Demande d'analyse de rapport HijackThis

[vld]

Bonsoir vld, Pollux_63, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Je vais fusionner les 2 discussions !

vld, aujourd'hui, on peut retrouver assez facilement ta première discussion... qu'en sera-t-il dans 5 mois ?

Un forum est également destiné à aider les internautes recherchant des problèmes semblables aux leurs !

 

 

Bonsoir IPL_001,

Merci de la bienvenue et désolé pour les 2 discussions séparées, c'est ma première expérience sur ce genre de forum....

 

re,

 

(Dans un premier temps, imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pourvoir les consultés en mode sans échec)

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

 

R3 - Default URLSearchHook is missing

 

O2 - BHO: IRiras Class - {95C60327-8E17-44D6-98EB-7EB70CC606DD} - C:\WINDOWS\System32\irasbino.dll

 

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe

O4 - HKCU\..\Run: [irassync] C:\WINDOWS\System32\irasyncd.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

 

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm414YYBE

 

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

 

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...e/bridge-c2.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

 

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

6/ Supprime les fichiers incriminés (s'ils existent encore) par l'Explorateur Windows :

 

- C:\WINDOWS\System32\irasbino.dll <-- le fichier (Attention, il est possible qu'il change de nom, mais son nom est de la forme iras****.dll) (*=caractère aléatoire)

- C:\WINDOWS\System32\irasyncd.exe <-- le fichier

 

7/ Renomme le fichier suivant (si dans 4/5 jours, tout fonctionne correctement tu pourra le supprimer):

 

- C:\WINDOWS\System32\DrvMon.exe renomme le en C:\WINDOWS\System32\DrvMon-exe.anc

 

8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". Dans les deux cas, supprime tous ce qu'il te propose.

 

9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

10/ As-tu toujours des dysfonctionnements?

 

PS: A présent tu as 2 antivirus, pense à en désintaller un des deux.

 

 

Bonsoir Pollux_63,

 

Ton protocole s'est très bien déroulé, voici le nouveau rapport HijackThis...j'attends un peu en connexion pour voir si les messages apparaissent encore, mais jusqu'à présent, rien.

J'ai exécuté easycleaner qui m'a trouvé plus de 100.000 fichiers inutiles! faut-il vraiment les détruire manuellement dans explorer? la majorité se trouve dans les temporary internet files/content.IE5.Puis-je détruire tout le contenu de ce répertoire sans danger?

 

En tous cas, encore un grand merci, vous êtes aussi rapides qu'efficaces...les "médecins sans frontières du Net". Bravo pour l'esprit et l'efficacité

 

Logfile of HijackThis v1.99.1

Scan saved at 0:50:59, on 20/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.skynet.be

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0 -chkss

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O14 - IERESET.INF: START_PAGE_URL=http://www.skynet.be

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = skynet.be

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = skynet.be

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = skynet.be

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: KLBLMain - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

 

Bonsoir IPL_001,

Merci de la bienvenue et désolé pour les 2 discussions séparées, c'est ma première expérience sur ce genre de forum....

Bonsoir Pollux_63,

 

Ton protocole s'est très bien déroulé, voici le nouveau rapport HijackThis...j'attends un peu en connexion pour voir si les messages apparaissent encore, mais jusqu'à présent, rien.

J'ai exécuté easycleaner qui m'a trouvé plus de 100.000 fichiers inutiles! faut-il vraiment les détruire manuellement dans explorer? la majorité se trouve dans les temporary internet files/content.IE5.Puis-je détruire tout le contenu de ce répertoire sans danger?

 

En tous cas, encore un grand merci, vous êtes aussi rapides qu'efficaces...les "médecins sans frontières du Net". Bravo pour l'esprit et l'efficacité

 

Logfile of HijackThis v1.99.1

Scan saved at 0:50:59, on 20/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.skynet.be

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0 -chkss

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O14 - IERESET.INF: START_PAGE_URL=http://www.skynet.be

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = skynet.be

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = skynet.be

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = skynet.be

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: KLBLMain - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

Oups, j'ai crié victoire trop vite, ces messages d'alerte recommencent de plus belle.

Y a-t-il encore quelque chose à faire?

Belle nuit

[ipl_001]

Pas de problème vld !

[vld]

Bonjour,

comme les corrections du raport Hijackthis n'ont pas stoppé l'apparition de messages d'alerte, j'ai lu dans d'autres sujets que vous conseillez une analyse "Panda ActiveScan".

Celle-ci m'a trouvé deux programmes espions :

Adware WUpd dans le registre de Windows

et Adware Flashtrack dans le "Content IE5 des Temporary internet Files (Local settings)

 

Un "nettoyeur" pourrait-il me conseiller ?

Merci de vos propositions

[Thanos]

salut vld ,ipl, Pollux

 

Vide le contenu du dossier suivant:Content IE5 des Temporary internet Files

 

Par ailleurs , fais ceci pour bien nettoyer=>

 

-Télécharge Clean Up 40 (et installe le dans un répertoire à lui):

http://www.stevengould.org/software/cleanup/

 

-Ouvre CleanUp40 et vas sur "clean up custom" et assure toi que seules ces cases sont cochées:

 

* Empty Recycle Bins

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

 

Puis lance le scan(cleanup)

 

-aide en image:(merci a Balltrap34)

http://pageperso.aol.fr/balltrap34/democleanup.htm

 

Pour "Adware WUpd",il a été détecté dans le registre!Fais ceci:

 

Étape 1:

Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

 

Étape 2:

Voici comment mettre l'outil à jour :

 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

 

Ne pas lancer le scan tout de suite !

 

Étape 3:

Redémarre en mode Sans Échec

 

 

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

 

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

[vld]

salut vld ,ipl, Pollux

 

Vide le contenu du dossier suivant:Content IE5 des Temporary internet Files

 

Par ailleurs , fais ceci pour bien nettoyer=>

 

-Télécharge Clean Up 40 (et installe le dans un répertoire à lui):

http://www.stevengould.org/software/cleanup/

 

-Ouvre CleanUp40 et vas sur "clean up custom" et assure toi que seules ces cases sont cochées:

 

* Empty Recycle Bins

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

 

Puis lance le scan(cleanup)

 

-aide en image:(merci a Balltrap34)

http://pageperso.aol.fr/balltrap34/democleanup.htm

 

Pour "Adware WUpd",il a été détecté dans le registre!Fais ceci:

 

Étape 1:

Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

 

Étape 2:

Voici comment mettre l'outil à jour :

 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

 

Ne pas lancer le scan tout de suite !

 

Étape 3:

Redémarre en mode Sans Échec

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

 

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

 

Bonjour charles ingals,

Merci pour la procédure, je l'effectue et poste les résultats

[vld]

Bonsoir les magiciens,

Voici les résultats de la procédure recommandée par Charles Ingals, j'ai lancé Clean up 40 puis eScan Antivirus Toolkit . Il ne parle pas de Wupd (qui est toujours très actif dans l'apparition de messages d'erreurs) mais d'un nouveau : Safe Surfing.

Merci de vos propositions pour la suite

 

File C:\Program Files\Hijackthis Version Française\backups\backup-20051219-232148-462.dll tagged as not-a-virus:AdWare.Win32.SafeSurfing.r. No Action Taken.

[Thanos]

salut vld

 

Wupd est certainement responsable des alertes et pop ups que tu reçois.

On va tenter de le traquer dans la base de registre!Pour le faire ,on va utiliser cet utilitaire pour faire des recherches:Regsearch

 

Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle Winad Client dans la première ligne de la zone de recherche

- rien dans la deuxième ligne de la zone de recherche

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

Tu vas faire la même manipulation avec l'élément suivant (toujours à copier/coller dans la première ligne de la zone de recherche):

 

WindUpdates

 

Le virus détecté par eScan Antivirus Toolkit n'est en fait qu'une sauvegarde effectuée par hijackthis:

 

Vas dans ce dossier et élimine le fichier en gras=>

 

C:\Program Files\Hijackthis Version Française\backups\backup-20051219-232148-462.dll

 

Petite question:il est ou ton parefeu?? Si tu n'en as pas c'est suicidaire!=>

 

installe d'urgence un parefeu!!! sinon toute désinfection est inutile:

 

-zone alarm: http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

 

-son tutorial: http://www.zebulon.fr/articles/configurationZA_1.php

 

Tiens moi au courant!

Modifié le 21 décembre 2005 par charles ingals

[vld]

Bonjour charles ingals,

Merci pour ta réponse, je lance les recherches proposées. Pour mon pare-feu, mon fournisseur d'accès (Belgacom Skynet, l'équivalent de wanadoo en Belgique) m'a recommandé de désactiver celui de windows qui fait concurrence au leur. dois-je vraiment en installer un personnel ?

Sans réponse hier soir, j'ai lu les autres posts et vu que vous recommandiez souvent de scanner avec ewido, ce que j'ai fait en mode sans échec. Il m'a trouvé Safe surfing et 5 autres, dont le back-up dont tu parles.

Voici son rapport

A bientôt

 

 

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 2:34:24, 21/12/2005

+ Somme de contrôle: D28698A8

 

+ Résultats du scan:

 

C:\Program Files\Hijackthis Version Française\backups\backup-20051219-232148-462.dll -> Spyware.SafeSurfing : Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1065543706-67682326-3153008980-1005\Dc1478.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1065543706-67682326-3153008980-1005\Dc1480.txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1065543706-67682326-3153008980-1005\Dc1487.txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1065543706-67682326-3153008980-1005\Dc1493.txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\UWFX5V_0001_N57M1212NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\system32\rastmon.dll -> Spyware.SafeSurfing : Nettoyer et sauvegarder

 

 

::Fin du rapport

[vld]

Help....

Pas moyen de lancer la recherche avec regsearch : après avoir copier/coller Winad client dans la première ligne, il reste bloqué sur "initializing work". Le task manager me le signale alors comme "pas de réponse".

J'ai essayé trois fois avec le même résultat

[Thanos]

salut vld

 

Tu as bien fait de passer Ewido, je voulaiste demander de l'utiliser par la suite(comme souvent!).

 

Il a détecté un fichier infecté dans C:\WINDOWS\system32 que eScan Antivirus Toolkit n'avait pas vu, une

 

bonne chose!C'est quoi le parefeu de ton FAI?

 

Je lirai ta réponse ce soir,je pars bosser

 

€dit: s tu essayé de faire la recherhce avec Regsearch en mode sans échec pour voir?,sinon on trouvera un autre moyen!

Modifié le 21 décembre 2005 par charles ingals