Nettoyage du PC

[Jul]

Bonjour à tous,

 

Je tiens avant tout à vous féliciter pour la qualité des informations que vous donner. Je ne suis qu'un simple utilisateur et trouve beaucoup d'infos géniales sur votre site.

 

Je fais régulièrement tourné Norton (avec licence), AdAware et Spybot et il éliminent pas mal de choses, ainsi que les MAJ WindowsUpdate.

 

J'ai suivi votre procédure pour l'emission d'un rapport HijackThis. Merci pour votre analyse sur son contenu.

 

PS : En lancant Antivir, il m'a semblé qu'il a détecté et supprimé des malware qui n'avaient pas été identifiés par Norton et les autres.

 

Rapport HijackThis :

-------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 14:45:05, on 23/09/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe

O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe

O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe

O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [vptray] C:\Program Files\Norton AntiVirus\vptray.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe

O4 - HKLM\..\Run: [McAfeeWebScanX] C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\WebScanX.Exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sp2Protect] C:\WINDOWS\SYSTEM\sp2protect.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [Media Pass] C:\PROGRAM FILES\MEDIA PASS\MediaPassK.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe

O4 - HKLM\..\RunServices: [rtvscn95] C:\Program Files\Norton AntiVirus\rtvscn95.exe

O4 - HKLM\..\RunServices: [defwatch] C:\Program Files\Norton AntiVirus\defwatch.exe

O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: Recherche &Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Pages similaires - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Pages liées - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {297F2B65-017C-11D5-A128-00D0B7869AD6} (SpectorPhotoUploader Control) - http://www.extrafilm.fr/fr/maxisafe/upload/SPU.cab

O16 - DPF: {6F6E3A5E-4A75-45F0-BDDE-21B6C4496E2B} (LAInstaller Class) - http://www.cantoche.com/test/LAinstall.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://floridakeysmedia.tv/axiscam/Codebas...sCamControl.ocx

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab

O16 - DPF: {31C766ED-EAB7-400B-A861-86EB4001F491} (NTR ActiveX 1.1.4) - http://www.inquiero.com/inquiero/mod/setup...ctivex114_9.cab

-------------------------------------------------------------------

 

Bravo encore pour votre super infos, des amis qui bossent dans l'informatique, ne jurent que par Zebulon.

A bientôt

Jul

[BipBip07]

Salut,

moi j'y connait rien en info mais en HJT oui ihih et ton rapport est infecté !

 

 

Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only".

Puis cocher les lignes suivantes (dans HijackThis):

 

 

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sp2Protect] C:\WINDOWS\SYSTEM\sp2protect.exe

O4 - HKLM\..\Run: [Media Pass] C:\PROGRAM FILES\MEDIA PASS\MediaPassK.exe

O16 - DPF: {297F2B65-017C-11D5-A128-00D0B7869AD6} (SpectorPhotoUploader Control) - http://www.extrafilm.fr/fr/maxisafe/upload/SPU.cab

O16 - DPF: {6F6E3A5E-4A75-45F0-BDDE-21B6C4496E2B} (LAInstaller Class) - http://www.cantoche.com/test/LAinstall.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://floridakeysmedia.tv/axiscam/Codebas...sCamControl.ocx

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab

O16 - DPF: {31C766ED-EAB7-400B-A861-86EB4001F491} (NTR ActiveX 1.1.4) - http://www.inquiero.com/inquiero/mod/setup...ctivex114_9.cab

 

 

Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

 

Redémarrer en mode sans echec (appuyer sur F8 ou F5 lors du démarrage)

 

Ensuite aller dans l’ Explorateur Windows et supprimer les fichiers ci dessous si ils sont présent :

 

C:\WINDOWS\SYSTEM\sp2protect.exe

C:\PROGRAM FILES\MEDIA PASS\

C:\PROGRAM FILES\Media Gateway\

C:\PROGRAM FILES\Media Access\

C\temp\ <-- supprimer tout le contenu du dossier

C:\windows\temp\ <-- supprimer tout le contenu du dossier

C:\windows\Downloaded Program Files\ <-- supprimer tout le contenu du dossier

C:\Documents and settings\Tous les identifiants\application data\Sun\Java\Deployment\cache\javapi1.0\jar\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\ Tous les identifiants\Local Settings\Temporary Internet Files\ <-- supprimer tout le contenu du dossier

 

EWIDO

Télécharge, installe, mets à jour et exécute cet utilitaire.

http://www.ewido.net/en/download/

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer avec le dernier rapport HijackThis

NB: pense a désinstaller Ewido quand ton rapport sera propre car il est payant aprés 30jours.

 

NB: il te faudra choisir entre Norton et Antivir car tu ne doit pas conserver 2 antivirus.

[Jul]

Ok, je lance ces manips et renvoie le rapport.

 

Ewido, il fait quoi au juste.

 

@ toute

Jul

[BipBip07]

Ewido, il fait quoi au juste.

Tu vera

[ipl_001]

Bonsoir Jul, BipBip, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

Ok, je lance ces manips et renvoie le rapport.

 

Ewido, il fait quoi au juste.

 

@ toute

Jul

577012[/snapback]

taquin BipBip aujourd'hui !

 

Ewido est un très bon logiciel capable de détecter et d'éliminer des virus, des spywares, vers, etc.

Il est en essai (fonctionnalités pleines) durant 14 jours et au-dela, la version free perd la mise à jour automatique !

[Jul]

Ewido est pour W2000 ou XP, j'ai un système en W98SE !

[Thanos]

salut jul

 

Exact ca ne fonctionne pas sous win98! Essaie ceci:

Faire un scan en ligne chez Ravantivirus(mettre un fausse adresse email ou une adresse hotmail):

http://www.ravantivirus.com/scan/

jusqu'à ce que "ready to scan" apparaisse

cela doit se présenter comme ceci http://img272.echo.cx/img272/7830/rav0gh.jpg

Tu cliques ensuite sur "scan my pc" (étape 3 de l'image)

A la fin du scan, qui peut prendre un certain temps, tu copies et colles le rapport ici.

Par Bipbip.

[BipBip07]

Salut charles ingals,

merci pour la citation mais j'ai surement emprunté certaines parties sur sur le web pour faire ce message donc pas la peine de me citer

Bonne continuation et courrage avec tout ces PC infectés

Nb: Si tu réutilises des parties de mes "dire" ne me cite pas stp

[Thanos]

salut Bipbip

 

Rendons à Caesar... Ok ca marche,je ferais comme si ca venait de moi

Modifié le 23 septembre 2005 par charles ingals

[Jul]

Bonjour,

 

Ds le style "les pannes d'ordinateurs ne respectent même pas le we" (!), celui de Jul "fait un coup de calcaire" pour l'instant, donc je suis son porte-parole ds cette discussion (vous pouvez m'appeler Mutti!).

 

Merci pour vos réponses. Jul en est au point suivant :

1) Suite au recommandations ci-dessus de BipBip07, il a coché les (10) lignes indiquées ds HijackThis, cliqué sur Fix checked.

2) Au redémarrage en mode Sans Echec, message "Explorer va être arrêté car opération non conforme (à 0167:000402541)". La souris fonctionne mais l'écran n'affiche que le fond. Possibilité d'arrêter avec Alt-Ctrl-Supp. A priori pas d'autre action possible.

3) Même problème en démarrage mode normal.

4) Démarrage en Dos fonctionne (c'est déjà ça!).

 

Vous avez sans doute une recette miracle ds un fond de tiroir, histoire de remettre cet Explorer en piste... (Win 98SE, avec les update de Windows à jour).

 

PS : deux petites remarques perso :

- je consulte moi aussi régulièrement votre site ces temps-ci. Bravo pour la richesse des infos (ex rubrique Les articles) et la qualité de votre forum,

- pour info (à BipBip07) : la dernière ligne de HijackThis que vous avez fait cocher à Jul, n'a rien d'un malware, c'est un ActiveX installé pour utilisation de Inquiero (voir éventuellement sur www.inquiero.com, si cela vous intéresse).

 

Ds l'attente d'infos sur le problème de Explorer... cordialement à vous tous et merci d'avance.