Demande d'analyse de rapport HijackThis

[Thanos]

salut vld

 

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 et une ligne vierge aprés la derniere ligne) :

 

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9C691A33-7DDA-4C2F-BE4C-C176083F35CF}]

 

-Enregistrer ce fichier dans : Bureau

-Nom du fichier : remove reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes

 

-Redémarre en mode sans échec.

 

-Clique sur le fichier reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.

 

-Redémarre et télécharge ceci:FindQoologic.zip de substram sur le bureau=>

 

http://downloads.subratam.org/Find-Qoologic.zip

 

Dézippe le dans un dossier.Ouvre le dossier et double clique sur le fichier Find-Qoologic.bat ,une

 

fenêtre DOS va s'ouvrir et le scan va démarrer.Patiente! à la fin du scan, poste le rapport qui a été généré.

[vld]

Bonjour Charles,

J'ai suivi ta procédure, sauvé le fichier remove reg "tous les fichiers", mais il apparaît sur mon bureau comme "remove reg.txt".

Quand je l'ouvre en safe mode, le fichier s'ouvre mais rien ne se passe (en tous cas pas la demande de fusion mentionnée)

 

Sorry, je dois partir bosser, je lirai ta réponse ce soir

Bien à toi

[Thanos]

salut vld

 

Petite erreur de ma part!Désolé!Pour que le fichier reg fonctionne,il faut aller en haut a gauche dans l'onglet"Fichier",puis tu fais =>Enregistrer=> sélectionne" Bureau"=>tout en bas dans le champs"Nom du fichier "tu tapes remove.reg(j'ai oublié le point entre remove et reg!)=>dans "Type"tout en bas",tu cliques sur"tous les fichiers"=>tu clique sur le menu "Fichier" en haut à gauche et tu cliques sur"Enregistrer".

Là,lorsque tu fermes le fichier,il doit avoir une icone différente:celle d'un cube:Redémarre en mode sans échec.

Clique sur le fichier reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.

 

Voilà,excuse le bugge:à plus tard pour la suite et joyeux Noel

[vld]

Bonjour charles,

Voilà, j'ai ouvert remove.reg en safe mode, il ne m'a pas parlé de fusion mais de rajouter dans le registre, j'ai accepté et il m'a dit que les lignes avaient été rajoutées.

Le scan de find-Qoologic a pris 2 secondes, voici le rapport :

 

Check for missing files

.....

C:\WINDOWS\system32\AUTOEXEC.NT not there

.....

End check for missing files

.....

VXD Check

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers]

"VDD"=hex(7):00

.....

End vxd check

Please post this in the forum

 

A plus tard, merci pour ton accompagnement aussi agréable qu'efficace, je te souhaite un super Noël sans analyses, virus et autres monstres cachés.

[Thanos]

salut vld

 

Il faut s'assurer que Wupd a disparu!! Je sais le scan Panda est long mais efficace!lance le et poste le rapport.

 

Qoologic n'est pas là visiblement,tant mieux!

 

un super Noël à toi aussi vld,et plein de bonnes choses pour la suite

[vld]

Bonjour charles, merci pour tes voeux,

Décidément résistante la bête, Panda me signale toujours Wupd dans le registre de Windows.

Bien à toi

[Thanos]

salut vld

 

On va faire scanner ton pc par Spysweeper,pour finir le nettoyage:

 

Télécharge SpySweeper (de Webroot) ICI (version d'essai - 14 jours):

• Installe le programme. Une fois installé, il se lancera.
  
• L'option de le mettre à jour s'affichera; clic Yes.
  
• Lorsque les mises à jour seront installées, clic Options sur la gauche.
  
• Clic sur l'onglet Sweep Options.
  
• Sous What to Sweep, coche les options suivantes:
  • 
    
  • Sweep Memory
    
  • Sweep Registry
    
  • Sweep Cookies
    
  • Sweep All User Accounts
    
  • Enable Direct Disk Sweeping
    
  • Sweep Contents of Compressed Files
    
  • Sweep for Rootkits
    
  • DÉCOCHE Do not Sweep System Restore Folder.
    

  [*]Clic Sweep Now sur la gauche.

  [*]Clic sur Start.

  [*]Quand le scan est terminé, clic sur Next.

  [*]Assure-toi que tous les items sont cochés, puis clic sur Next.

  [*]Tous les items cochés seront éliminés.

  [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.

  [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.

  [*]Clic sur l'onglet Summary, puis clic sur Finish.

  [*]Colle le contenu du "Session Log" dans ta prochaine réponse.

@+tard

[vld]

Bonjour Charles,

Voici le rapport de spysweeper, encore quelques adware trouvés, mais il ne parle pas de Wupd...

 

 

********

1:04: | Début de session, lundi 26 décembre 2005 |

1:04: Spy Sweeper démarrée

1:04: Analyse lancée avec la version des définitions 589

1:04: Démarrage de l’analyse de la mémoire

1:09: Analyse de la mémoire terminée, temps passé : 00:04:47

1:09: Démarrage de l’analyse du Registre

1:09: Trouvé Adware: screensavers

1:09: HKLM\software\screensavers.com\ (10 traces secondaires) (ID = 140569)

1:09: Trouvé Adware: winad

1:09: HKLM\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/mediaaccx.dll\ (2 traces secondaires) (ID = 147191)

1:10: Analyse du Registre terminée, temps passé :00:00:45

1:10: Démarrage de l’analyse des cookies

1:10: Trouvé Spy Cookie: adtech cookie

1:10: eric@adtech[2].txt (ID = 2155)

1:10: Trouvé Spy Cookie: adultfriendfinder cookie

1:10: eric@adultfriendfinder[1].txt (ID = 2165)

1:10: Trouvé Spy Cookie: bluestreak cookie

1:10: eric@bluestreak[1].txt (ID = 2314)

1:10: Trouvé Spy Cookie: fe.lea.lycos.com cookie

1:10: [email protected][1].txt (ID = 2660)

1:10: Trouvé Spy Cookie: metriweb.be cookie

1:10: eric@metriweb[1].txt (ID = 2992)

1:10: Trouvé Spy Cookie: xiti cookie

1:10: eric@xiti[1].txt (ID = 3717)

1:10: Analyse des cookies terminée, temps passé : 00:00:01

1:10: Démarrage de l’analyse des fichiers

1:14: Trouvé Adware: safesurf

1:14: a0481679.exe (ID = 187013)

1:16: a0485304.exe (ID = 187013)

1:19: a0485700.exe (ID = 187013)

2:39: Trouvé Adware: webhancer

2:39: ntsautodial.ini (ID = 188794)

2:39: a0477867.ini (ID = 188794)

10:53: Analyse annulée

11:17: Analyse des fichiers terminée, temps passé : 10:06:56

11:17: Traces trouvées : 25

11:21: Processus de suppression lancé.

11:21: Mise en quarantaine de toutes les traces : winad

11:21: Mise en quarantaine de toutes les traces : safesurf

11:21: Mise en quarantaine de toutes les traces : screensavers

11:21: Mise en quarantaine de toutes les traces : webhancer

11:21: Mise en quarantaine de toutes les traces : adtech cookie

11:21: Mise en quarantaine de toutes les traces : adultfriendfinder cookie

11:21: Mise en quarantaine de toutes les traces : bluestreak cookie

11:21: Mise en quarantaine de toutes les traces : fe.lea.lycos.com cookie

11:21: Mise en quarantaine de toutes les traces : metriweb.be cookie

11:21: Mise en quarantaine de toutes les traces : xiti cookie

11:21: Processus de suppression lancé. Durée 00:00:12

********

0:59: | Début de session, lundi 26 décembre 2005 |

0:59: Spy Sweeper démarrée

1:00: Le service Messenger a été désactivé.

1:00: Les définitions de logiciels espions ont été mises à jour.

1:04: | Fin de session, lundi 26 décembre 2005

[Thanos]

salut vld

 

Désolé d'avoir mis du temps pour te répondre!

 

On a fait des recherches avec Registry Search Tool ,là je pense que ca va être bon=>

 

Colle ceci dans le champs de recherche: wupd et colle ici le rapport s'il te plait.

 

Je m'était appliqué à chercher des valeurs dans la base de registre,je n'avais pas vu celle là sur le site de

 

Panda,donc je n'y avit pas pensé!Registry Tool devrait nous donner une réponse!

 

@bientôt pour la fin

[vld]

Salut Charles, heureux de te relire, en effet, beaucoup plus de résultats avec cette commande-là :

Bien à toi

 

REGEDIT4

; RegSrch.vbs © Bill James

 

; Registry search results for string "wupd" 27/12/2005 16:46:03

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Acrobat Reader\5.0\AdobeViewer]

"ShowUpdateDialog"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A3863C2E-86EB-11D1-A9DB-00C04FB16F9E}]

@="CWUpdInfo Class"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A3863C2E-86EB-11D1-A9DB-00C04FB16F9E}\InprocServer32]

@="C:\\WINDOWS\\System32\\wupdinfo.dll"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A3863C2E-86EB-11D1-A9DB-00C04FB16F9E}\ProgID]

@="CWUpdInfo.CWUpdInfo.1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A3863C2E-86EB-11D1-A9DB-00C04FB16F9E}\VersionIndependentProgID]

@="CWUpdInfo.CWUpdInfo"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CWUpdInfo.CWUpdInfo]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CWUpdInfo.CWUpdInfo]

@="CWUpdInfo Class"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CWUpdInfo.CWUpdInfo\CurVer]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CWUpdInfo.CWUpdInfo\CurVer]

@="CWUpdInfo.CWUpdInfo.1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CWUpdInfo.CWUpdInfo.1]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CWUpdInfo.CWUpdInfo.1]

@="CWUpdInfo Class"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CWUpdInfo.CWUpdInfo.1\CLSID]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A3863C2D-86EB-11D1-A9DB-00C04FB16F9E}]

@="ICWUpdInfo"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A3863C1C-86EB-11D1-A9DB-00C04FB16F9E}\1.0]

@="WUpdInfo 1.0 Type Library"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A3863C1C-86EB-11D1-A9DB-00C04FB16F9E}\1.0\0\win32]

@="C:\\WINDOWS\\System32\\wupdinfo.dll"