Hacktool.rootkit

[yann86]

Bonjour à tous,

 

Je m'appelle Yann, et je vis dans la Vienne. Je suis moi aussi infecté par ce virus. J'ai beaucoup lu vos forums ces derniers jours, notament les interventions toujours brillantes de megataupe, ipl_001, tesgaz entre autre. Donc j'en sais un peu plus, même si j'ai toujours l'air bête en face du problème.

 

J'ai donc :

 

- téléchargé AntiVir

- téléchargé HijackThis

- Démarrer mon PC en mode sans échec (connaissais même pas il y a une semaine !)

- Fais apparaitre tous mes fichiers (caché, système exploitation, etc..)

 

Ensuite, j'ai passé mon PC à l'AntiVir. Il m'a trouvé une dizaine de bébêtes (Trojan, Worm, etc...) que j'ai soigneusement supprimé (sauf xpjava.exe qui m'avait promis d'erradiquer dès la réouverture de Window, mais bon il y a des jours comme ça...), puis il a trouvé l'innénarrable Hacktool.rootkit. Un malheur n'arrivant jamais seul, il semble s'être décliné en plusieurs soucis (msdirectx.sys, WIN.INI qui semble avoir été modifié par le virus, puis une clé du registre qu' AntiVir ne semble pas apprécier de trop : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirectx\imagePath ).

 

Etonné d'avoir hébergé gratos une population aussi nombreuse qu'indésirable, une vague d'inquiétude m'envahit soudain : quel avenir pour mon vaillant PC ?

 

J'arrive à l'ultime étape dont je peux encore exercer mes talents de "copieur de bonnes idées en lisant les forums de Zebulon" : passer le tout au HijackThis. J'ai beau regarder le résultat dans tous les sens, c'est trop dur de mettre les croix dans les cases en face des lignes et de se dire : ce soir, tu joues ton ordinateur ! (Je précise ici que je gagne ma vie avec en vendant des produits sur ebay).

 

J'ajoute également qu'à part retirer les éléments infectueux, j'aimerai bien aussi virer tout ce qui ne sert à rien ( après tout, il n'y a pas de mal à ce faire du bien).

 

Bon allez, ci-joint les résultats de cette longue quête contre le mal : le log HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 21:19:46, on 26/06/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton Internet Security\ISSVC.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\espmain.exe

C:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe

C:\Program Files\Nikon\NkView5\NkvMon.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NSMdtr.exe

C:\WINDOWS\explorer.exe

C:\Program Files\ZipCentral\ZCentral.exe

C:\DOCUME~1\Joie\LOCALS~1\Temp\_ZCTmp.Dir\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_3_0_1.dll

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_3_0_1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] _ C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [WinService32] C:\Program Files\System32\svchost.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\espmain.exe

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe

O4 - Global Startup: Reboot.exe

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_3_0_1.dll

O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_3_0_1.dll

O16 - DPF: A3Cab1 - http://www.globalcashsolutions.com/kithtml/A3Cab1.CAB

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_FR_XP.cab

O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_FR_XP.cab

O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/FR/install.cab

O16 - DPF: {2AEEAC34-FD74-4142-B891-4B05C0C03C87} - http://akamai.downloadv3.com/binaries/Dial...037_pack_XP.cab

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{249CD98C-B514-41C3-8FFF-A924DB22A8A6}: NameServer = 213.36.80.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{249CD98C-B514-41C3-8FFF-A924DB22A8A6}: NameServer = 213.36.80.1

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

Un grand merci à tout ceux qui auront le temps de s'occuper de mon cas. Je précise également que pour que cela soit profitable, je veux apprendre. Amis pédagogue, soyez les bienvenus (je pars du principe que plutôt de vous solliciter plusieurs fois pour des problèmes identiques, autant être opérationnel les prochaines fois, et pourquoi pas aider les autres.

 

"A l'impossible nul n'est tenu ! " Si j'éradique cette cochonnerie, je jette aussi cette phrase, qui n'aura alors plus aucun sens pour moi !

 

Bon courage à tous, bonne continuation et certainement à bientôt.

Yann

[Invité tesgaz]

Salut,

 

je te répond d'ici quelques minutes

[Invité tesgaz]

bon, tu redémarres en mode sans echec et tu coches toutes ces lignes :

 

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_3_0_1.dll

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

 

O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_3_0_1.dll

 

 

 

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

 

 

O4 - HKLM\..\Run: [WinService32] C:\Program Files\System32\svchost.exe

 

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

 

O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\espmain.exe

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe

O4 - Global Startup: Reboot.exe

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_3_0_1.dll

O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_3_0_1.dll

O16 - DPF: A3Cab1 - http://www.globalcashsolutions.com/kithtml/A3Cab1.CAB

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_FR_XP.cab

O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_FR_XP.cab

 

O16 - DPF: {2AEEAC34-FD74-4142-B891-4B05C0C03C87} - http://akamai.downloadv3.com/binaries/Dial...037_pack_XP.cab

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

 

voila, pour le début, une fois fixer ces lignes, tu cherches ces fichier que tu vas supprimer :

Reboot.exe

xpjava.exe

C:\Program Files\System32\ << le dossier complet

C:\Program Files\WinHTTrack\ << le dossier complet

C:\Program Files\VeriSign\ << le dossier complet

 

tu redémarres toujours en mode sans echec et tu refais n log hijackthis que tu colles ici

 

pour l'optimisation, on verra plus tard

[yann86]

Vraiment un grand merci à toi tesgaz. Je m'y colle tout de suite maintenant.

A tout à l'heure.

[yann86]

Voilà tesgaz, je pense avoir fait. Je te laisse le nouvau hijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 22:22:27, on 26/06/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ZipCentral\ZCentral.exe

C:\DOCUME~1\Joie\LOCALS~1\Temp\_ZCTmp.Dir\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.wanadoo.fr/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] _ C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/FR/install.cab

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: VeriSign Updater (navi) - Unknown owner - C:\Program Files\VeriSign\NAVI\naviagent.exe (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

Vraiment encore merci.

Yann

[ipl_001]

Bonsoir yann86, tesgaz, bonsoir à tous,

 

Wow ! Déjà de beaux résultats !

 

Ton dernier rapport HijackThis ne comporte plus d'élément infectieux !

 

 

 

J'anticipe sans doute un peu puisqu'on en est juste au début de la phase de désinfection mais avec tesgaz, il faut poster quand on le peut ! LOL Il est si efficace qu'on n'arrive pas en en placer une (je plaisante) !

 

Quelques remarques :

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Tu n'as pas la toute dernière mouture du système et en particulier, il y a des chances que ton système soit plein de failles... il faudra les combler !

C:\DOCUME~1\Joie\LOCALS~1\Temp\_ZCTmp.Dir\HijackThis.exe

Il te faut déplacer le programme HijackThis dans un dossier dédié comme C:\HijackThis cat sinon, dans un dossier Temp, il risque d'y passer vite fait et, en même temp, les fichiers de Backup créés !

 

Bien sûr, tu as en ce moment, 2 antivirus résidents...

[yann86]

Bonsoir ipl_001,

 

Merci pour tous ces encouragements. Mais bon, soyons clairs (c'est d'ailleurs ce qu'il faut pour ces sacrés virus !), ça a marché parce que la procédure de megataupe est béton. Quand j'étais au lycée, je détestais les maths, car les profs ne parlaient qu'en math. Et puis un jour, un prof m'a parlé de math, mais en français, avec un vrai souci de vulgarisation. Ce jour là, j'ai rattrapé presque 2 ans de retard.

 

Donc itou pour l'eradication des bestioles. Non seulement j'arrive à comprendre comment il faut faire, mais maintenant je discerne le pourquoi du comment de certaine chose.

 

Finalement, lorsque un internaut se présente aux portes de Zébulon, pourquoi ne pas lui faire cocher une case où il se déterminerait lui-même comme débutant, confirmé etc...J'ai lu de nombreux posts où toi et d'autres étaient obligés de reexpliquer sans cesse les mêmes procédures devant des internautes débutants, navrés, mais malgré tout décidés.

 

J'ai créer un fichier HijackThis sous la racine, comme ça, il ne partira pas à la poubelle avec les \TEMP.

 

Voilà voilà, un MEGA résultat pour moi grace à un MEGA travail de votre part.

CQFD

 

A très bientôt.

Yann

[yann86]

Juste un oubli sur mon dernier post pour ipl_001 :

 

Concernant les failles sur mon PC, je m'assois et j'écoute (pas vraiment le choix quand on y connais pas grand chose).

 

Concernant les 2 antivirus, AntiVir m'a vraiment épaté. C'est rapide, efficace, facile à comprendre. L'autre que j'ai et que tu dois connaitre m'envoie des messages touts les 30s (attaque par le sud ! Tous aux abris ! Vous venez encore de vous manger une bestiole !). Enfin bref, difficile de resté concentré sur son ordi !!

 

A++

Yann

[ipl_001]

Rebonsoir yann86, rebonsoir à tous,

 

Merci pour tes mots sympas !

 

Ne pars pas comme çà ! Si tu veux causer optimisation, tesgaz a encore plein de trucs à te faire virer ! LOL Ce n'est pas possible... il va enlever au moins la moitié des lignes !

 

Il faut aussi qu'on te parle de prévention pour que ton système soit à l'abri des menaces !

[ipl_001]

Rebonsoir yann86, rebonsoir à tous,

 

J'aurais voulu laisser tesgaz continuer l'optimisation mais il doit avoir trop chaud et je le vois siroter un petit rosé en savourant un Saint Nectaire !

 

Vu le fait que ton système n'est pas à jour, je ne voudrais pas que d'ici peu, ton ordinateur soit réinfecté, alors j'y vais de mon discours !:

 

Ton système a été infecté... je suppose que çà ne t'a pas amusé !

Si tu as été infecté, c'est parce qu'il y a des faiblesses dans la protection de ton système et il est important que tu l'améliores de manière à ce que çà n'arrive plus !

 

Protection minimale :

- système parfaitement tenu à jour pour les éléments de catégorie critique, Service Packs et Service Releases

( http://windowsupdate.microsoft.com/ ) (catég.3-paramétrage)

- pare-feu bien paramétré, gratuit

par exemple ZoneAlarm ( http://www.zonelabs.com/ ) (catég.2-résident)

- Zeb Protect pour fermer bloquer des moyens d'entrée dans le système pour les malwares ( http://telechargement.zebulon.fr/123.html ) (catég.3-paramétrage)

- antivirus résident bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut), gratuit

par exemple AVAST Home Edition FREE (Download http://www.avast.com/ ) avec souscription obligatoire (catég.2-résident)

- antitroyen gratuit passé périodiquement, par exemple A² ( http://www.emsisoft.net/fr/software/free/ ) avec souscription obligatoire (catég.1ter-maintenance)

- antispywares/antiadwares gratuits passés périodiquement, par exemple Ad-Aware SE 1.05 ( http://www.lavasoftusa.com/ ) et Spybot Search and Destroy 1.3 ( http://security.kolla.de/ ) (catég.1ter-maintenance)

- comportement prudent vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages scannés avant d'être ouverts) (catég.3-paramétrage)

- attitude vigilante quant aux dysfonctionnements de ton système (catég.3-paramétrage).

- maintenance hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

 

(tous ces programmes parfaitement mis à jour avant chaque utilisation).

 

Pour plus de précisions, je te conseille de lire la page Web "Lutte AntiMalware -prévention" http://gerard.melone.free.fr/IT/IT-AM0.html

Lutte AntiMalware -prévention

-1- Jeter Internet Explorer

-2- Mettre à jour le navigateur et le système

-3- Régler le système d'exploitation

-4- Remplacer Microsoft Java VM par Sun Java

-5- Régler Internet Explorer et Outlook

-6- Installer des utilitaires résidents

-7- IE-SPYAD

-8- Fichier Hosts

-9- Lancer des utilitaires non résidents

-10- Adopter une attitude prudente

-11- Tenir prêts, URLs et outils de réparation

-12- Liens

 

Nous faisons de gros efforts pour aider avec de plus en plus d'efficacité et nous voulons lutter contre les malwares pour qu'enfin tout le monde puisse surfer tranquille !

Avec un peu de prévention, il est possible d'être à l'abri des menaces !

S'il te plaît, fais passer le mot autour de toi !

S'il te plaît, s'il y a des internautes infectés autour de toi, envoie les nous sur ce forum !

Une bonne protection permet d'être à abri ! L'ennuyeux est que la protection vaut ce que vaut le maillon le plus faible et donc, il ne faut rien oublier !