Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonjour, j'ai un soucis je pense que mon pc est infected.

J'ai suivi la procedure pré-nettoyage et je poste donc le rapport fait en mode sans echec.

Merci d'avance

 

 

Logfile of HijackThis v1.99.1

Scan saved at 23:48:29, on 05/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\nGo\Bureau\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [eqah0PSe] C:\WINDOWS\mbyvyogj.exe

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [bullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe

O4 - HKLM\..\Run: [13e9cp6o] C:\WINDOWS\System32\13e9cp6o.exe

O4 - HKLM\..\Run: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\Run: [NI.UWFX5V_0001_0802] "C:\WINDOWS\Downloaded Program Files\UWFX5V_0001_0802NetInstaller.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunServices: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\RunOnce: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1125943981066

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: telecable - Unknown owner - C:\WINDOWS\telecable.exe

Posté(e)

Bonsoir nGo

 

Oui je confirme tu es infecté.

Laisse moi un petit moment j analyse ton rapport. Réponse dans un moment.

Posté(e) (modifié)

Re :P

 

1) télécharge et installe EasyCleaner

 

2) Redémarre en mode sans échec

 

3 ) Vérifie d'avoir accès à tous les fichiers en suivant cette procédure :

"Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer"

 

4) Désinstalle via "panneau de configuration""suppression de programmes" les logiciels suivant s ils s y trouvent :

-BullsEye Network

-SideFind

-YourSiteBar

-ISTsvc

-SurfAccuracy

5) Refais un scan Hijackthis

 

6) Fixe ces lignes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll

 

O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll

 

 

O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [eqah0PSe] C:\WINDOWS\mbyvyogj.exe

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

 

O4 - HKLM\..\Run: [13e9cp6o] C:\WINDOWS\System32\13e9cp6o.exe

O4 - HKLM\..\Run: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\Run: [NI.UWFX5V_0001_0802] "C:\WINDOWS\Downloaded Program Files\UWFX5V_0001_0802NetInstaller.exe"

 

O4 - HKLM\..\RunServices: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\RunOnce: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1125943981066

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

 

7) Effaces les fichiers et dossiers incrimés s ils existent encore :

-C:\WINDOWS\nem220.dll

-C:\Program Files\SideFind\sfbho.dll

-C:\WINDOWS\System32\msbe.dll

-C:\Program Files\YourSiteBar\ysb.dll

-C:\Program Files\ISTsvc\istsvc.exe

C:\WINDOWS\mbyvyogj.exe

-C:\Program Files\SurfAccuracy\SAcc.exe

-C:\Program Files\BullsEye Network\bin\bargains.exe

-C:\WINDOWS\System32\13e9cp6o.exe

- csrssrs.exe <=== certainement dans "system32"

- C:\Program Files\SideFind\sidefind.dll

 

Utilise l explorateur de windows pour les trouver ou la focntion recherchée via "démarrer ""rechercher"

 

8/ Nettoie ton systeme avec Easycleaner. Nettoyage des fichiers inutiles et de la base de registre. Ne pas utiliser la fonction doublons

 

9) Redémarre en mode normal et fais un nouveau scan hijackthis et colle le rapport ici

Modifié par Jack_Burton
Posté(e) (modifié)

Je viens de remarquer que ce sont tes premiers messages sur ce forum. Alors je te souhaite la bienvenu sur le forum sécurité de zébulon nGo :P

Modifié par Jack_Burton
Posté(e) (modifié)

Je te rajoute des lignes a fixer sur ton rapport.

1) Redémarre en mode sans échec

 

2) Désinstalle via "panneau de configuration" "suppression de programmes" :

-Internet Optimizer

-Power Scan

 

3) Fais a nouveau un scan hijackthis

 

4) Fixe ces lignes :

 

O4 - HKLM\..\Run: [internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe

 

5/ Supprime les dossiers incrimés dans "Program Files" s ils existent encore

 

6) Redémarre en mode normal

 

7) refais un scan hijackthis et colle le rapport ici pour vérifier

 

Edit : je suis désolé de ne pas l avoir vu avant (, je commence a fatigué et mes yeux se ferment tous seuls :P )

Modifié par Jack_Burton
Posté(e)

Voilas ca y est j' ai suivi la procedure je poste donc mon nouveau raport

 

 

Logfile of HijackThis v1.99.1

Scan saved at 01:10:48, on 06/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\nGo\Bureau\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

Posté(e) (modifié)

Tu as bien pris en compte les 2 lignes que j ai rajouter dans un second message?

 

Ton dernier rapport a été fais en mode sans échec ( si c est le cas fais moi s en un en mode normal s il te plait)??? Je pensais pas que je l avais réduis a ce point :P Il est encore plus petit que le mien et celui de Tesgaz :P

Modifié par Jack_Burton
Posté(e)

Effectivement mon dernier rapport n avais pas ete fais en mode sans echec

je le re post douc ici

 

Logfile of HijackThis v1.99.1

Scan saved at 01:23:26, on 06/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\nGo\Bureau\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\RunServices: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\RunOnce: [Win32 Csrss Service For Windows] csrssrs.exe

 

 

Oui j avais bien pris en compte les lignes rajouté

je dois rajouter qu'il n'y a aucun programme installer sur mon pc ce qui explique la courte liste :P

Posté(e)

Bon il reste encore le fichier " csrssrs.exe" a supprimer. Tu ne l as pas supprimer tout a l heure?

 

1) Redémarre en mode sans échec

 

2/ Vérifie d'avoir accès à tous les fichiers en suivant cette procédure :

"Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer"

 

3) Tu lances un nouveau scan Hijackthis tu fixes ces lignes si elles apparaissent :

 

O4 - HKLM\..\Run: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\RunServices: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\RunOnce: [Win32 Csrss Service For Windows] csrssrs.exe

 

4) Ensuite tu cherches ce fichier "csrssrs.exe" via "démarrer" et "rechercher" et tu le supprimes... probablement dans C:\Windows\System32 (attention de ne pas te tromper de fichier ; il y a des noms qui se ressemblent)

 

5) redémarre en mode normal et fais un nouveau scan ( en mode normal !!! :P )

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...