Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu]Spyware CWS.SearchKlick & Trek Blue Error Nuke

Pey

Par Pey
dans Analyses et éradication malwares

 Partager

Messages recommandés

BipBip07 Extrem Member

BipBip07

Posté(e)
Posté(e)

Bonsoir appliques ceci:

Salut,

 

Télécharger ces 4 utilitaires:

 

AboutBuster

 

SpHjfix

 

SpSeHjfix112 Windows 2000/XP

 

CWShredder

 

Démarrer en mode sans echec:

[/color]

1- AboutBuster

Dezip le, Lance le programme en mode sans echec

Sauvegarder le rapport et tu le postes ici.

 

2-Utilise SpHjfix:

lancer SpHjfix

cliquer sur le bouton "start disinfection"

en cas d'infection, l'ordinateur redémarre

Sauvegarder le rapport et tu le postes ici.

 

3- SpSeHjfix112 Windows 2000/XP

 

. vider les fichiers Temp, le cache d'IE

.dezipper SpSeHjfix dans un repertoire aloué (ex: c:\SpSeHjfix\)

. lancer SpHjfix à partir d'un répertoire alloué

.. cliquer sur le bouton "start disinfection"

.. en cas d'infection sp.exe, l'ordinateur est redémarré

.. SpHjfix reprend la main avant démarrage de Windows pour désinfection sans être gêné par les processus en cours.

. examiner, communiquer le fichier log généré

. lancer Spybot pour compléter la désinfection.

 

4-Lancer CWShredder[/url] et cliquer sur fix.

 

redemarrer normalement

 

5- Faire un scan en ligne chez Ravantivirus(mettre un fausse adresse email ou une adresse hotmail):

http://www.ravantivirus.com/scan/

jusqu'à ce que "ready to scan" apparaisse

cela doit se présenter comme ceci http://img272.echo.cx/img272/7830/rav0gh.jpg

Tu cliques ensuite sur "scan my pc" (étape 3 de l'image)

A la fin du scan, qui peut prendre un certain temps, tu copies et colles le rapport ici

 

Ou celui la

PANDA si tu n'y arrive pas : tutorial

 

6- remets un rapport Hijackthis

A+

 

edit: megataupe désolé on c'est croisé

561809[/snapback]

Lien vers le commentaire
Partager sur d’autres sites

Pey Member

Pey

Posté(e)
  • Auteur
Posté(e)
Ok passe l'étape 2. De toute façon les 2 logiciels primordial sont 1 et 4 :P et les point 5 et 6.

562372[/snapback]

 

Tout n'a pas fonctinné :

 

Le log AboutBuster :

 

AboutBuster 5.0 reference file 28

Scan started on [30/08/2005] at [22:16:19]

------------------------------------------------

Removed Stream! C:\WINDOWS\FeAnim.ini:cnner

Removed Stream! C:\WINDOWS\MsgAgt.INI:phhxy

Removed Stream! C:\WINDOWS\smscfg.ini:gnmggd

Removed Stream! C:\WINDOWS\SYSINI.QTW:euetug

Removed Stream! C:\WINDOWS\winamp.ini:jmuxem

Removed Stream! C:\WINDOWS\WININI.QTW:tfmlgw

------------------------------------------------

Removed File! : C:\Windows\axnni.dat

Removed File! : C:\Windows\idbsk.dat

Removed File! : C:\Windows\kakng.dat

Removed File! : C:\Windows\System32\cchwm.dat

------------------------------------------------

Scan was COMPLETED SUCCESSFULLY at 22:16:43

 

 

 

Le log de SpSeHjfix 112 :

 

 

 

(8/30/05 22:18:59) SPSeHjFix started v1.1.2

(8/30/05 22:18:59) OS: WinXP Service Pack 2 (5.1.2600)

(8/30/05 22:18:59) Language: français

(8/30/05 22:18:59) Win-Path: C:\WINDOWS

(8/30/05 22:18:59) System-Path: C:\WINDOWS\system32

(8/30/05 22:18:59) Temp-Path: C:\DOCUME~1\Pierre\LOCALS~1\Temp\

(8/30/05 22:19:19) Disinfection started

(8/30/05 22:19:19) Bad-Dll(IEP): c:\windows\system32\caxsm.dll

(8/30/05 22:19:19) UBF: 4 - UBB: 8 - UBR: 22

(8/30/05 22:19:19) UBF: 4 - UBB: 8 - UBR: 22

(8/30/05 22:19:19) Bad IE-pages:

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\windows\system32\caxsm.dll/sp.html#69959

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\system32\caxsm.dll/sp.html#69959

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank

(8/30/05 22:19:19) Stealth-String not found

(8/30/05 22:19:19) No locked Files to delete. End without Reboot

(8/30/05 22:19:34) Disinfection started

(8/30/05 22:19:34) Bad-Dll(IEP): c:\windows\system32\caxsm.dll

(8/30/05 22:19:34) UBF: 4 - UBB: 8 - UBR: 22

(8/30/05 22:19:34) UBF: 4 - UBB: 8 - UBR: 22

(8/30/05 22:19:34) Bad IE-pages: (none)

(8/30/05 22:19:34) Stealth-String not found

(8/30/05 22:19:34) No locked Files to delete. End without Reboot

(8/30/05 22:20:11) Disinfection started

(8/30/05 22:20:11) Bad-Dll(IEP): c:\windows\system32\caxsm.dll

(8/30/05 22:20:11) UBF: 4 - UBB: 8 - UBR: 22

(8/30/05 22:20:11) UBF: 4 - UBB: 8 - UBR: 22

(8/30/05 22:20:11) Bad IE-pages: (none)

(8/30/05 22:20:11) Stealth-String not found

(8/30/05 22:20:11) No locked Files to delete. End without Reboot

(8/30/05 22:20:11) Disinfection started

(8/30/05 22:20:11) Bad-Dll(IEP): c:\windows\system32\caxsm.dll

(8/30/05 22:20:12) UBF: 4 - UBB: 8 - UBR: 22

(8/30/05 22:20:12) UBF: 4 - UBB: 8 - UBR: 22

(8/30/05 22:20:12) Bad IE-pages: (none)

(8/30/05 22:20:12) Stealth-String not found

(8/30/05 22:20:12) No locked Files to delete. End without Reboot

(8/30/05 22:20:12) Disinfection started

(8/30/05 22:20:12) Bad-Dll(IEP): c:\windows\system32\caxsm.dll

(8/30/05 22:20:12) UBF: 4 - UBB: 8 - UBR: 22

(8/30/05 22:20:12) UBF: 4 - UBB: 8 - UBR: 22

(8/30/05 22:20:12) Bad IE-pages: (none)

(8/30/05 22:20:12) Stealth-String not found

(8/30/05 22:20:12) No locked Files to delete. End without Reboot

(8/30/05 22:20:12) Disinfection started

(8/30/05 22:20:12) Bad-Dll(IEP): c:\windows\system32\caxsm.dll

(8/30/05 22:20:12) UBF: 4 - UBB: 8 - UBR: 22

(8/30/05 22:20:12) UBF: 4 - UBB: 8 - UBR: 22

(8/30/05 22:20:12) Bad IE-pages: (none)

(8/30/05 22:20:12) Stealth-String not found

(8/30/05 22:20:12) No locked Files to delete. End without Reboot

 

Le scan de ravantivirus et de panda active scan n'a pas fonctionné : je me fais jeter

 

voila le message d'erreur que j'ai sur le site de Panda quand j'essaie d'actionner active scan :

 

Microsoft VBScript runtime error '800a01a8'

 

Object required: 'selectednode.selectSingleNode(...)'

 

/activescan/activescan/tratarxml.asp, line 44

 

Tout à l'heure j'avais passé antivir en mode sans echec (conseil de Megataupe)

 

Le log de HijackThis (en mode Normal) :

 

Logfile of HijackThis v1.99.1

Scan saved at 22:37:38, on 30/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\WINDOWS\System32\DSentry.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Program Files\Promise\Utility\MsgAgt.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\System32\LVComS.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Documents and Settings\Pierre\Mes documents\PROGRAMMES\Logiciels anti spyware\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {87B9B006-3765-8006-D7C5-4C71568F43DA} - C:\WINDOWS\mshx.dll (file missing)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe

O4 - HKLM\..\Run: [urlLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [mstk.exe] C:\WINDOWS\system32\mstk.exe

O4 - HKCU\..\Run: [sB Audigy 2 Startup Menu] /L:FRN

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Promise RAID message agent (RAIDmAgt) - Unknown owner - C:\Program Files\Promise\Utility\MsgAgt.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

 

Quelle est l'étape suivante ?

 

Pey

Lien vers le commentaire
Partager sur d’autres sites
BipBip07 Extrem Member

BipBip07

Posté(e)
Posté(e)

Ok tu as bien bossé. Pour ce qui est du scan antivirus il te faut passer par Internet explorer car Firefox n'accepte pas les activeX (seul le scan en ligne de trend micro utilise la technologie Java accessible par Firefox) mais les 2 plus performant en scan en ligne sont rav et panda.

 

Démarrer le logiciel HijackThis hijackthis_big.gif et lancer un scan "Do a system scan only".

Puis cocher les lignes suivantes (dans HijackThis):

 

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {87B9B006-3765-8006-D7C5-4C71568F43DA} - C:\WINDOWS\mshx.dll (file missing)

O4 - HKLM\..\Run: [mstk.exe] C:\WINDOWS\system32\mstk.exe

O4 - HKCU\..\Run: [sB Audigy 2 Startup Menu] /L:FRN

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

 

Redémarrer en mode sans echec (appuyer sur F8 ou F5 lors du démarrage)

 

Ensuite aller dans l’ Explorateur Windows et afficher tous les fichiers cachés:

Dans une fenêtre de l'explorateur Windows, cliquez sur le menu "Outils" et choisissez "Options des dossiers...".

Affichez l'onglet "Affichage" et sélectionnez l'option "Afficher les fichiers et dossiers cachés"

caches.gif

Cliquer sur « Appliquer ». Fermer la fenêtre d'options en cliquant "OK".

En image ici

 

et supprimer les fichiers ci dessous si ils sont présent :

 

C:\WINDOWS\mshx.dll

C:\WINDOWS\system32\mstk.exe

C\temp\ <-- supprimer tout le contenu du dossier

C:\windows\temp\ <-- supprimer tout le contenu du dossier

C:\Documents and settings\Tous les identifiants\application data\Sun\Java\Deployment\cache\javapi1.0\jar\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\ Tous les identifiants\Local Settings\Temporary Internet Files\ <-- supprimer tout le contenu du dossier

Fichier temporaire internet:

Démarrer/panneau de configuration/options internet

--> button supprimer cookies

--> button supprimer fichier temporaire internet

Fichiers temporaries : Démarrer/exécuter " CleanMgr "

Cocher tout sauf :

Compression des fichiers non utilisés

Fichiers catalogue d’indexation du contenu

/ OK / OUI

 

Dans l'Explorateur Windows recacher les fichiers systeme afin de ne pas faire d'erreur a l'avenir:

Retournez à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>.

 

Redemarrer normalement,

EWIDO

Télécharge, installe, mets à jour et exécute cet utilitaire.

http://www.ewido.net/en/download/

A la fin de son analyse, tu colles son rapport ici.

 

vas dans ma signature consignes de sécurité et nettois ton PC avec Adaware, Spybot, Easycleaner(registre uniquement), et Ccleaner

 

Puis reviens mettre un rapport Hijackthis smiley_520.gif

Lien vers le commentaire
Partager sur d’autres sites
Pey Member

Pey

Posté(e)
  • Auteur
Posté(e)

[quote name=BipBip07' date='mar...

 

Voici le résultat des courses :

 

Log Ewido sur scan rapide de la mémoire :

 

---------------------------------------------------------

ewido security suite - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 06:01:55, 31/08/2005

+ Somme de contrôle: B3587435

 

+ Résultats du scan:

 

HKLM\SOFTWARE\Classes\CLSID\{151272FB-2CD4-E387-93B1-F52B2911D0EE} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{2A6A2EFF-2FC6-683C-5911-BB1AC07E5964} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{2D9BB7B5-D27A-5907-A874-72E04FC719E8} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{338E88E9-D821-1C15-A00D-907AB980E988} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{47B70B6F-A6B0-230A-43C3-9F9B5C710209} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{4822A81B-A35C-81CA-4B1E-595C44DF3F5E} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{52CA0FCE-F9E0-2125-6CA6-2627141A47E9} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{67654C62-B847-D47B-7386-202E338F4761} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{67D02480-710B-80D7-0624-27BB57B32CDE} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{821C8BB3-C516-BEE5-C6A4-ECF0D92BF426} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{822904F6-6515-F4CA-FCA6-3DD79347C0E0} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{826D0369-102B-4A44-F27B-D9DCC50A8EE6} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{88289CAD-8761-B286-1697-48C2E3A53747} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{8A0FEDBB-3762-AEB7-E85E-6BCC16F76759} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{97E37285-B9D3-035E-821F-3EBE4F849C3D} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{B36D5282-D413-F545-CF79-A6CE970CFEBB} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{B6233EB3-872F-7898-F4A8-3F6A3BAA6D57} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{C75B8795-6012-883F-06EE-5F1501763CFE} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{D7B5394E-D013-3545-35D0-45376236A8DC} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{DD25AEF3-3DC7-625D-F3C6-DE10B7C6BF82} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{E65FC41A-89B3-21B7-1EB6-E92DA3645370} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{E8A06DEA-6626-407D-5720-FE211C989AC1} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{EAC3A0EF-0931-C087-DD54-10E2CE664097} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\Interface\{890089B7-B385-442F-97B6-99060E8BD08F} -> Spyware.FlashTrack : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\TypeLib\{48E832EC-B061-49E2-BBC1-AC818623B742} -> Spyware.FlashTrack : Nettoyer et sauvegarder

HKU\S-1-5-21-2539241879-1679846765-4003978339-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{822904F6-6515-F4CA-FCA6-3DD79347C0E0} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder

HKU\S-1-5-21-2539241879-1679846765-4003978339-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B7C06F7A-7E5B-8248-7CE7-E61C97F1037E} -> Spyware.MidAddle : Nettoyer et sauvegarder

C:\WINDOWS\FeAnim.ini:encnq -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder

C:\WINDOWS\FeAnim.ini:ipcvs -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder

C:\WINDOWS\FeAnim.ini:uzrtd -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder

C:\WINDOWS\MsgAgt.INI:ycxeu -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder

C:\WINDOWS\smscfg.ini:nxqgb -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder

C:\WINDOWS\smscfg.ini:qujnj -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder

C:\WINDOWS\smscfg.ini:xobbu -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder

C:\WINDOWS\SYSINI.QTW:fbpjj -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder

C:\WINDOWS\SYSINI.QTW:niqta -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder

C:\WINDOWS\SYSINI.QTW:nkfule -> Trojan.Agent.bi : Nettoyer et sauvegarder

C:\WINDOWS\SYSINI.QTW:zjugv -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder

C:\WINDOWS\winamp.ini:nzeea -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder

C:\WINDOWS\winamp.ini:rvfrwj -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder

C:\WINDOWS\WININI.QTW:whvfs -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Adaware : Rien trouvé

 

Spybot : Rien trouvé (il y avait longtemps que ça n'était pas arrivé ! )

 

Easy Cleaner : 816 entrées caduques : Dois-je les supprimer ????

 

Ccleaner : j'ai passé l'analyse et le nettoyeur mais dois-je procéder à l'analyse des erreurs et à leur correction ?? je ne l'ai pas fait de crainte d'une restauration de saletés...

 

Rapport HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 06:37:46, on 31/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\WINDOWS\System32\DSentry.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe

C:\WINDOWS\System32\LVComS.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Program Files\Promise\Utility\MsgAgt.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Documents and Settings\Pierre\Mes documents\PROGRAMMES\Logiciels anti spyware\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe

O4 - HKLM\..\Run: [urlLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKCU\..\Run: [sB Audigy 2 Startup Menu] /L:FRN

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Promise RAID message agent (RAIDmAgt) - Unknown owner - C:\Program Files\Promise\Utility\MsgAgt.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

 

Voila.

 

Où en est-on ????

 

A bientôt

 

Pey

Lien vers le commentaire
Partager sur d’autres sites
BipBip07 Extrem Member

BipBip07

Posté(e)
Posté(e)

Bravo tu as fait du bon boulot :-P

 

1- Ton rapport Hijacthis est désormais propre.

2- Tu peux désinstaller Ewido (via ajout&suppression des programmes) car il n'est gratuit que 30 jours je crois de mémoire.

3- Nous allons supprimer tout tes points de restauration maintenant que ton PC est propre afin de finir le nettoyage.

 

A/supprimer la restauration système: ( aide visuelle ):

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquez sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui.

Cliquez sur OK, redémarrer votre PC

 

Redémarre.

 

B/Remettre la restauration système:

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Désélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs».

Cliquez sur Appliquer puis sur OK. Redémarre.

 

4-Easycleaner (ne jamais utiliser la fonction doublon sans etre un expert):

fonction "registre" lance le scan et selection uniquement les clés inutiles trouvées précédées d'un rond vert et&ou orange (laisse les rouges de coté).

 

5- Ccleaner:

onglet "windows": coches toutes les cases > analyse > nettoyage

onglet "Application": coches toutes les cases > analyse > nettoyage

onglet "resultat" (integrité du registre) coche toutes les cases > analyse > corriger les erreurs (en automatique) et faire une sauvegarde des corrections.

 

6- Normalement (a 99%) tu ne devrais pas avoir de soucis de Registre par la suite. En cas de soucis (ce qui m'étonnerais fortement car je le fait régulierement comme de nombre zébulonnien :P ) tu pourrais restaurer via Easycleaner les clés supprimées (option "rétablir") et&ou une restauration systeme (facile a faire) voici la procédure si tu ne connait pas pour XP/Me

 

7- Je note qu tu n'as pas fixé les lignes d'optimisation (programmes inutile au démarrage du PC) de base de ton PC ci-dessous:

O4 - HKCU\..\Run: [sB Audigy 2 Startup Menu] /L:FRN

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

Si tu souhaite tu peux les fixer avec HJT ton PC ne s'en portera que mieux.

 

Et si tu désire optimiser celui ci créer un nouveau sujet appellé optimisation PC et en sous tire stp Tesgaz :P en y déposant un rapport HJT et le rapport de tout les services démarrés issu démarrer > exécuter > taper "cmd" -> tapez "net start"

copier/coller dans le bloc note ou direct sur le post.

 

8-Soit plus prudent a l'avenir pour ne pas te faire réinfecter et lis:

- Lutte AntiMalware -prévention de ipl_001

- Lutte AntiMalware -nettoyage de ipl_001

 

A+

Lien vers le commentaire
Partager sur d’autres sites
Pey Member

Pey

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

 

Tout d'abord un grand merci pour ton aide précieuse...

 

Maintenant je souhaite ré-activer Norton Internet security or le système me dit que je n'ai pas les privilèges requis (superviseur) ; Comment faire ??

 

Pey

Lien vers le commentaire
Partager sur d’autres sites
BipBip07 Extrem Member

BipBip07

Posté(e)
Posté(e) (modifié)

Je ne connais pas Norton Internet security ! Pourquoi l'as tu stopper ? Est ce toi qui l'a installé ? Est tu administrateur ? As tu essayé de le réinstaller ?

 

NB: en cas ou tu souhaites aller vers un gratuit, out le nécéssaire dans ma signature "consignes de sécurité".

Modifié par BipBip07
Lien vers le commentaire
Partager sur d’autres sites
liamneil Member

liamneil

Posté(e)
Posté(e)

Salut Pey

 

Bonsoir,

 

Tout d'abord un grand merci pour ton aide précieuse...

 

Maintenant je souhaite ré-activer Norton Internet security or le système me dit que je n'ai pas les privilèges requis (superviseur) ; Comment faire ??

 

Pey

562962[/snapback]

 

 

Tu peux essayer de cliquer sur le lien ci-contre :

 

Service Symantec

 

Amicalement

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...