"Infectée par SpyFalcon et Instant Access"

lyd91 · le 17 février 2006

re-bjr Qc001,

voilà le nouveau rapport hijackthis !

Logfile of HijackThis v1.99.1

Scan saved at 11:21:13, on 17/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\mssearchnet.exe

C:\WINDOWS\system32\nvctrl.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\hphmon06.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\AGRSMMSG.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\BroadJump\Client Foundation\CFD.exe

C:\Program Files\Fichiers communs\Talkway\vmtalk.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

C:\WINDOWS\VM_STI.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\RamBoost XP\rambxpfr.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Club-Internet\Docteur Club Internet\bin\mpbtn.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\PROGRA~1\NORTON~1\navw32.exe

C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\Rar$EX11.250\HijackThis.exe

C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp3E2D.tmp

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [bJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe

O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunServices: [MSys32] "C:\Program Files\Morfit\Secret Mission ep1\morfitwebentrance.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [steam] C:\Valve\Steam\Steam.exe -silent

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [boontyBox] "C:\Program Files\Boonty\BoontyBox\BoontyBox.exe" /boot

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eChanblard\emule.exe -AutoStart

O4 - HKCU\..\Run: [instant Access] rundll32.exe p2esocks_1049.dll,InstantAccess

O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Docteur Club Internet\bin\matcli.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...?p=ZNxdm414YYFR

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.reliablestats.com

O15 - Trusted Zone: http://*.winantispyware.com

O15 - Trusted Zone: http://*.winantivirus.com

O15 - Trusted Zone: http://*.winantiviruspro.com

O15 - Trusted Zone: http://*.winnanny.com

O15 - Trusted Zone: http://*.winsoftware.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {39EA2F6F-3F50-4F58-9C63-4B3D53B0926E} - http://scripts.downloadv3.com/binaries/P2E..._1049_FR_XP.cab

O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130859088093

O16 - DPF: {6AA85413-165C-4200-8154-71166077B22E} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1132354513187

O16 - DPF: {8B3B8135-9DAA-40E7-8941-962795F9C1CB} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/as...rl/SymAData.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{938D1B8B-660D-4E2E-8994-B4320F9D81AC}: NameServer = 192.168.1.1,194.117.200.10

O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - F:\CDS300\__CDS2.dll (file missing)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - rundll32.exe (file missing)

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

j'attend de tes nouvelles.

En tout cas merci pour ta disponibilité...

Gof · le 17 février 2006

Salut Lyd91

Il va te falloir attendre un petit peu, les conseillers sécurité sont overbookés les pauvres !

Mark · le 17 février 2006

Salut Lyd, et merci d'avoir lancé ta propre discussion

Ok, je dois préparer ton fix, et aller lire un peu avant de le poster. Donne-moi 30 à 60 minutes, et tu auras la suite des instructions.

Merci de patienter ! et à tantôt..

Mark · le 17 février 2006

Lyd ; je te propose deux manips qui peuvent sembler complexes à première vue, mais tout va bien aller si tu suis les étapes telles qu'indiquées. Je vais te demander d'imprimer ces instructions, car tu devras démarrer en Sans Échec (un peu plus loin dans la procédure, donc tu ne pourras pas consulter Zeb' - ni naviguer ; tu pourrais également les coller dans un fichier texte si tu préfères. Si jamais tu bloques, ne te gêne surtout pas et pose des questions

========================================

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe

Sous Scriptline to execute copie/colle cette ligne :

c:\bfu\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK. Ce sera très rapide.

Clique Exit pour fermer le programme BFU.

===================================

Assure-toi de bien voir les fichiers/dossiers cachés : lance l'Explorateur Windows (clic-droit sur le bouton "Démarrer" >> "Explorer"), puis clique sur le menu "Outils" >> "Options des dossiers..." >> onglet "Affichage" :

- Coche "Afficher le contenu des dossiers sytème"

- Active le bouton "Afficher les fichiers et dossiers cachés"

- Décoche "Masquer les extensions des fichiers dont le type est connu"

- Clique {b]OK[/b] et ferme l'Explorateur.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Télécharge smitRem.exe (de Noahdfear) et sauvegarde-le sur ton Bureau.

Double-clique le fichier afin d'en extraire le contenu sur ton Bureau (dossier nommé smitRem).

Utilisant Internet Explorer, place un raccourci vers Panda ActiveScan sur ton Bureau (ouvre la page d'ActiveScan ; clique sur le menu "Ficher" >> "Envoyer" >> "Raccourci vers le Bureau").

Télécharge la version d'essai d'Ewido Anti-Malware ici :

http://www.ewido.net/fr/

..et installe le (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu").

Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. Ne pas lancer le scan tout de suite.

Fais un clic-droit sur le lien suivant FixSF.reg : (de Grinler) ;

..et choisis "Enregistrer la cible sous...", et sauvegarde-le sur ton Bureau.

Lance le fichier Fixsf.reg (double-clique), et accepte la fusion.

- Redémarre en Sans Échec : redémarre et tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages. Avec les flèches du clavier, choisis "Mode sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

- Avec l'Explorateur Windows, recherche et supprime de fichier et dossier :

C :\Windows\System32\dxmpp.dll << fichier

C:\Program Files\SpyFalcon << dossier

- Lance HijackThis!, clique "Do a system scan only", puis coche cette ligne (si présente) et clique FIX CHECKED:

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...?p=ZNxdm414YYFR

O15 - Trusted Zone: http://*.reliablestats.com

O15 - Trusted Zone: http://*.winantispyware.com

O15 - Trusted Zone: http://*.winantivirus.com

O15 - Trusted Zone: http://*.winantiviruspro.com

O15 - Trusted Zone: http://*.winnanny.com

O15 - Trusted Zone: http://*.winsoftware.com

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab

Ferme HijackThis!

- Ouvre le dossier smitRem, puis double-clique RunThis.bat afin de lancer l'outil. Suis les instructions à l'écran : accepte la désinstallation de programmes rogues - si suggérée - ainsi que la réparation du registre.

Attends que l'outil termine, ainsi que "Disk cleanup".

Un rapport nommé smitfiles.txt sera créé à la racine du disque principal (habituellement le C:, donc le rapport sera à C:\smitfiles.txt)

Lance Ewido et clique sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

Ensuite : va dans le Panneau de Configuration et double-clique sur "Affichage" >> onglet "Bureau" >> clique le bouton "Personnalisation du Bureau.." >> onglet "Web" >> Décoche "Security Info" si présent.

Redémarre ton PC en mode Normal, puis double-clique le raccourci vers Panda ActiveScan ;

- Clique sur Analysez votre PC

- Suis les instructions, et fournis les informations exigées (adresse email, pays, etc...)

- Choisis le scan des "Disques locaux"

- Sauvegarde le rapport généré sur ton Bureau

Poste le rapport de Panda, ainsi qu'un nouveau rapport HijackThis!, le contenu de smitfiles.txt et le rapport d'Ewido dans ta prochaine réponse.

Prends bien le temps nécessaire, et à bientôt

Modifié le 17 février 2006 par Qc001

lyd91 · le 17 février 2006

Lyd ; je te propose deux manips qui peuvent sembler complexes à première vue, mais tout va bien aller si tu suis les étapes telles qu'indiquées. Je vais te demander d'imprimer ces instructions, car tu devras démarrer en Sans Échec (un peu plus loin dans la procédure, donc tu ne pourras pas consulter Zeb' - ni naviguer ; tu pourrais également les coller dans un fichier texte si tu préfères. Si jamais tu bloques, ne te gêne surtout pas et pose des questions

========================================

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe

Sous Scriptline to execute copie/colle cette ligne :

c:\bfu\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK. Ce sera très rapide.

Clique Exit pour fermer le programme BFU.

===================================

Assure-toi de bien voir les fichiers/dossiers cachés : lance l'Explorateur Windows (clic-droit sur le bouton "Démarrer" >> "Explorer"), puis clique sur le menu "Outils" >> "Options des dossiers..." >> onglet "Affichage" :

- Coche "Afficher le contenu des dossiers sytème"

- Active le bouton "Afficher les fichiers et dossiers cachés"

- Décoche "Masquer les extensions des fichiers dont le type est connu"

- Clique {b]OK[/b] et ferme l'Explorateur.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Télécharge smitRem.exe (de Noahdfear) et sauvegarde-le sur ton Bureau.

Double-clique le fichier afin d'en extraire le contenu sur ton Bureau (dossier nommé smitRem).

Utilisant Internet Explorer, place un raccourci vers Panda ActiveScan sur ton Bureau (ouvre la page d'ActiveScan ; clique sur le menu "Ficher" >> "Envoyer" >> "Raccourci vers le Bureau").

Télécharge la version d'essai d'Ewido Anti-Malware ici :

http://www.ewido.net/fr/

..et installe le (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu").

Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. Ne pas lancer le scan tout de suite.

Fais un clic-droit sur le lien suivant FixSF.reg : (de Grinler) ;

..et choisis "Enregistrer la cible sous...", et sauvegarde-le sur ton Bureau.

Lance le fichier Fixsf.reg (double-clique), et accepte la fusion.

- Redémarre en Sans Échec : redémarre et tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages. Avec les flèches du clavier, choisis "Mode sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

- Avec l'Explorateur Windows, recherche et supprime de fichier et dossier :

C :\Windows\System32\dxmpp.dll << fichier

C:\Program Files\SpyFalcon << dossier

- Lance HijackThis!, clique "Do a system scan only", puis coche cette ligne (si présente) et clique FIX CHECKED:

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...?p=ZNxdm414YYFR

O15 - Trusted Zone: http://*.reliablestats.com

O15 - Trusted Zone: http://*.winantispyware.com

O15 - Trusted Zone: http://*.winantivirus.com

O15 - Trusted Zone: http://*.winantiviruspro.com

O15 - Trusted Zone: http://*.winnanny.com

O15 - Trusted Zone: http://*.winsoftware.com

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab

Ferme HijackThis!

- Ouvre le dossier smitRem, puis double-clique RunThis.bat afin de lancer l'outil. Suis les instructions à l'écran : accepte la désinstallation de programmes rogues - si suggérée - ainsi que la réparation du registre.

Attends que l'outil termine, ainsi que "Disk cleanup".

Un rapport nommé smitfiles.txt sera créé à la racine du disque principal (habituellement le C:, donc le rapport sera à C:\smitfiles.txt)

Lance Ewido et clique sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

Ensuite : va dans le Panneau de Configuration et double-clique sur "Affichage" >> onglet "Bureau" >> clique le bouton "Personnalisation du Bureau.." >> onglet "Web" >> Décoche "Security Info" si présent.

Redémarre ton PC en mode Normal, puis double-clique le raccourci vers Panda ActiveScan ;

- Clique sur Analysez votre PC

- Suis les instructions, et fournis les informations exigées (adresse email, pays, etc...)

- Choisis le scan des "Disques locaux"

- Sauvegarde le rapport généré sur ton Bureau

Poste le rapport de Panda, ainsi qu'un nouveau rapport HijackThis!, le contenu de smitfiles.txt et le rapport d'Ewido dans ta prochaine réponse.

Prends bien le temps nécessaire, et à bientôt

Salut Qc001,

alors voilà, je pense que j'ai reussi a m'en sortir; qoui qu'il en soit, voici les nouveaux rapports:

PANDA

Incident Statut Analyse

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\HP_Propriétaire\Bureau\smitRem\Process.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\HP_Propriétaire\Bureau\smitRem.exe[Process.exe]

Spyware:Cookie/WinFixer No Désinfecté C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@winfixer[2].txt

Spyware:Cookie/Spytrooper No Désinfecté C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@www.spytrooper[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@xiti[1].txt

Adware:adware/securityerror No Désinfecté C:\Documents and Settings\HP_Propriétaire\Favoris\Antivirus Test Online.url

Adware:Adware/IST.ISTBar No Désinfecté C:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\(cam) blue guilty.ace[setup.exe]

Adware:Adware/IST.ISTBar No Désinfecté C:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\blue guilty.ace[setup.exe]

Joke:Joke/MouseShoot No Désinfecté C:\Documents and Settings\HP_Propriétaire\Mes documents\mails\Souris.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\HP_Propriétaire\smitRem\Process.exe

Outil indésirable:Application/KillApp.B No Désinfecté C:\hp\bin\KillIt.exe

Security Risk:HackTool/Gendel.A No Désinfecté C:\Patisserie\setup\gendel32.ex_

Outil indésirable:Application/Winantivirus2006 No Désinfecté C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006\WapCHK.dll

Outil indésirable:Application/FunWeb No Désinfecté C:\Program Files\hijackthis\backups\backup-20060217-170245-243.inf

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MSN Messenger\riched20.dll

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3CJPEG.DLL

Outil indésirable:Application/FunWeb No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3DTACTL.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3HISTSW.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3HTMLMU.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3HTTPCT.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3PSSAVR.SCR

Outil indésirable:Application/FunWeb No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3REPROX.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3RESTUB.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3SCHMON.EXE

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3SCRCTR.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3WPHOOK.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\M3HTML.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\M3IDLE.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\M3OUTLCN.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\M3PLUGIN.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\M3SKIN.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\MWSOEPLG.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\MWSOESTB.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\NPMYWEBS.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\Game\CHECKERS.F3S

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\Game\CHESS.F3S

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\Game\REVERSI.F3S

Dialer:dialer.b No Désinfecté C:\WINDOWS\Downloaded Program Files\EGAUTH.inf

Outil indésirable:Application/MyWebSearch No Désinfecté C:\WINDOWS\system32\f3PSSavr.scr

Adware:adware/navipromo No Désinfecté C:\WINDOWS\system32\msegcompid.dll

Dialer:Dialer.FWJ No Désinfecté C:\WINDOWS\system32\syswbsvc32.dll

HIJACKTHIS (NOUVEAU)

Logfile of HijackThis v1.99.1

Scan saved at 19:39:04, on 17/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\hphmon06.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\AGRSMMSG.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\BroadJump\Client Foundation\CFD.exe

C:\Program Files\Fichiers communs\Talkway\vmtalk.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\VM_STI.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\RamBoost XP\rambxpfr.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program Files\Internet Explorer\iexplore.exe