Demande d'analyse de HijackThis

[tornado]

J'ai édité mon message précédent pour le fichier incriminé.

 

Est ce que tu pourrais scanner ton pc avec Ewido ? :

 

- Télécharge la version d'essai d'Ewido ---> http://www.ewido.net/en/download/; et sa base de données antivirale ---> http://www.ewido.net/en/download/updates/ (full database)

NB : je pense qu'il t'est possible de transférer le fichier d'installation et la mise à jour (full database)de ton pc propre vers celui infecté (avec une clé usb par exemple)

 

- A l'installation, décoche les "deux cases" (protection en temps réel)

- Installe "ewido-signatures-full..."

- Lance Ewido puis fais un "scan complet"

- A la fin du scan, sauve le rapport

- Vide la quarantaine

 

Poste le rapport du scan.

 

Bonne chance

Modifié le 5 février 2006 par tornado

[Zarbi]

Et voilà le rapport de Ewido.

Merci encore de suivre l'avancement du nettoyage...

J'ai supprimé tout ce qu'il y avait en quarantaine (encore 58 infections) j'hallucine !!!

 

A+

Zarbi

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 21:19:55, 05.02.2006

+ Somme de contrôle: E07FE553

 

+ Résultats du scan:

 

C:\Documents and Settings\David\Cookies\david@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\David\Cookies\david@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\David\Cookies\david@xxxtoolbar[1].txt -> Spyware.Cookie.Xxxtoolbar : Nettoyer et sauvegarder

C:\Documents and Settings\David\Local Settings\Temporary Internet Files\Content.IE5\0B8LG7AH\drsmartload_js[1].htm -> Downloader.IstBar.j : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\anyuser@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@247realmedia[1].txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@2o7[1].txt -> Spyware.Cookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@7search[2].txt -> Spyware.Cookie.7search : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@advertising[1].txt -> Spyware.Cookie.Advertising : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@casalemedia[2].txt -> Spyware.Cookie.Casalemedia : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@fastclick[2].txt -> Spyware.Cookie.Fastclick : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@findwhat[1].txt -> Spyware.Cookie.Findwhat : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\[email protected][1].txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@oewabox[1].txt -> Spyware.Cookie.Oewabox : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@revenue[2].txt -> Spyware.Cookie.Revenue : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\[email protected][1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Cookies\guillaume@xxxtoolbar[1].txt -> Spyware.Cookie.Xxxtoolbar : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Local Settings\Temp\ICD1.tmp\UWFX5V_0001_N57M1212NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Local Settings\Temp\ICD2.tmp\UWFX5V_0001_N57M1412NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\Documents and Settings\Guillaume\Local Settings\Temporary Internet Files\Content.IE5\ME14OFPF\WinFixer2005ScannerInstallFRA[1].cab/UWFX5V_0001_N57M1412NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\Documents and Settings\HCBuff\Local Settings\Temporary Internet Files\Content.IE5\KOG8R4EC\drsmartload_js[1].htm -> Downloader.IstBar.j : Nettoyer et sauvegarder

C:\Documents and Settings\HCBuff\Local Settings\Temporary Internet Files\Content.IE5\XVNIG8XS\drsmartload_js[1].htm -> Downloader.IstBar.j : Nettoyer et sauvegarder

C:\Documents and Settings\HCBuff\Local Settings\Temporary Internet Files\Content.IE5\XVNIG8XS\drsmartload_js[2].htm -> Downloader.IstBar.j : Nettoyer et sauvegarder

C:\Documents and Settings\HCBuff\Local Settings\Temporary Internet Files\Content.IE5\XVNIG8XS\drsmartload_js[4].htm -> Downloader.IstBar.j : Nettoyer et sauvegarder

C:\g3.exe -> Proxy.Agent.ic : Nettoyer et sauvegarder

C:\Program Files\MediaGateway\Updater.exe -> Adware.WinAD : Nettoyer et sauvegarder

C:\Program Files\MediaGateway\__delete_on_reboot__MediaGateway.exe -> Adware.WinAD : Nettoyer et sauvegarder

C:\run.exe -> Backdoor.Hupigon.hk : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Agent.d : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWFX5V_0001_N57M1212NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.10\UWFX5V_0001_N57M1212NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.11\UWFX5V_0001_N57M1212NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.12\UWFX5V_0001_N57M1212NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Agent.d : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UWFX5V_0001_N57M1212NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Agent.d : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UWFX5V_0001_N57M1212NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UWFX5V_0001_N57M1212NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.5\UWFX5V_0001_N57M1212NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.6\UWFX5V_0001_N57M1212NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.7\UWFX5V_0001_N57M1212NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.8\UWFX5V_0001_N57M1212NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\CONFLICT.9\UWFX5V_0001_N57M1212NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Agent.d : Nettoyer et sauvegarder

C:\WINDOWS\system32\config\systemprofile\Cookies\system@xxxtoolbar[1].txt -> Spyware.Cookie.Xxxtoolbar : Nettoyer et sauvegarder

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\X02XX63K\drsmartload_js[1].htm -> Downloader.IstBar.j : Nettoyer et sauvegarder

C:\WINDOWS\system32\drivers\etc\dlls\f.exe -> Backdoor.SdBot.nj : Nettoyer et sauvegarder

C:\WINDOWS\system32\drivers\etc\dlls\l.exe -> Not-A-Virus.HackTool.Win32.Clearlog.b : Nettoyer et sauvegarder

C:\WINDOWS\system32\drivers\etc\dlls\run.exe -> Backdoor.Hupigon.hk : Nettoyer et sauvegarder

C:\WINDOWS\system32\TFTP2824 -> Backdoor.Rbot : Nettoyer et sauvegarder

 

 

::Fin du rapport

[tornado]

Re,

 

 

Ewido a très bien travaillé, il a supprimé les restes de Winfixer et d'autres malwares...

 

Juste une chose; as tu bien installé la mise à jour d'Ewido (le full database) après l'installation d'Ewido ? Si ce n'est pas fait, installe la et refais un scan... (je te le demande car j'avais édité mon message, peut-être après que tu l'ais vu)

 

 

 

Sinon, vide le dossiers suivant (en gras):

 

C:\Documents and Settings\HCBuff\Local Settings\Temporary Internet Files\

C:\Documents and Settings\HCBuff\Local Settings\temp\

 

On va poursuivre le nettoyage en faisant un scan avec Spysweeper:

 

Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/products/spysweeper/

 

* Clique sur "90 Days Free - Download Now" (sur la droite).

* Installe le programme. Une fois installé, il se lancera.

* L'option de le mettre à jour s'affichera; clic Yes.

* Lorsque les mises à jour seront installées, clic Options sur la gauche.

* Clic sur l'onglet Sweep Options.

* Sous What to Sweep, coche les options suivantes:

o Sweep Memory

o Sweep Registry

o Sweep Cookies

o Sweep All User Accounts

o Enable Direct Disk Sweeping

o Sweep Contents of Compressed Files

o Sweep for Rootkits

o DÉCOCHE Do not Sweep System Restore Folder.

* Clic Sweep Now sur la gauche.

* Clic sur Start.

* Quand le scan est terminé, clic sur Next.

* Assure-toi que tous les items sont cochés, puis clic sur Next.

* Tous les items cochés seront éliminés.

* Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.

* Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.

* Clic sur l'onglet Summary, puis clic sur Finish.

* Colle le contenu du "Session Log" dans ta prochaine réponse.

 

(merci à QC001 pour cette procédure d'utilisation de Spysweeper)

 

Pour la mise à jour, je n'ai pas encore trouvé une "fulldatabase" comme pour Ewido... si quelqu'un sait où, ça serait pas de refus

En attendant, tu peux faire le scan. Je tiens à t'avertir qu'il est très long...

 

 

Edit: Désinstalle le programme suivant via "ajouter/supprimer des programmes":

 

- Media Gateway

 

-Puis supprime le dossier C:\program files\Mediagateway\

Modifié le 5 février 2006 par tornado

[Zarbi]

Hello Tornado,

 

J'applique toujours tes conseils avisés. J'en suis à SpySweeper. Comme je n'ai toujours pas de connexion internet, je fais le scan sans la mise à jour (dommage, mais bon...). Comme tu as l'air de dire que ce sera très long, je vais laisser tourner.

 

Et encore une info, si jamais tu ne me lis plus pendant plusieurs jours, pas de panique, ce n'est pas que je me désintéresse, c'est juste que je suis sur le point d'accoucher... et ma fois, je ne pourrais pas choisir ni le jour, ni l'heure...

 

Sinon juste pour mon instruction. Un fois que le nettoyage sera terminé (je suis très optimiste...). Je pense que je vais devoir éliminer toutes les versions démos que nous avons utilisées ?

 

Mais pour la protection future ? Jusqu'à présent, j'avais utilisé Zone Alarm (version gratuite) et AVG (version gratuite aussi) pour protéger mon ordinateur. J'ai aussi noté qu'il fallait que je mette à jour les services packs de Windows (ce que je croyais d'ailleurs avoir déjà fait pour le SP1). As-tu d'autres conseils à me donner pour éviter de me retrouver dans le "best of" des ordis les plus attaqués du monde ?

 

Je te mets le rapport dès qu'il a fini.

A+

Zarbi

[Zarbi]

Re, j'ai été surprise par la rapidité du traitement par SpySweeper (env. 7 minutes)...

Voilà le rapport que j'ai obtenu :

 

********

21:13: | Début de session, lundi, 6. février 2006 |

 

21:13: Spy Sweeper démarrée

21:13: Analyse lancée avec la version des définitions 556

21:13: Démarrage de l’analyse de la mémoire

21:16: Analyse de la mémoire terminée, temps passé : 00:02:08

21:16: Démarrage de l’analyse du Registre

21:16: Trouvé Adware: winad

21:16: HKCR\mediagateway.installer\ (5 traces secondaires) (ID = 359542)

21:16: HKLM\software\classes\mediagateway.installer\ (5 traces secondaires) (ID = 359544)

21:16: Trouvé Adware: winantispyware 2005

21:16: HKLM\system\currentcontrolset\control\class\{29ae0e04-08b8-4d2f-bfbe-83fb0ec73bb7}\ (3 traces secondaires) (ID = 795420)

21:16: Trouvé Adware: ist software

21:16: HKU\WRSS_Profile_S-1-5-21-1960408961-113007714-854245398-1006\software\ist\ (1 traces secondaires) (ID = 129108)

21:16: HKU\WRSS_Profile_S-1-5-21-1960408961-113007714-854245398-1005\software\ist\ (1 traces secondaires) (ID = 129108)

21:16: Trouvé Adware: hotconnect dialer

21:16: HKU\WRSS_Profile_S-1-5-21-1960408961-113007714-854245398-1005\software\montorgueil\ (19 traces secondaires) (ID = 879699)

21:16: Analyse du Registre terminée, temps passé :00:00:20

21:16: Démarrage de l’analyse des cookies

21:16: Trouvé Spy Cookie: 2o7.net cookie

21:16: stéphane@2o7[2].txt (ID = 1957)

21:16: Trouvé Spy Cookie: atlas dmt cookie

21:16: stéphane@atdmt[2].txt (ID = 2253)

21:16: Trouvé Spy Cookie: metriweb.be cookie

21:16: stéphane@metriweb[1].txt (ID = 2992)

21:16: Trouvé Spy Cookie: servlet cookie

21:16: stéphane@servlet[1].txt (ID = 3345)

21:16: Trouvé Spy Cookie: reliablestats cookie

21:16: sté[email protected][1].txt (ID = 3254)

21:16: Trouvé Spy Cookie: xiti cookie

21:16: stéphane@xiti[1].txt (ID = 3717)

21:16: Trouvé Spy Cookie: adultfriendfinder cookie

21:16: david@adultfriendfinder[1].txt (ID = 2165)

21:16: Trouvé Spy Cookie: fe.lea.lycos.com cookie

21:16: [email protected][1].txt (ID = 2660)

21:16: [email protected][2].txt (ID = 3254)

21:16: david@xiti[1].txt (ID = 3717)

21:16: guillaume@adultfriendfinder[1].txt (ID = 2165)

21:16: Trouvé Spy Cookie: atwola cookie

21:16: guillaume@atwola[1].txt (ID = 2255)

21:16: Trouvé Spy Cookie: belnk cookie

21:16: guillaume@belnk[1].txt (ID = 2292)

21:16: Trouvé Spy Cookie: enhance cookie

21:16: [email protected][1].txt (ID = 2614)

21:16: [email protected][2].txt (ID = 2293)

21:16: Trouvé Spy Cookie: netster cookie

21:16: [email protected][1].txt (ID = 3072)

21:16: Trouvé Spy Cookie: searchadnetwork cookie

21:16: guillaume@searchadnetwork[2].txt (ID = 3311)

21:16: [email protected][2].txt (ID = 3254)

21:16: [email protected][1].txt (ID = 3312)

21:16: Trouvé Spy Cookie: zedo cookie

21:16: guillaume@zedo[2].txt (ID = 3762)

21:16: Analyse des cookies terminée, temps passé : 00:00:01

21:16: Démarrage de l’analyse des fichiers

21:16: a0043465.dll (ID = 146309)

21:16: a0003082.exe (ID = 114992)

21:16: a0003078.dll (ID = 119189)

21:17: a0003077.dll (ID = 119196)

21:17: a0019693.ico (ID = 71873)

21:18: a0043464.dll (ID = 119203)

21:18: a0043454.ico (ID = 71873)

21:18: a0003070.lnk (ID = 114865)

21:18: a0003069.lnk (ID = 114863)

21:18: updates.winsoftware[1].txt (ID = 149943)

21:20: Analyse des fichiers terminée, temps passé : 00:04:11

21:20: Analyse complète terminée. Durée 00:06:44

21:20: Traces trouvées : 70

21:40: Processus de suppression lancé.

21:40: Mise en quarantaine de toutes les traces : hotconnect dialer

21:40: Mise en quarantaine de toutes les traces : ist software

21:40: Mise en quarantaine de toutes les traces : winad

21:40: Mise en quarantaine de toutes les traces : winantispyware 2005

21:40: Mise en quarantaine de toutes les traces : 2o7.net cookie

21:40: Mise en quarantaine de toutes les traces : adultfriendfinder cookie

21:40: Mise en quarantaine de toutes les traces : atlas dmt cookie

21:40: Mise en quarantaine de toutes les traces : atwola cookie

21:40: Mise en quarantaine de toutes les traces : belnk cookie

21:40: Mise en quarantaine de toutes les traces : enhance cookie

21:40: Mise en quarantaine de toutes les traces : fe.lea.lycos.com cookie

21:40: Mise en quarantaine de toutes les traces : metriweb.be cookie

21:40: Mise en quarantaine de toutes les traces : netster cookie

21:40: Mise en quarantaine de toutes les traces : reliablestats cookie

21:40: Mise en quarantaine de toutes les traces : searchadnetwork cookie

21:40: Mise en quarantaine de toutes les traces : servlet cookie

21:40: Mise en quarantaine de toutes les traces : xiti cookie

21:40: Mise en quarantaine de toutes les traces : zedo cookie

21:40: Processus de suppression lancé. Durée 00:00:09

 

********

21:09: | Début de session, lundi, 6. février 2006 |

 

21:09: Spy Sweeper démarrée

21:09: Analyse lancée avec la version des définitions 556

21:09: Démarrage de l’analyse de la mémoire

********

 

21:07: | Début de session, lundi, 6. février 2006 |

 

21:07: Spy Sweeper démarrée

21:07: Analyse lancée avec la version des définitions 556

21:07: Démarrage de l’analyse de la mémoire

21:07: Analyse annulée

21:07: Analyse de la mémoire terminée, temps passé : 00:00:03

21:07: Traces trouvées : 0

21:09: | Fin de session, lundi, 6. février 2006 |

 

********

20:49: | Début de session, lundi, 6. février 2006 |

20:49: Spy Sweeper démarrée

21:07: | Fin de session, lundi, 6. février 2006 |

 

A+

Zarbi

[tornado]

Salut Zarbi,

 

 

Avant toute chose je viens de jeter un oeil à tes posts précédents et et notamment sur ça:

 

 

Par contre, j'ai fait un msconfig (oui, car entre deux, je n'ai plus de connexion internet sur l'ordi fixe (là je suis sur le portable)), et j'ai vu quand dans "démarrage", j'avais les fichiers suivants qui étaient inscrits :- type 32

- rblndnvx

- MediaGateway

- zango

- ctfmon

- MSWSA32

- BTTray

- Microsoft Office

 

 

J'avais pas fais attention à ça...

 

-Fais démarrer ---> exécuter ---> tape "msconfig"

-Va dans l'onglet "démarrage" et décoche les programmes suivants:

 

- type 32

- rblndnvx

- MediaGateway

- zango

- Microsoft Office

 

- Valide puis redémarre

 

Est ce que ce sont les seuls programmes qui se lancent au démarrage? Si ce n'est pas le cas, dis moi lesquels...

 

 

 

Sinon à propos de Spysweeper,

 

 

- Désinstalle les programme suivants (via "ajouter/supprimer des programmes"):

 

-Winantispyware 2005

-WinAd

 

Et supprime les dossiers Winantispyware 2005 et WinAd dans "program files"

 

As tu bien désinstallé Mediagateway puis vidé le dossier correspondant dans "program files" ?

 

 

Ensuite, tu va nettoyer ton registre en profondeur avec Jv16 powertools:

 

-Télécharge jv16 powertools depuis cette page ---> http://telechargement.zebulon.fr/201-jv16-powertools.html

-Nettoie ton registre selon ce tuto ---> http://www.zebulon.fr/articles/base-de-registre-3

-Supprime uniquement les clés associées à des "ronds verts" (va dans "sélection spéciale")

 

Remarque: il est possible que Jv16 bug, quitte-le puis relance-le si c'est le cas chez toi

 

 

Redémarre, fais un nouveau scan hijackthis puis colle le rapport dans ton prochain post.

 

A+ (en espérant que l'accouchement s'est bien passé )

Modifié le 7 février 2006 par tornado

[Mark]

Bonjour Zarbi, Liegeois, Tornado ;

 

Je viens de trouver ce topic, et quelque chose dans ces Services a attiré mon attention. Je vais jeter un oeil sur le prochain rapport HijackThis!, et puis je pourrai suggérer un nouvel outil (conçu pour éradiquer ce service..).

 

Tornado, tu peux m'envoyer un MP si jamais j'oublie de revenir ?

[Zarbi]

Hello, voilà pour le MSCONFIG :

j'ai supprimé :

- type32

- rblndnvx

- MediaGateway (dont j'avais suivi ta procédure et effacé le fichier dans program files)

- Microsoft Office

 

Zango n'existe plus (je prends ça pour une bonne nouvelle ).

Et il me reste dans les fichiers de démarrage :

- avgnt

- SpySweeper

- ctfmon

- MSWSA32

- msmsgs

- BTTray

 

Pour les programmes "winantispyware 2005" et "winAd", pas de trace ni dans "ajouter-supprimer programmes", ni dans program files...

 

Et décidément, ce n'est pas ma journée, j'ai téléchargé Jv16 (version 1.5) toujours sur un stick USB pour le passer sur le pc fixe et du coup, je n'ai pas du tout les mêmes copies d'écran que dans le tutorial. Je m'en suis à peu près sortie jusqu'au "feu rouge-feu vert", car chez moi il n'y a pas de feux de couleur, difficile donc de supprimer ou non des entrées. Tu as une idée d'où vient le problème ?

 

Par contre, Jv16 me dit que la santé de mon système est de 64%... Après toutes ces manoeuvres, on est encore en stade assez critique... 2 chances sur 3 de s'en sortir... bof...

 

Enfin je te mets quand même un rapport de Hijackthis, à tout hasard et pour Qc001 qui nous lit !

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:30:15, on 07.02.2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\etc\dlls\s.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\drivers\etc\dlls\explorer.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Documents and Settings\HCBuff\Bureau\Utilitaires\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ch\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ch\msntb.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunServices: [DGam prosessor] rbldnvx.exe

O4 - HKLM\..\RunServices: [Telnet24] nrbfxxim.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MS Windows System Alert] MSWSA32.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

 

 

Encore merci pour ta patience... la mienne commence à s'émousser... Faut dire que l'accouchement n'a pas encore eu lieu et que j'ai de la peine à atteindre le clavier tant mon ventre est rond ou mes bras trop courts.... !!!

[tornado]

Re,

 

 

Les fichiers que tu avais supprimés réapparaissent dans ton log

 

 

Fais attention à bien faire ceci avant toute chose:

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

 

 

On va procéder avec la killbox, un utilitaire efficace pour se débarasser des fichiers malveillants:

 

-Téléchage ce soft à cette adresse: http://www.downloads.subratam.org/KillBox.zip

-Une fois lancé, recherche les fichiers suivants : (dans le champ "full path or file to delete") -->

 

- rbldnvx.exe

- MSWSA32.exe

- nrbfxxim.exe

 

NB: ces fichiers se situent normalement dans C:\Windows ou C:\Windows\system32

 

- Coche la ligne "delete on reboot"

- Supprime le fichier -->

- Redémarre (à chaque fichier supprimé tu redémarres)

 

 

 

- Télécharge "deldomains" --> http://www.mvps.org/winhelp2002/restricted.htm (sur "Deldomain.inf", fais clic droit puis "enregistrer la cible du lien sous"

- Et c'est tout car il s'exécute pendant le téléchargement

- Redémarre

 

Fais un nouveau scan hijackthis puis poste le nouveau rapport

 

Encore merci pour ta patience... la mienne commence à s'émousser... Faut dire que l'accouchement n'a pas encore eu lieu et que j'ai de la peine à atteindre le clavier tant mon ventre est rond ou mes bras trop courts.... !!! icon_smile.gif

 

 

A+

Modifié le 7 février 2006 par tornado

[Zarbi]

Hello, je confirme que les options d'affichage étaient bien telles que celles présentées.

Pour la Killbox, actuellement le site ne fonctionne pas, je vais revenir plus tard, mais j'ai encore fait une recherche avec les trois noms de fichiers

 

- rbldnvx.exe

- MSWSA32.exe

- nrbfxxim.exe

 

et je n'ai rien trouvé.

Je reviens dans un moment lorsque la Killbox daignera répondre.

 

A+