[RESOLU] Win32:Trojan-gen{other}

[zoette]

Bonjour Apollo

 

 

voilà le rapport KAPERSKY

 

KASPERSKY ONLINE SCANNER 7.0 REPORT

Saturday, June 20, 2009

Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Program database last update: Saturday, June 20, 2009 08:32:57

Records in database: 2370509

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - My Computer:

A:\

C:\

D:\

E:\

F:\

G:\

H:\

 

Scan statistics:

Files scanned: 95453

Threat name: 1

Infected objects: 1

Suspicious objects: 0

Duration of the scan: 02:25:39

 

 

File name / Threat name / Threats count

C:\Program Files\IncrediMail\bin\IncrediMail_Install.exe Infected: not-a-virus:Downloader.Win32.ImLoader.e 1

 

The selected area was scanned.

 

 

A plus tard.

[Apollo]

Bonjour zoette,

 

Bon rapport

 

Il faut te méfier d'Incredimail, sous ses apparences sympa, il t'espionne joyeusement...

 

http://assiste.com.free.fr/p/logitheque/incredimail.html

 

Il vaut mieux installer une messagerie plus dépouillée mais plus sûre: http://www.mozilla-europe.org/fr/products/thunderbird/ Il faut bien sûr regarder de temps en temps s'il y a une mise à jour (tu peux d'ailleurs actionner la mise à jour automatique dans les options).

 

Pour le reste, il y a juste quelques applications à mettre à jour; tu trouveras comment faire ici: http://www.vista-xp.fr/forum/topic3405.html

 

A toi de juger si tu veux garder Incredimail quand tu auras lu la page qui le concerne, c'est très sérieux.

 

@+tard.

[zoette]

Bonsoir Apollo

 

 

j'ai eu du mal à enlever INCREDIMAIL j'espère que j'y suis parvenu.Comment vérifier?

 

J'ai voulu mettre à jour les logiciels comme tu me l'a indiqué mais j'ai rencontré un problème avec ADOBE READER

La mise à jour à plantée donc je l'ai supprimé pour le réinstaller mais là impossible, message"les application suivantes n'ont pas pu être installées". Que dois je faire?

 

J'ai maintenant comme antivirus Avira antivir, mais j'avais SPYBOT et CCLEANER fautil les garder?

Ne font ils pas double emploi avec MBAM et AFT CLEANER, dois je supprimer tOOLBAR SD et NAVILOG?

 

qu'est ce que INCREFIND? est ce un truc à supprimer comme incredimail?

 

Dois je mettre le problème comme résolu?

 

Je t'envoie un hijackthis. merci.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:17:45, on 20/06/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16850)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\PVSW\Bin\WGE_SRV.EXE

C:\WINDOWS\System32\svchost.exe

C:\PVSW\BIN\W3dbsmgr.EXE

C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

C:\Program Files\EBP\Service d'Activation EBP\EBPUnlockingService.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\e-Carte Bleue\SG\e-Carte Bleue\ECB-SG.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Canon\MyPrinter\BJMyPrt.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\e-Carte Bleue Société Générale\ecbl-sg.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portail.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [eCarteBleue-SG-P3] "C:\Program Files\e-Carte Bleue\SG\e-Carte Bleue\ECB-SG.exe" /dontopenmycards

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [instantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

O4 - HKCU\..\Run: [iW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /dropdisc

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: e-Carte Bleue Société Générale.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://express.foto.com/ImageUploader5.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1181066171421

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader4.cab

O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - http://212.234.254.203:443/activex/AMC.cab

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.0.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: EBP - Pervasive.SQL Workgroup (Pervasive.SQL Workgroup) - Unknown owner - C:\PVSW\Bin\WGE_SRV.EXE

O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

O23 - Service: Service d'activation EBP (UnlockingService) - EBP-Informatique - C:\Program Files\EBP\Service d'Activation EBP\EBPUnlockingService.exe

 

--

End of file - 9083 bytes

[Apollo]

Bonsoir zoette,

 

Le pc est désinfecté, c'est déjà une très bonne chose.

 

En ce qui concerne Incredimail, ce machin ne désinstalle pas vraiment tout ce qu'il a installé et il laisse traîner des jeunes un peu partout; c'est un exercice assez spécial; je pense que tu devrais voir ça avec le forum Softwrae ici-même pour avoir une bonne méthode.

 

Je te conseille de ne pas faire confiance au premier venu, regarde plutôt le nombre de posts qu'a le membre et aussi depuis quand il est présent sur les forums zébulon.

Il vaut toujours mieux avoir affaire à quelqu'un de sûr, comme Thorgal, un modo ou un membre assez ancien.

 

Pour CCleaner pas de problème, il complète avantageusement ATF Cleaner (qui ne nettoie pas le registre).

 

Par contre tu peux désinstaller Spybot sans regret, il ne vaut plus rien du tout et nous gêne même dans nos interventions. De plus il ralentit les pc.

 

Tu dois retirer les vaccinations faites dans Spybot avant de le désinstaller.

 

 

Pour Adobe Reader, ce n'est pas la panacée quand-même, il est très lourd et si tu ne fais que lire des fichiers PDF, il existe des programmes bien plus légers.

 

Je vais t'en chercher un qui n'a pas de saleté de toolbar comme Foxit qui perd certaines fonctions quand on n'installe pas leur ask toolbar pourrie. (très indiscrète.)

 

Je me renseigne auprès d'un ami pour ce qui concerne Incredimail et je cherche un autre lecteur de PDF; tu pourras alors désinstaller complètement Adobe Reader.

 

Au pire, tu réinstallerais Incredimail pour ensuite le virer complètement avec un désinstallateur très puissant et qui supprime vraiment tout de cette cochonnerie.

 

N'hésite pas à poser tes questions, je suis là pour ça

 

@++

[Apollo]

Re zoette,

 

Pour un lecteur PDF: http://www.zebulon.fr/dossiers/89-4-sumatra-pdf.html

 

Désinstalle Adobe Reader.

 

Je ne sais pas si ce programme propose des toolbars ou autres: en tous les cas, il faut toujours les refuser en décochant la ou les cases qui la proposent.

 

Tuto de Marie pour Thunderbird: http://www.micro-astuce.com/courrier/insta...ion-thunderbird

 

Il y a quelques pages à lire mais cela vaut la peine.

 

Pour ce qui concerne Incredimail, je pense qu'il va donc falloir procéder de la manière suivante: réinstaller ce machin et le virer proprement avec Revo Uninstaller.

 

Cela demande un certain temps et une patience certaine mais c'est la meilleure solution pour nettoyer complètement cette sangsue.

Encore une fois, j'ai pêché ce tuto créé par Marie, l'administratrice de Vista-XP.fr.(rendre à César...) Fais donc ça quand tu auras le temps, cela ne presse pas à ce point mais il vaut mieux tout virer.

 

Pour Incredimail, télécharge Revo Uninstaller et installe le.

 

• A la fin de l'installation lance le programme.
  
• Sélectionne Incredimail puis clique sur le bouton Désinstaller.
   
  Exemple pour désinstaller Jetico Firewall:
   
  
   
   
  Revo Uninstaller pour XP et Vista
   
  Attention! C'est un exemple!
   
   
   
  
• Dans l'écran suivant, laisse les options par défaut et clique sur Suivant
   
  
   
   
   
  
• Laisse toi guider par le programme sans rien changer aux options par défaut.
  Lorsque la proposition de nettoyage du registre apparait coche uniquement les clés où tu vois "Incredimail".
  Si tu as un doute, fais une capture d'écran de la fenêtre proposée, poste la dans ton prochain message et attends la réponse sans fermer Revo UNinstaller.
  Même consigne lorsqu'il te propose de nettoyer les fichiers et dossiers restants.
   
  
• Si tu n'as pas rencontré de problèmes et que tu as pu aller jusqu'à la fin de la désinstallation, redémarre le PC et vérifie que Incredimail a bien disparu.
  

 

En gros, tu dois sélectionner chaque élément qui apparait en GRAS dans Revo Uninstaller jusqu'au moment où tu n'en verras plus aucun.

 

@ demain sans doute...