1er Rapport Hijackthis

[lomaster]

Et oui, mais fais le en mode normal pour que l'on voit

tout ce qui tourne sur ta meule à cafards .

 

 

Bonjour Megataupe, pourquoi ne pas lui dire de supprimer les fichiers infectés, trouver par panda???

 

Peux tu me donner une explication stp.

 

Merci Ne serait-il pas bien venu de désactiver sa restauration systeme au vu de son infection????

 

 

Merci pour t'a reponse.

[megataupe]

Salut Lomaster. J'attendais le rapport HJT pour voir. Vu l'état

initial de ce PC, il vaut mieux en effet désactiver la restauration

et supprimer ce qui reste.

 

Tu prends la reléve si tu veux bien, je vais bientôt décrocher.

[lomaster]

Tu prends la reléve si tu veux bien, je vais bientôt décrocher.

 

 

Erf moi aussi... met bon si je suis la je veux bien essaye d'aider

 

Merci de me faire confiance lol Bonne soiré.

[Robin'$]

voici le rapport en mode normal :

 

Logfile of HijackThis v1.99.1

Scan saved at 19:11:50, on 30/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\Avant Browser\avant.exe

C:\Program Files\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.diffuz.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\RunOnce: [Panda_cleaner_146801] C:\WINDOWS\System32\ActiveScan\pavdr.exe 146801

O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?

O8 - Extra context menu item: Bloquer ce serveur... - C:\Program Files\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Bloquer cette publicité... - C:\Program Files\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm

O8 - Extra context menu item: Ouvrir tous les liens de la page... - C:\Program Files\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Rechercher sur le Web... - C:\Program Files\Avant Browser\Search.htm

O8 - Extra context menu item: Surligner - C:\Program Files\Avant Browser\Highlight.htm

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{EE39DEA8-78F0-4527-B1C1-19174FAD5ED1}: NameServer = 80.10.246.130 80.10.246.3

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

 

[megataupe]

OK . Je pense que tu n'auras pas trop de difficultés à

finir ce nettoyage en profondeur:D

 

Je repasse dans la soirée

[Robin'$]

Je te remercie de ta patience mais qu'entends tu par finir le nettoyage ?

[lomaster]

OK . Je pense que tu n'auras pas trop de difficultés à

finir ce nettoyage en profondeur:D

 

Je repasse dans la soirée

 

 

désoler j'ai commencer mais je ne peux pas terminer, je vais manger et apres je sors...donc libre a de smembres plus performant de prendre la suite...

 

 

Bonne soiré a tous.

[Robin'$]

OK c pas grave, merci beaucoup pour de m'avoir accorder tant de temps.

 

A bientot.

[lomaster]

Re, attend confirmation d'un conseiller en sécurite mais je ne pense pas avoir fais de bêtises.

 

Pour ton log hijacthis :

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

1/ Télécharge CCleaner et installes le.

 

http://www.ccleaner.com/ccdownload.asp

 

2/- Redémarrer en mode sans échec.

Démarre l'ordinateur.

Une fois le chargement du BIOS terminé, il y a un écran noir. Appuie sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.

En utilisant les touches du curseur, sélectionne le mode sans échec ( c’est le premier en haut) et appuie sur Entrée.

un message apparaîtra peut être, ne vous préoccupez pas de ce qu’il demande et faites ‘oui’

3/ Vérifie d'avoir accès à tous les fichiers

 

Démarrer ensuite tu cliques sur poste de Travail puis tu vas en haut sur Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Désactive ta restauration système si cela n’est pas déjà fait :

 

• Cliquez sur le bouton Démarrer.

• Cliquez avec le bouton droit de la souris sur Poste de travail puis cliquez sur Propriétés.

• Dans l'onglet Restauration du système, sélectionnez l'option Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs

 

•Cliquez sur Appliquer.

 

• Comme indiqué dans le message, les points de restauration existants seront supprimés. Cliquez sur Oui pour confirmer la suppression.

• Cliquez sur OK.

 

5/ Lancer HijackThis.

Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items"

Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\RunOnce: [Panda_cleaner_146801] C:\WINDOWS\System32\ActiveScan\pavdr.exe 146801

O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?

 

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

 

6/ Supprime le(s) fichier(s) & dossier incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

C:\secure32.html

C:\WINDOWS\ABox.exe

C:\WINDOWS\desktop.html < --\ Attend confirmation pour celui-ci

C:\WINDOWS\system32\ide21201.vxd

C:\WINDOWS\woinstall.exe

Vider la corbeille

 

Fichiers temporaries : Démarrer/exécuter " CleanMgr " choisis le lecteur principal

Cocher tout sauf :

Compression des fichiers non utilisés

Fichiers catalogue d’indexation du contenu

/ OK / OUI

Dans l'Explorateur Windows recacher les fichiers systeme afin de ne pas faire d'erreur a l'avenir:

Retournez à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>.

 

7/ Execute CrapCleaner:

 

Lance le en double cliquant sur CCleaner.exe

 

o Suppression des fichiers temporaires

• Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"

• Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)

• Clique sur Analyse

• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.

• Une fois le scan terminé, clique sur Lancer le Nettoyage

o Suppression des incohérence du registre

• Clique sur l'icône Erreurs situés dans la marge à gauche.

• Puis clique sur Analyser les erreurs

• Patiente pendant que CCleaner scan ton registre.

• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.

• Tu peux cliquer ensuite sur Corriger les erreurs.

• Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

 

 

8/ Redémarre l'ordinateur en mode normal

 

 

9/ Poste un nouveau rapport HijackThis, à titre de vérification.

Indique si tu as toujours des disfonctionnements

Mais surtout fais tes mises a jours ( Pour Internet Exploreur.)

[megataupe]

Me voilà de retour .

 

Applique la procédure de Lomaster (bon travail Lo ).

 

Pour ce fichier (comme j'ignore encore s'il est lié à Smithfraud vu que

ton bureau n'a pas l'air attaqué) :

 

C:\WINDOWS\desktop.html < --\ Attend confirmation pour celui-ci

 

renomme le en desktop.html-orig (clic droit sur le fichier et renommer) et si tout

va bien d'ici 2 jours, tu pourras le supprimer.

 

Ensuite, il est impératif que tu installes un parefeu avant de faire les mises

à jour sur Windows Update