe"

O4 - H

K

CU\..\Run: [

s

idebar] C:\Program File

s

\Window

s

S

idebar\

s

idebar.exe /autoRun

O4 - H

K

CU\..\Run: [Copernic De

s

k

top

S

earch 2] "C:\Program File

s

\Copernic De

s

k

top

S

earch 2\De

s

k

top

S

earch

S

ervice.exe" /tray

O4 - H

K

CU\..\Run: [M

s

nM

s

gr] "C:\Program File

s

\Window

s

Live\Me

s

s

enger\M

s

nM

s

gr.Exe" /bac

k

ground

O4 - H

K

CU\..\Run: [ehTray.exe] C:\Window

s

\ehome\ehTray.exe

O4 - H

K

CU\..\Run: [Le Petit Robert Hyperappel] C:\Program File

s

\Le Robert\Le Petit Robert\prhyper.exe

O4 - H

K

CU\..\Run: [

s

wg] C:\Program File

s

\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - H

K

CU\..\Run: [Octo

s

hape

S

treaming

S

ervice

s

] "C:\U

s

er

s

\Olivier\AppData\Local\Octo

s

hape\Octo

s

hape

S

treaming

S

ervice

s

\Octo

s

hapeClient.exe" -inv:bootrun

O4 - Global

S

tartup: EP

S

ON

S

MART PANEL for

S

canner.ln

k

= C:\Program File

s

\EP

S

ON\EP

S

ON

S

MART PANEL for

S

canner\E

s

pMain.exe

O4 - Global

S

tartup: Logitech

S

etPoint.ln

k

= C:\Program File

s

\Logitech\

S

etPoint\

S

etPoint.exe

O4 - Global

S

tartup:

S

DL Trado

s

2007

S

peed Launcher.ln

k

= C:\Program File

s

\

S

DL International\

S

DL Trado

s

S

ynergy 2007\

S

ynergy.exe

O4 - Global

S

tartup: VirtuaWin.ln

k

= C:\Program File

s

\VirtuaWin\VirtuaWin.exe

O8 - Extra context menu item: &T

é

l

é

charger avec NetTran

s

port - C:\Program File

s

\Xi\NetTran

s

port 2\NTAddLin

k

.html

O8 - Extra context menu item: E&xporter ver

s

Micro

s

oft Excel - re

s

://C:\PROGRA~1\MICRO

S

~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Tout t&

é

l

é

charger avec NetTran

s

port - C:\Program File

s

\Xi\NetTran

s

port 2\NTAddLi

s

t.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program File

s

\Java\jre1.6.0_03\bin\

s

s

v.dll

O9 - Extra 'Tool

s

' menuitem: Con

s

ole Java (

S

un) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program File

s

\Java\jre1.6.0_03\bin\

s

s

v.dll

O9 - Extra button: Re

s

earch - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICRO

S

~2\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative

S

oftware AutoUpdate) -

http://www.creative.com/

s

u/ocx/15031/CT

S

UEng.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (C

K

AVWeb

S

can Object) -

http://www.

k

a

s

per

s

k

y.com/

k

o

s

/eng/partner/d...can_unicode.cab

O16 - DPF: {A06BE318-C096-11D4-964F-0010A4D06F69} (TeleTVA Control) -

http

s

://tva.dgi.minefi.gouv.fr/activeX/TeleTVA.tva

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (

S

hoc

k

wave Fla

s

h Object) -

http://fpdownload2.macromedia.com/get/

s

hoc...a

s

h/

s

wfla

s

h.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative

S

oftware AutoUpdate

S

upport Pac

k

age) -

http://www.creative.com/

s

u/ocx/15033/CTPID.cab

O23 -

S

ervice: Ad-Aware 2007

S

ervice (aaw

s

ervice) - Lava

s

oft - C:\Program File

s

\Lava

s

oft\Ad-Aware 2007\aaw

s

ervice.exe

O23 -

S

ervice: Andrea ADI Filter

s

S

ervice (AEADIFilter

s

) - Andrea Electronic

s

Corporation - C:\Window

s

\

s

y

s

tem32\AEADI

S

RV.EXE

O23 -

S

ervice: AntiVir Per

s

onalEdition Cla

s

s

ic

S

cheduler (AntiVir

S

cheduler) - Avira GmbH - C:\Program File

s

\Avira\AntiVir Per

s

onalEdition Cla

s

s

ic\

s

ched.exe

O23 -

S

ervice: AntiVir Per

s

onalEdition Cla

s

s

ic Guard (AntiVir

S

ervice) - Avira GmbH - C:\Program File

s

\Avira\AntiVir Per

s

onalEdition Cla

s

s

ic\avguard.exe

O23 -

S

ervice: FLEXnet Licen

s

ing

S

ervice - Macrovi

s

ion Europe Ltd. - C:\Program File

s

\Common File

s

\Macrovi

s

ion

S

hared\FLEXnet Publi

s

her\FNPLicen

s

ing

S

ervice.exe

O23 -

S

ervice: Google Updater

S

ervice (gu

s

vc) - Google - C:\Program File

s

\Google\Common\Google Updater\GoogleUpdater

S

ervice.exe

O23 -

S

ervice: In

s

tallDriver Table Manager (IDriverT) - Macrovi

s

ion Corporation - C:\Program File

s

\Common File

s

\In

s

tall

S

hield\Driver\1050\Intel 32\IDriverT.exe

 

--

End of file - 8413 byte

s

 

---------------------------------------------------------------

 

Visiblement la manip s'est bien déroulée.

 

Merci encore,

Olivier

[Thanos]

salut

 

Est ce que tu as coché puis fixé cette ligne ?, car elle apparait encore dans ton nouveau rapport (un reste de Windows Live Messenger)>

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

Le service a bien été éliminé

 

Comment fonctionne ton pc ?

 

@+

[zoliv75]

Bonsoir,

 

j'avais remarqué cette ligne un peu bizarre, mais impossible de la retirer : je la coche, je fais FIX, je rescanne et elle est toujours là.

Même après un reboot.

 

Sinon le PC fonctionne à merveille. Plus aucun problème de fenêtre intempestive.

 

Olivier

[Thanos]

j'avais remarqué cette ligne un peu bizarre, mais impossible de la retirer : je la coche, je fais FIX, je rescanne et elle est toujours là.

Même après un reboot.

Lorsque tu effectues la manip, est ce que Internet Explorer est fermé? si non réessaie.

Sinon, on utilisera un petit fichier pour s'en occuper.

 

- Tu peux passer par le Panneau de Configuration > Ajouter /Supprimer des Programmes > désinstalle Navilog1

 

- Info importante qu'il faut retenir pour ne pas retomber dans le piège (si c'est une autre personne qui a téléchargé le logiciel responsable de l'infection, communique lui l'info!!) >

 

L'infection qui a pourri tes surfs se nomme Magic Control Agent comme je te disait plus haut .

 

Cette infection est véhiculée par des logiciels qu'il faut fuir absolument!! en voici une liste non exhaustive pour ne pas tomber dans le piège à nouveau >

• go-astro
  
• GoRecord
  
• HotTVPlayer
  
• MailSkinner
  
• Messenger Skinner
  
• Instant Access
  
• InternetGameBox
  
• sudoplanet
  
• Webmediaplayer sauf celui provenant du site suivant > http://www.azertysite.new.fr/
  

D'une manière générale, méfie toi des utilitaires que tu télécharges!!Utilise Google pour voir si c'e n'est pas un logiciel qui installe un spyware : une simple recherche de quelques minutes te permettra de te faire une idée.

Par exemple : fais une recherche sur MessengerSkinner et tu verras le nombre de discussion ou les gens se plaignent de publicité intempestives ....

Plus d'infos sur le site de Malekal Morte dont les infos sont tirées > http://www.malekal.com/popupsintempestives.php

 

Voilà une autre liste (chez Assiste.com)que tu peux consulter avant d'installer un antispyware si tu es amené à le faire : elle recense tout un tas de faux utilitaires qui n'ont aucune efficacité, et qui peuvent même être dangereux car pas fiables : http://assiste.com.free.fr/p/craptheque/craptheque.html

D'autres apparaissent chaque jour(ou presque) ! aussi une recherche encore une fois avant d'installer quoique ce soit!!

 

- On purge la restauration système car il ya des points de restauration infectés >

• Passe par le menu Démarrer => clic droit sur Ordinateur => Propriétés.
  
• Ensuite dans le volet de gauche, clique sur « protection du système ».
  
• Sélectionne « Points de restauration automatique » et décoche toutes les cases.
  
• Une alerte t'informera que tous les points vont être supprimés. Clique sur « désactiver ».
  
• Valide par ok et redémarre ton PC.
  
• Après ca, fait l'opération inverse afin de remettre en route la restauration système sur tous les lecteurs: un nouveau point de restauration sera automatiquement créé par le système.
  

[zoliv75]

Lorsque tu effectues la manip, est ce que Internet Explorer est fermé? si non réessaie.

Sinon, on utilisera un petit fichier pour s'en occuper.

 

Non, Internet Explorer n'est pas lancé. Donc impossible de supprimer la ligne

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

On purge la restauration système car il ya des points de restauration infectés

 

OK c'est fait. J'ai purgé tous les points de restauration et remis en place la restauration automatique.

 

 

Merci pour les liens sur 'malekal' et 'assiste'. Je vais lire tout ça parce que j'utilise mon PC pour le boulot aussi et je veux

qu'il soit protégé au maximum.

 

Merci encore

Olivier

[Thanos]

salut

 

Ok, on va utiliser ce petit fichier pour nettoyer la BHO >

 

Rend toi sur cette page afin de télécharger le fichier BhoRem.reg sur ton bureau > http://www.sendspace.com/file/f2md6n

pour cela, clique sur le lien en bas de page > Download Link: BhoRem.reg

 

Double clique sur le fichier et au message qui apparait, accepte la fusion avec le registre en cliquant sur le bouton OUI.

Elimine le fichier après ca.

 

Tu peux efiare un scan avec hijackthis après ca et constater si la ligne en question a bien disparue: inutile de poster le rapport

[zoliv75]

Hello

 

Tu peux efiare un scan avec hijackthis après ca et constater si la ligne en question a bien disparue: inutile de poster le rapport

 

Super. La ligne suspecte a bien disparu.

 

Merci Thanos. Je ne te dis pas à bientôt mais vous faites tous un super boulot sur ce forum.

Olivier

[Thanos]

salut

 

Content d'avoir pû t'aider

 

Pense à réactiver l'UAC en faisant l'inverse de la manip décirte dans ce lien > http://www.google.fr/url?sa=t&client=p...NIWfJdETjpNsBvg

 

**************

 

Stp, quand tu auras le temps(ca prend 5 minutes) et si tu veux bien>

 

Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors n'hésite pas :

- Voir les règles de Malware-Complaints

- Enregistre toi sur le forum à partir du bouton register en haut :

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

 

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforu...e115fda8cee41a4

 

Si le malware que tu as eu n'apparaît pas dans la liste, pour toi il s'agit de Magic Control Agent, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

 

Pour poster un message, clique sur le bouton "post reply" et complête les informations.

 

Si tu as des questions ou des problèmes, n'hésite pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.

 

ps: n'hésite pas à témoigner sur Malware Complaints , ca fera réagir les dirigeants et permettra de rendre la toile plus sûre

 

**************

 

 

Des conseils pour sécuriser ton pc au mieux et comprendre les dangers liés à l'utilisation de l'internet dans les deux lien ci-dessous. Je t'invite à prendre le temps de bien lire tout cela, de t'informer, d'essayer... Pour trouver quels sont les softs qui te conviennent le mieux.

 

Malekal_Morte : http://www.malekal.com/

Ipl_001 : http://IPL001.free.fr/IT/IT-AM0.html

 

Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier.

- IMPORTANT :une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, etc) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert ainsi que les fichiers téléchargés dont la provenance n'est pas sûre!!)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles avec ATF cleaner, nettoyage de la base de registre avec jv16, scandisk, defragmentation du disque dur régulière)

- scan hebdomadaire antispyware

***

 

Pense à changer le titre et y rajouter " Résolu" stp.

Sous ton premier message, clique sur le bouton "Editer" puis "Edition complête".

Là, tu aura la possibilité d'éditer ton titre et d'y ajouter [résolu]

 

bon surf @ toi

A bientot sur les forums de sans malwares