cws.msconfig

[Gof]

Oups...J'ai oublié de le poster... Tu es trop rapide Charles Ingals !

 

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 13:58:18, 26/01/2006

+ Somme de contrôle: 714074AA

 

+ Résultats du scan:

 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Spyware.WebRebates : Nettoyer sans sauvegarder

 

 

::Fin du rapport

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée)

 

Par contre je viens de me rendre compte que je n'avais pas coché cette option... Grave ?

[Thanos]

Pas mal le rapport! rien de méchant.

 

Peut tu faire ceci:

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

[Gof]

Voici le rapport d'analyse de Panda en ligne. Chose curieuse, lorsque la fenêtre de l'outil en ligne s'est ouverte, elle n'était qu'en petite taille...et impossible de l'agrandir ou de se balader dedans ! Du coup, je ne voyais que les éléments sur le 3/4 gauche de la fenêtre. Et à tous les coups le bouton "désinfecter" était en bas à droite... http://forum.zebulon.fr/style_images/1/fol...icons/icon7.gif

Et le scan est tellement long que je suis quasi découragé... Je peux supprimer manuellement ?

 

 

Incident Statut Analyse

 

Adware:adware/sidesearch No Désinfecté C:\PROGRAM FILES\Lycos

Adware:adware/whenusearch No Désinfecté C:\PROGRAM FILES\FICHIERS COMMUNS\WhenU

Adware:adware/exact.searchbar No Désinfecté Registre Windows

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\GOF\Cookies\gof@weborama[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\GOF\Cookies\gof@weborama[2].txt

Virus Eventuel. No Désinfecté C:\Program Files\Repair And Block\geTerm.exe

Outil indésirable:Application/Pskill.A No Désinfecté C:\WINDOWS\RESTORE.INS[PSKILL.EXE]

Outil indésirable:Application/Pskill.A No Désinfecté C:\WINDOWS\system\RESTORE.INS[PSKILL.EXE]

Modifié le 26 janvier 2006 par Gof

[Gof]

Zut, en éditant le message, l'heure d'ajout n'est pas prise en compte. Docteur Charles Ingals risque de croire que je n'ai pas encore posté le rapport. Petit message flash juste pour indiquer que j'ai posté.

 

J'ai pu tout supprimer manuellement, il n'y a que celui qui est dans le registre que je n'ai pas touché, pour ne pas faire de bêtises.

 

Adware:adware/exact.searchbar No Désinfecté Registre Windows

Modifié le 26 janvier 2006 par Gof

[Thanos]

salut Gof

 

Oui tu vas virer les dossiers /fichiers suivant manuellement:

 

-TéléchargeEasyCleaner de Toni Helenius(installe le dans son dossier)

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant:

 

-Emule=> je ne tforce pas à le virer, mais c'est fortement conseillé!

 

-C:\PROGRAM FILES\Lycos=> le dossier

-C:\PROGRAM FILES\FICHIERS COMMUNS\WhenU=> le dossier

-C:\a\Mes Docs\Emule=> le dossier

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-Vide la corbeille.

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

Pourquoi virer cette daube d'Emule?? Lis cet article du sieur tesgaz et tu comprendras! Il a volontairement téléchargé des fichiers via ces programmes P2P, le résultat est édifiant!!=>

 

http://forum.zebulon.fr/index.php?showtopic=85544

 

-Cet élément détecté par le scan est litigieux.

 

Virus Eventuel. No Désinfecté C:\Program Files\Repair And Block\geTerm.exe

 

-Fais analyser celui ci (en gras)s'il te plait pour savoir si il est réellement infecté:

ici:

 

1- Jotti: http://virusscan.jotti.org/de/

2- http://www.virustotal.com/flash/index_en.html

communiquer les 2 rapports.

[Gof]

Merci Charles.

Bon, j'ai supprimé les 3 dossiers et virer Emule. Si si c'est vrai ! La qualité en p2p n'est pas au rendez vous et si en plus ça m'apporte des emmerdes... Et j'ai nettoyé le registre et les fichiers inutiles avec easycleaner comme tu me l'as dit. J'ai fait analyser le fichier avec virustotal, voilà le rapport :

 

This is a report processed by VirusTotal on 01/26/2006 at 20:22:09 (CET) after scanning the file "geTerm.exe" file.

 

Antivirus Version Update Result

AntiVir 6.33.0.77 01.26.2006 no virus found

Avast 4.6.695.0 01.26.2006 no virus found

AVG 718 01.26.2006 no virus found

Avira 6.33.0.77 01.26.2006 no virus found

BitDefender 7.2 01.26.2006 no virus found

CAT-QuickHeal 8.00 01.25.2006 no virus found

ClamAV devel-20051123 01.26.2006 no virus found

DrWeb 4.33 01.26.2006 no virus found

eTrust-InoculateIT 23.71.60 01.25.2006 no virus found

eTrust-Vet 12.4.2056 01.25.2006 no virus found

Ewido 3.5 01.26.2006 no virus found

Fortinet 2.54.0.0 01.26.2006 no virus found

F-Prot 3.16c 01.25.2006 no virus found

Ikarus 0.2.59.0 01.26.2006 no virus found

Kaspersky 4.0.2.24 01.26.2006 no virus found

McAfee 4683 01.26.2006 no virus found

NOD32v2 1.1381 01.26.2006 no virus found

Norman 5.70.10 01.26.2006 no virus found

Panda 9.0.0.4 01.26.2006 Suspicious file

Sophos 4.01.0 01.26.2006 no virus found

Symantec 8.0 01.26.2006 no virus found

TheHacker 5.9.3.081 01.26.2006 no virus found

UNA 1.83 01.25.2006 no virus found

VBA32 3.10.5 01.26.2006 no virus found

 

Par contre, pour le faire analyser avec l'autre, je suis un peu perdu sur la page en allemand.

Je peux supprimer le dossier complet "repair and block", c'est un logiciel que je n'utilise pas du tout et que j'avais oublié sur mon disque.

Modifié le 26 janvier 2006 par Gof

[Thanos]

Tu as franchement bien fait de virer Emule!c'est un joli nid à malwares!

Je repense à la question que tu posais en début de discussion concernant CWShredder:

as tu fixé "CWS.Msconfig "? Si tu ne l'as pas fait repasse le tool et vire l'infection.

 

-geTerm.exe est un fichier sur lequel Panda a un doute! visiblement il n'est pas infectieux, mais si tu as viré

 

repair and block , le problème ne se pose plus!.

 

Est ce que tu peux poster un rapport pour finir comme ceci:

 

 

ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

 

Au fait comment fonctionne le pc ?

[Gof]

Oui, je l'avais fixé merci. par contre pour celui là, détecté par virus total, comment je m'y prends ? (comme c'est à priori dans le registre, je ne sais pas comment on fait)

Adware:adware/exact.searchbar No Désinfecté Registre Windows

 

 

Voilà le rapport que tu as demandé

 

StartupList report, 26/01/2006, 21:32:58

StartupList version: 1.52.2

Started from : C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

Detected: Windows XP SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)

* Using default options

==================================================

 

Running processes:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\HHVcdV7Sys\VC7SecS.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\SpywareGuard\sgmain.exe

C:\Program Files\SpywareGuard\sgbhp.exe

C:\Program Files\Registry Clean Expert\RCScheduler.exe

C:\a\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Casc'ADSL\CascADSL.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Grisoft\AVG Free\avgcc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\LVComsX.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

--------------------------------------------------

 

Listing of startup folders:

 

Shell folders Startup:

[C:\Documents and Settings\GOF\Menu Démarrer\Programmes\Démarrage]

SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

 

Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]

Raccourci vers MsgPlus.exe.lnk = C:\Program Files\MessengerPlus! 3\MsgPlus.exe

 

--------------------------------------------------

 

Checking Windows NT UserInit:

 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

 

SpybotSD TeaTimer = C:\a\Spybot - Search & Destroy\TeaTimer.exe

ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

RegClean Expert Scheduler = "C:\Program Files\Registry Clean Expert\RCScheduler.exe" /startup

 

--------------------------------------------------

 

Load/Run keys from C:\WINDOWS\WIN.INI:

 

load=*INI section not found*

run=*INI section not found*

 

Load/Run keys from Registry:

 

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\Windows: load=

HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=MsgPlusLoader.dll

 

--------------------------------------------------

 

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

 

Shell=

SCRNSAVE.EXE=C:\WINDOWS\System32\CAMPCH~1.SCR

drivers=

 

Shell & screensaver key from Registry:

 

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

 

Policies Shell key:

 

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

 

--------------------------------------------------

 

 

Enumerating Browser Helper Objects:

 

(no name) - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

SpywareGuard Download Protection - C:\Program Files\SpywareGuard\dlprotect.dll - {4A368E80-174F-4872-96B5-0B27DDD11DB2}

(no name) - C:\a\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

(no name) - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll - {9394EDE7-C8B5-483E-8773-474BF36AF6E4}

(no name) - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}

 

--------------------------------------------------

 

Enumerating Task Scheduler jobs:

 

Nettoyage de disque.job

Symantec NetDetect.job

 

--------------------------------------------------

 

Enumerating Download Program Files:

 

[shockwave ActiveX Control]

InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll

CODEBASE = http://download.macromedia.com/pub/shockwa...director/sw.cab

 

[Windows Genuine Advantage Validation Tool]

InProcServer32 = C:\WINDOWS\System32\LegitCheckControl.DLL

CODEBASE = http://go.microsoft.com/fwlink/?linkid=39204

 

[WUWebControl Class]

InProcServer32 = C:\WINDOWS\System32\wuweb.dll

CODEBASE = http://update.microsoft.com/windowsupdate/...b?1130160010867

 

[MUWebControl Class]

InProcServer32 = C:\WINDOWS\system32\muweb.dll

CODEBASE = http://update.microsoft.com/microsoftupdat...b?1137788134032

 

[HardwareDetection Control]

InProcServer32 = C:\PROGRA~1\HARDWA~1\IE\HARDWA~1.OCX

CODEBASE = http://config.zebulon.fr/plugins/hardwaredetection.cab

 

[ActiveScan Installer Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\asinst.dll

CODEBASE = http://acs.pandasoftware.com/activescan/as5free/asinst.cab

 

[{A5173EA8-1337-4BAB-A67E-198C9919D9CC}]

CODEBASE = http://213.11.100.7/websetup/websetup2.cab

 

[shockwave Flash Object]

InProcServer32 = C:\WINDOWS\System32\Macromed\Flash\Flash8.ocx

CODEBASE = http://download.macromedia.com/pub/shockwa...ash/swflash.cab

 

--------------------------------------------------

 

Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

 

Windows NT checkdisk command:

BootExecute = autocheck autochk *

 

Windows NT 'Wininit.ini':

PendingFileRenameOperations: C:\DOCUME~1\GOF\LOCALS~1\Temp\~nsu.tmp\Au_.exe

 

 

--------------------------------------------------

 

Enumerating ShellServiceObjectDelayLoad items:

 

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

 

--------------------------------------------------

End of report, 7 885 bytes

Report generated in 0,250 seconds

 

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

 

Le PC rame toujours un petit peu, mais rien à voir avec ce que c'était avant. J'ai "explorer" qui est complétement instable, il se ferme souvent ("explorer a rencontré une erreur sérieuse...") dans la foulée drwtsn32 fait la même chose. Du coup je passe par le gestionnaire des tâches pour "exécuter" explorer pour le relancer. C'est toujours instable, mais nettement moins qu'avant. Merci Charles de t'occuper de mon cas !

[Thanos]

salut Gof

 

Pour ceci => Adware:adware/exact.searchbar No Désinfecté Registre Windows

 

il va falloir faire des recherches dans la base de registre!L'adware a laissé des traces détectées par Panda.

Même si l'infection n'est plus là , il y a des restes.Si tu veux on pourra faire la recherche.

 

Docteur Watson inscrit les événements dans un fichier qui se trouve ici=>

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson

 

C'est un fichier au format txt. Par contre il se peut qu'il soit tres volumineux(plusieurs gigas!!).Peut tu y jeter un oeil et voir si tu trouve des infos concernant les plantages récents de l'explorateur?Ca nous donnera peut être une piste: un fichier système altéré par exemple.(ne colle pas le contenu ici, ca ne passerait pas sélectionne ce qui peut nous interresser)

[Gof]

Bonjour Charles, tu es un robot, tu ne dors jamais !

Pour le reste d'infection retrouvé par Panda dans le registre, je veux bien un coup de main oui merci. Dans le dernier rapport posté, il y avait beaucoup de "registry .... not found" ; c'était normal ?

 

Finalement le dr watson au format .txt dans le répertoire indiqué ne fait que 32k (en nettoyage j'utilise easycleaner et ccleaner notamment, l'un des 2 y ferait le ménage peut-être?) :

 

(...)

Une exception d'application s'est produite :

App : C:\WINDOWS\explorer.exe (pid=3504)

Lorsque : 26/01/2006 @ 15:12:03.881

Numéro d'exception : c0000005 (violation d'accès)

(...)

App : C:\WINDOWS\explorer.exe (pid=2480)

Lorsque : 26/01/2006 @ 15:13:21.482

Numéro d'exception : c0000005 (violation d'accès)

(...)

App : C:\WINDOWS\explorer.exe (pid=3960)

Lorsque : 26/01/2006 @ 20:26:03.471

Numéro d'exception : c0000005 (violation d'accès)

(...)

*----> Vidage de l'état de la thread 0x8a8 <----*

(...)

*** ERROR: Symbol file could not be found. Defaulted to export symbols for C:\WINDOWS\system32\ntdll.dll -

fonction : ntdll!KiFastSystemCallRet

(...)

*----> Suivi arrière de la pile <----*

*** ERROR: Symbol file could not be found. Defaulted to export symbols for C:\WINDOWS\system32\SHELL32.dll -

WARNING: Stack unwind information not available. Following frames may be wrong.

*** ERROR: Module load completed but symbols could not be loaded for C:\WINDOWS\explorer.exe

*** ERROR: Symbol file could not be found. Defaulted to export symbols for C:\WINDOWS\system32\kernel32.dll -

ChildEBP RetAddr Args to Child

(...)

*----> Vidage de l'état de la thread 0xaf0 <----*

(...)

FAUTE ->7c921e58 8b09 mov ecx,[ecx] ds:0023:00000000=????????

(...)

Fin du .txt

Voilà le dernir "voir détail" d'un explorer qui a rencontré une erreur sérieuse...

[je n'ai pas réussi à coller la fenêtre que j'avais copié, doit y avoir une astuce qui m'a échappée]

 

 

J'ai collé tout ce qui me semblait pertinent, mais c'est du chinois là pour moi. "DRWTSN32" c'est le déboggeur interne windows non ?

Ah si, j'oubliais, avant d'utiliser XP AntiSpy et de désactiver le rapport d'erreur en cas de plantage, l'aide microsoft m'indiquait que ce devait être internet explorer qui plantait, et il m'invitait à enlever les activeX non reconnus. J'avais suivi la procédure une fois (pas trop convaincu) et ça n'avait absolument rien changé à mes plantages. D'autant que explorer et internet explorer, ça n'a rien à voir, non ?

Que de questions que de questions...

Bonne journée à toi Charles et encore merci !

 

Je reviens, je viens de remarquer que Antivir Guard n'est pas actif. Il est bien présent à droite, mais le statut affiche "not loaded". Et l'option de l'activer n'est pas disponible...? J'ai refait une mise à jour dans le doute. C'est à cause d'une des manips que j'ai fait ?

 

Encore une modif du message original, désolé, désolé. Je l'ai résinstallé et il refonctionne correctement. Antivir est passé à la version 7, c'est ça qui le faisait galérer, tout le monde a dû "updater" en même temps j'imagine.

Modifié le 27 janvier 2006 par Gof