A l'aide !! rapport HijackThis

[clemclem]

Bien le bonsoir tornado,

 

Voila j'espere que j'ai bien tout fait comme il faut... donc j'te poste mes rapports, dis moi si c'est bon pour faire péter le champomy

 

 

merci, A+

 

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 23:36:24, 06/03/2006

+ Somme de contrôle: 681D01DF

 

+ Résultats du scan:

 

HKLM\SOFTWARE\Classes\AppID\adm.EXE -> Adware.Altnet : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\AppID\Altnet Signing Module.EXE -> Adware.Altnet : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

 

////////////////////////////////////////////////////////////////////////////////////

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 23:53:10, on 06/03/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\crypserv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\a-squared\a2guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"

O17 - HKLM\System\CCS\Services\Tcpip\..\{1515B9EE-2797-41E3-A5CC-B79711C224C7}: NameServer = 80.118.192.100,80.118.196.36

O17 - HKLM\System\CCS\Services\Tcpip\..\{5799401D-3A36-4AA0-99F0-F70D78425521}: NameServer = 80.118.192.100,80.118.196.36

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

[regis56]

Bonjour tout le monde !

 

Peut tu faire ceci STP clemclem ?

 

Utiliser la fonction rechercher via "démarrer/rechercher/des fichiers ou des dossiers"

Rechercher et supprimer le(s) fichier(s) en gras suivant(s) si présent(s):

(si problème voir ici http://www.hiboox.com/image.php?img=go6nc45.jpg Merci à Torrnado pour le lien )

Altnet

 

Si la recherche trouve quelque chose poster un rapport merci

 

A plus !

Modifié le 7 mars 2006 par regis56

[tornado]

Salut clemclem,

 

 

Voila j'espere que j'ai bien tout fait comme il faut... donc j'te poste mes rapports,

 

 

Tu as bien travaillé Le nouveau rapport hijackthis est propre.

 

 

dis moi si c'est bon pour faire péter le champomy

 

Pas encore, même si le nouveau rapport hijackthis est propre. Et Ewido a supprimé les traces d'altnet ...

 

 

 

J'aimerais que tu fasses le scan en ligne de panda pour terminer ---> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php

 

- Installe le contrôle activex

- Fais un scan "Disques locaux"

- Sauve puis poste le rapport du scan

 

 

A+

 

NB : Je ne vois aucun pare-feu d'installé sur ton rapport... je te conseille vivement d'en installer un car celui d'xp n'est pas suffisant : il ne filtre pas en sortie, cela signifie qu'un malware ayant infecté ton pc peut se connecter au net sans problème.

Je te recommande Zonealarm, qui s'associe très bien avec Antivir.

 

Tu peux le télécharger ici --> http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

 

Tu peux ensuite de servir de ce tuto pour l'utilisation du Firewall --> http://speedweb1.free.fr/frames2.php?page=tuto1

ET tu retrouve sur cette page une aide pour son paramétrage --> http://sitanibal.free.fr/zonealarm/ZoneAlarmHelp_Online.htm

Modifié le 7 mars 2006 par tornado

[clemclem]

Bonjour tout le monde !

 

Peut tu faire ceci STP clemclem ?

 

Utiliser la fonction rechercher via "démarrer/rechercher/des fichiers ou des dossiers"

Rechercher et supprimer le(s) fichier(s) en gras suivant(s) si présent(s):

(si problème voir ici http://www.hiboox.com/image.php?img=go6nc45.jpg Merci à Torrnado pour le lien )

Altnet

 

Si la recherche trouve quelque chose poster un rapport merci

 

A plus !

 

bonsoir regis56,

 

La recherche a trouvé un fichier Altnet.zip dans C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery je le supprime ??

 

C'est un rapport hijackthis que tu veux que je poste ensuite ?

 

Merci

[tornado]

Salut,

 

 

La recherche a trouvé un fichier Altnet.zip dans C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery je le supprime ??

 

 

Supprime-le, il fait partie des sauvegardes de Spybot. Merci à régis56

Pense à chaque scan de Spybot les sauvegardes en passant par "sauvegardes" --> "purger les éléments sélectionnés"

 

C'est un rapport hijackthis que tu veux que je poste ensuite ?

 

Nan, celui de panda

 

 

Bonne chance

[clemclem]

Salut tornado,

 

Pour le rapport j'demandais a regis56 qui me demandais un rapport...

 

Panda vient de finir donc le rapport :

 

 

Incident - Statut - Analyse

 

Virus:

Trj/ClassLoader.C - Désinfecté

C:\Documents and Settings\clément\ApplicationData\Sun\Java\Deployment\cache\javapi\v1.0\file\Counter.class-5be5e4fa-12e906f8.class

 

Outil indésirable:

Application/Processor - No Désinfecté

C:\Documents and Settings\clément\Bureau\zip\l2mfix.exe[Process.exe]

 

Outil indésirable:

Application/Processor - No Désinfecté

C:\Documents and Settings\clément\Bureau\zip\SmitfraudFix.zip[Process.exe]

 

Virus:

W32/Sdbot.gen.worm - Désinfecté

C:\WINDOWS\system32\cftmom.exe

 

Virus:

W32/Sdbot.ftp - Désinfecté

C:\WINDOWS\system32\o

 

Virus:

W32/Sdbot.gen.worm - Désinfecté

C:\WINDOWS\system32\sftmom.exe

 

Virus:

W32/Sdbot.gen.worm - Désinfecté

C:\WINDOWS\system32\winmsg.exe

 

 

 

Merci et j'vais regarder pour le firewall...

Modifié le 7 mars 2006 par clemclem

[tornado]

Re,

 

 

C'est bien, panda a supprimé tous les malwares trouvés

 

Pense cependant à supprimer L2mfix et Smitfraudfix de ton pc , ils ne sont pas infectieux mais sont souvent détecté comme infectieux par les av...

 

 

Si tu as le temps, tu peux faire un scan avec Spysweeper... :

 

Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/land/karangatria...lefr&ac=webroot

• Clique sur "Télécharger la version test".
  
• Installe le programme. Une fois installé, il se lancera.
  
• L'option de le mettre à jour s'affichera; clic Yes.
  
• Lorsque les mises à jour seront installées, clic Options sur la gauche.
  
• Clic sur l'onglet Sweep Options.
  
• Sous What to Sweep, coche les options suivantes:
  • 
    
  • Sweep Memory
    
  • Sweep Registry
    
  • Sweep Cookies
    
  • Sweep All User Accounts
    
  • Enable Direct Disk Sweeping
    
  • Sweep Contents of Compressed Files
    
  • Sweep for Rootkits
    
  • DÉCOCHE Do not Sweep System Restore Folder.
    

  [*]Clic Sweep Now sur la gauche.

  [*]Clic sur Start.

  [*]Quand le scan est terminé, clic sur Next.

  [*]Assure-toi que tous les items sont cochés, puis clic sur Next.

  [*]Tous les items cochés seront éliminés.

  [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.

  [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.

  [*]Clic sur l'onglet Summary, puis clic sur Finish.

  [*]Colle le contenu du "Session Log" dans ta prochaine réponse.

 

(merci à Qc001 )

 

 

 

Bonne chance

[clemclem]

Ok j'vais essayer Spysweeper mais là en fait j'ai toujours une alerte pour ce fichier :

 

C:\WINDOWS\system32\hlp.dll.vir

 

" Contains a signature of the ( dangerous ) backdoor program

BDS\Agent.AC Backdoor server programs. "

 

ça te dit quelque chose ??

 

merci

[tornado]

Re,

 

 

 

Fais analyser C:\WINDOWS\system32\hlp.dll avec ces 2 scans en lignes :

 

http://www.virustotal.com/flash/index_en.html

http://virusscan.jotti.org/

 

 

Et poste leurs rapports respectifs...

 

 

A+

[clemclem]

Hey salut Tornado !!

 

Bon j'ai testé de scanner ce fichier mais impossible...

le premier me dit qu'il fait +de 10Mb et donc qu'il ne peut pas le scanner ( alors qu'il fait 56Kb ).

 

et l'autre me dit :

" The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file "

 

et j'ai toujours des alertes de AV...