Instant access insupprimable!

[tupello]

Salut Tupello, et coucou les bleus

 

Ben je viens de regarder dans Ewido, et je trouve pas d'option pour désactiver ce truc. Pas grave, car il est plutôt chouette (même si on demande de le désactiver à l'installation - raison d'ergonomie). Pas nuisible et pas gourmand, donc faut pas t'en faire !

 

 

Merci j'ai lancé Ewido. Il tourne sur le PC malade!....

 

Merci pour votre aide et votre sympathie.

 

Tupello

[tupello]

Merci j'ai lancé Ewido. Il tourne sur le PC malade!....

 

Merci pour votre aide et votre sympathie.

 

Tupello

 

 

Me revoilà! J'ai effectué les manipulations demandées et voici le nouveau rapport Hijack:

 

Logfile of HijackThis v1.99.1

Scan saved at 23:15:41, on 18.01.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE

C:\Program Files\ZyXEL\ADSL USB Modem\CnxDslTb.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\a-squared\a2guard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\Hijackthis\HijackThis.exe

C:\Program Files\Messenger\msmsgs.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\ADSL USB Modem\CnxDslTb.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

et celui d'Ewido

 

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 23:08:04, 18.01.2006

+ Somme de contrôle: F159E6E1

 

+ Résultats du scan:

 

C:\Documents and Settings\Maman\Cookies\maman@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

C:\Recycled\Dc31.txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

C:\Recycled\Dc41.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

C:\Recycled\Dc20.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

En attendant de lire votre réponse, je vous souhaite une bonne nuit et à demain.

 

Merci.

 

Tupello

Modifié le 18 janvier 2006 par tupello

[Jack_Burton]

Bonsoir,

 

Désolé pour la réponse tardive!

Ton dernier rapport est propre!

Tu peux néanmoins fixer ces lignes inutiles sur ton rapport :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

 

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

 

N oublie pas de rétablir ta page de démarrage dans les options de ton navigateur!

 

As tu toujours des dysfonctionnements?

Modifié le 18 janvier 2006 par Jack_Burton

[tupello]

Bonsoir,

 

Désolé pour la réponse tardive!

Ton dernier rapport est propre!

Tu peux néanmoins fixer ces lignes inutiles sur ton rapport :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

 

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

 

N oublie pas de rétablir ta page de démarrage dans les options de ton navigateur!

 

As tu toujours des dysfonctionnements?

 

Bonjour!

 

Voilà je viens de fixer les dernières lignes sur Hijack. Et je vous envoie un énorme merci car mon ce PC fonctionne à merveille. (pour le moment!).

 

Bonne journée.

 

Tupello

[tupello]

Bonjour!

 

Voilà je viens de fixer les dernières lignes sur Hijack. Et je vous envoie un énorme merci car mon ce PC fonctionne à merveille. (pour le moment!).

 

Bonne journée.

 

Tupello

 

 

Oh! Misère! Le moment n'a pas durer longtemps.... Le centre de sécurité Norton me raffiche l'alerte de Dialer.Instantaccess!

 

Que puis-je faire?

 

Tupello

[Jack_Burton]

Bonjour,

 

Le centre de sécurité Norton me raffiche l'alerte de Dialer.Instantaccess!

Te donne t il l emplacement du fichier infecté?

[tupello]

Bonjour,

Te donne t il l emplacement du fichier infecté?

 

Oui, après analyse il m'indique C:/Windows/système32/msclock32.dll (que je ne retrouve pas tjrs quand je vais manuellement supprimer ce fichier) et 7 à 8 clés de registres (ça dépend des fois) cette fois ci c'est 7. Toutes avec Proxy Server et une proxy enable.

 

Bon appétit si ce n'est déjà fait et à tout à l'heure.

 

Tupello

[Jack_Burton]

Donne moi les clefs du registre s il te plait!

[Mark]

Bonjour tupello, bonjour Jack

 

Ce fichier msclock32.dll confirme qu'il s'agit d'une infection Egdaccess cachée (très coriace). Cete infection modifie des dizaines de clés de registre, et installe un processus caché de HijackThis!. Il faut d'abord identifier le processus :

 

Télécharge HijackThis! + Extra de ce lien :

http://metallica.geekstogo.com/setuphjt.exe

 

Sauvegarde le sur ton Bureau.

Double-clique sur le fichier afin d'en extraire le contenu. Un raccourci HJT and More sera créé (Bureau), et l'outil sera extrait dans C:\HJT

Double-clique sur le raccourci HJT and More, puis double-clique ht.bat

Une fenêtre DOS apparaîtra;

Après quelques secondes, un fichier texte nommé hijackthis.log apparaîtra; ferme le. Un second fichier texte nommé both.log sera maintenant visible.

Copie puis colle tout le contenu de both.log dans ta prochaine réponse. (Ferme toutes les fenêtres générées par HijackThis! par la suite).

[tupello]

Donne moi les clefs du registre s il te plait!

 

Me voilà rentrée et après une nouvelle analyse compète du PC, voici les clés que me donne Norton antivirus :

 

HKEY_LOCAL\SYSTEM\CurrentContrlSet\Hardwate Profiles\Current\Software\Microsoft\windows\CurrentVersion\Inetrenet Settings

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings

HKEY_USERS\S-1-5-21-3585186845-1203367206-2587936551-1005\Sotware\Microsoft\Windows\CurrentVersion\Internet Settings

KKEY-USERS\S-1-5-19\Software\Microsoft\Windows\Current Version\Internet Settings

 

en plus du fichier "msclock32.dll" dans système32.

 

Bizarre ce coups ci je n'ai que 5 clés de signalées.

 

Tupello