Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Salut Tupello, et coucou les bleus :P

 

Ben je viens de regarder dans Ewido, et je trouve pas d'option pour désactiver ce truc. Pas grave, car il est plutôt chouette (même si on demande de le désactiver à l'installation - raison d'ergonomie). Pas nuisible et pas gourmand, donc faut pas t'en faire !

 

 

Merci j'ai lancé Ewido. Il tourne sur le PC malade!....

 

Merci pour votre aide et votre sympathie.

 

Tupello

Posté(e) (modifié)

Merci j'ai lancé Ewido. Il tourne sur le PC malade!....

 

Merci pour votre aide et votre sympathie.

 

Tupello

 

 

Me revoilà! J'ai effectué les manipulations demandées et voici le nouveau rapport Hijack:

 

Logfile of HijackThis v1.99.1

Scan saved at 23:15:41, on 18.01.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE

C:\Program Files\ZyXEL\ADSL USB Modem\CnxDslTb.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\a-squared\a2guard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\Hijackthis\HijackThis.exe

C:\Program Files\Messenger\msmsgs.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\ADSL USB Modem\CnxDslTb.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

et celui d'Ewido

 

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 23:08:04, 18.01.2006

+ Somme de contrôle: F159E6E1

 

+ Résultats du scan:

 

C:\Documents and Settings\Maman\Cookies\maman@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

C:\Recycled\Dc31.txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

C:\Recycled\Dc41.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

C:\Recycled\Dc20.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

En attendant de lire votre réponse, je vous souhaite une bonne nuit et à demain.

 

Merci.

 

Tupello

Modifié par tupello
Posté(e) (modifié)

Bonsoir,

 

Désolé pour la réponse tardive!

Ton dernier rapport est propre!

Tu peux néanmoins fixer ces lignes inutiles sur ton rapport :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

 

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

 

N oublie pas de rétablir ta page de démarrage dans les options de ton navigateur!

 

As tu toujours des dysfonctionnements?

Modifié par Jack_Burton
Posté(e)

Bonsoir,

 

Désolé pour la réponse tardive!

Ton dernier rapport est propre!

Tu peux néanmoins fixer ces lignes inutiles sur ton rapport :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

 

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

 

N oublie pas de rétablir ta page de démarrage dans les options de ton navigateur!

 

As tu toujours des dysfonctionnements?

 

Bonjour!

 

Voilà je viens de fixer les dernières lignes sur Hijack. Et je vous envoie un énorme merci car mon ce PC fonctionne à merveille. (pour le moment!).

 

Bonne journée.

 

Tupello :P

Posté(e)

Bonjour!

 

Voilà je viens de fixer les dernières lignes sur Hijack. Et je vous envoie un énorme merci car mon ce PC fonctionne à merveille. (pour le moment!).

 

Bonne journée.

 

Tupello :P

 

 

Oh! Misère! Le moment n'a pas durer longtemps.... Le centre de sécurité Norton me raffiche l'alerte de Dialer.Instantaccess!

 

Que puis-je faire?

 

Tupello

Posté(e)

Bonjour,

 

Le centre de sécurité Norton me raffiche l'alerte de Dialer.Instantaccess!

Te donne t il l emplacement du fichier infecté?

Posté(e)

Bonjour,

Te donne t il l emplacement du fichier infecté?

 

Oui, après analyse il m'indique C:/Windows/système32/msclock32.dll (que je ne retrouve pas tjrs quand je vais manuellement supprimer ce fichier) et 7 à 8 clés de registres (ça dépend des fois) cette fois ci c'est 7. Toutes avec Proxy Server et une proxy enable.

 

Bon appétit si ce n'est déjà fait et à tout à l'heure.

 

Tupello

Posté(e)

Donne moi les clefs du registre s il te plait!

Posté(e)

Bonjour tupello, bonjour Jack :P

 

Ce fichier msclock32.dll confirme qu'il s'agit d'une infection Egdaccess cachée (très coriace). Cete infection modifie des dizaines de clés de registre, et installe un processus caché de HijackThis!. Il faut d'abord identifier le processus :

 

Télécharge HijackThis! + Extra de ce lien :

http://metallica.geekstogo.com/setuphjt.exe

 

Sauvegarde le sur ton Bureau.

Double-clique sur le fichier afin d'en extraire le contenu. Un raccourci HJT and More sera créé (Bureau), et l'outil sera extrait dans C:\HJT

Double-clique sur le raccourci HJT and More, puis double-clique ht.bat

Une fenêtre DOS apparaîtra;

Après quelques secondes, un fichier texte nommé hijackthis.log apparaîtra; ferme le. Un second fichier texte nommé both.log sera maintenant visible.

Copie puis colle tout le contenu de both.log dans ta prochaine réponse. (Ferme toutes les fenêtres générées par HijackThis! par la suite).

Posté(e)

Donne moi les clefs du registre s il te plait!

 

Me voilà rentrée et après une nouvelle analyse compète du PC, voici les clés que me donne Norton antivirus :

 

HKEY_LOCAL\SYSTEM\CurrentContrlSet\Hardwate Profiles\Current\Software\Microsoft\windows\CurrentVersion\Inetrenet Settings

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings

HKEY_USERS\S-1-5-21-3585186845-1203367206-2587936551-1005\Sotware\Microsoft\Windows\CurrentVersion\Internet Settings

KKEY-USERS\S-1-5-19\Software\Microsoft\Windows\Current Version\Internet Settings

 

en plus du fichier "msclock32.dll" dans système32.

 

Bizarre ce coups ci je n'ai que 5 clés de signalées.

 

Tupello

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...