Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

svchost.exe = virus ?

Liline33
 Partager

Messages recommandés

Liline33 Member

Liline33

Posté(e)
  • Auteur
Posté(e)

Désolée pour ce contre-temps, j'ai des imprévus :P

 

Voici le premier rapport

 

*----------------------------------------------------------------------------------------------------------------------*

3D Prophet KYRO Series

ACDSee 7.0 PowerPack

Ad-Aware SE Personal

Adobe Acrobat 5.0

Adobe Photoshop 5.5

adsl TV

Avira AntiVir PersonalEdition Classic

BSPlayer

CloneCD

DAEMON Tools

EasyCleaner

Extension Système de Microsoft Money

Hercules Tools

HijackThis 1.99.1

Hijackthis Version Française

J2SE Runtime Environment 5.0 Update 2

J2SE Runtime Environment 5.0 Update 4

Java 2 Runtime Environment, SE v1.4.2_05

Java 2 Runtime Environment, SE v1.4.2_06

K-Lite Codec Pack 2.20 Full

Language pack for Ad-Aware SE

Microsoft Money

Microsoft Office 2000 SR-1 Premium

Nimo Codecs Pack v5.0 (Remove Only)

PowerDVD

QuickTime

Registry Cleaner

Ski Racing 2006

Spybot - Search & Destroy 1.4

TAROT MASTER(démo)

USB Scanner

VideoLAN VLC media player 0.8.4a

Warcraft II BNE

Winamp (remove only)

Worms World Party

Worms2

*----------------------------------------------------------------------------------------------------------------------*

 

et voici le second

*----------------------------------------------------------------------------------------------------------------------*

StartupList report, 09/03/2006, 23:38:10

StartupList version: 1.52.2

Started from : C:\Program Files\Anti-Virus\Diagnostique\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

Detected: Windows XP SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)

* Using default options

==================================================

 

Running processes:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Microsoft Money\System\mnyexpr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Anti-Virus\Diagnostique\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

--------------------------------------------------

 

Listing of startup folders:

 

Shell folders Common Startup:

[C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage]

Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe

Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

 

--------------------------------------------------

 

Checking Windows NT UserInit:

 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 

PMXInit = C:\WINDOWS\system32\pmxinit.exe

WinampAgent = C:\Program Files\Winamp\winampa.exe

SunJavaUpdateSched = C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

CloneCDElbyCDFL = "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

CloneCDTray = "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"

NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe

DAEMON Tools-1033 = "C:\Program Files\D-Tools\daemon.exe" -lang 1033

Device Detector = DevDetect.exe -autorun

QuickTime Task = "C:\Program Files\QuickTime\qttask.exe" -atboottime

avgnt = "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

 

MoneyAgent = "C:\Program Files\Microsoft Money\System\mnyexpr.exe"

 

--------------------------------------------------

 

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

 

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

 

Shell & screensaver key from Registry:

 

Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\system32\logon.scr

drivers=*Registry value not found*

 

Policies Shell key:

 

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

 

--------------------------------------------------

 

 

Enumerating Task Scheduler jobs:

 

notepad.job

 

--------------------------------------------------

 

Enumerating Download Program Files:

 

[QuickTime Object]

InProcServer32 = C:\Program Files\QuickTime\QTPlugin.ocx

CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

 

--------------------------------------------------

 

Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

 

Windows NT checkdisk command:

BootExecute = autocheck autochk *

 

Windows NT 'Wininit.ini':

PendingFileRenameOperations: C:\Documents and Settings\All Users.WINDOWS\Application Data\AntiVir PersonalEdition Classic\Update\AVUPDATE_4410a622\UPDENGVDFTEST|||V

 

--------------------------------------------------

 

Enumerating ShellServiceObjectDelayLoad items:

 

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\system32\webcheck.dll

SysTray: C:\WINDOWS\system32\stobject.dll

 

--------------------------------------------------

End of report, 5 315 bytes

Report generated in 0,081 seconds

 

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

*----------------------------------------------------------------------------------------------------------------------*

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

Je vais t'embêter.... :P ton rapport n'est pas complêt on dirait! as tu tout copié pour le second?

 

En ce qui concerne le premier il est clean pas de soucis!

 

Bon on continue si tu veux bien comme ceci pour s'assurer que tout est propre:

 

Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

-Ferme tous les programmes(déconnecte toi d'internet) et clique sur "Fix Checked"

 

-Télécharge la version d'essai d'Ewido:ici :

et l'installer (important: pendant l'installation, sur la page "Additional Options"

décocher les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

 

Redémarre en mode Sans Échec

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find".Lorsque le scan est terminé,clique sur "Delete all".

 

-Lances Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

 

-Redémarre normalement et poste le rapport d'Ewido + le rapport d'hijackthis complêt(le second que tu as posté) stp :P Apres ca ca devrait aller :-P

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites
Liline33 Member

Liline33

Posté(e)
  • Auteur
Posté(e)

Bonsoir tout le monde :P

 

Je vais t'embêter.... :P ton rapport n'est pas complêt on dirait! as tu tout copié pour le second?

 

J'ai relancé hier l'application, le rapport ne donnait pas plus. Désolée. On verra celui de ce soir ce qu'il donne.

 

Par contre, voici d'abord le rapport d'Ewido.

Ce fut long, 1h30 d'exécution, pour finalement trouver 61 fichiers infectés !!!! Ca fait peur. C'est à se demander comment on peut trouver de telles différences entre les antivirus.

Et ce qui m'étonne également, c'est que la grande majorité des fichiers infectés sont donc des cookies ou autres fichiers temporaires alors que je les avais nettoyer au préalable. Est-ce que celà peut-il venir du fait que lorsque je me connecte sous Windows en mode normal j'utilise ma connexion standard alors que lorsque je me connecte en mode sans echec je suis obligée de me logger en tant qu'administrateur. Avec mon login habituel il ne refuse l'accés.

 

*---------------------------------------------------------------------------------------------------------------------*

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 06:37:55, 10/03/2006

+ Somme de contrôle: 23D35F24

 

+ Résultats du scan:

 

C:\!KillBox\ipnetwork.exe -> Adware.Maxifiles : Nettoyer et sauvegarder

C:\Documents and Settings\Aline.HOME\Cookies\[email protected][2].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\Aline.HOME\Cookies\[email protected][2].txt -> TrackingCookie.Adocean : Nettoyer et sauvegarder

C:\Documents and Settings\Aline.HOME\Cookies\[email protected][1].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder

C:\Documents and Settings\Aline.HOME\Cookies\aline@com[2].txt -> TrackingCookie.Com : Nettoyer et sauvegarder

C:\Documents and Settings\Aline.HOME\Cookies\aline@ivwbox[2].txt -> TrackingCookie.Ivwbox : Nettoyer et sauvegarder

C:\Documents and Settings\Aline.HOME\Cookies\aline@paypopup[1].txt -> TrackingCookie.Paypopup : Nettoyer et sauvegarder

C:\Documents and Settings\Aline.HOME\Cookies\[email protected][2].txt -> TrackingCookie.Paypopup : Nettoyer et sauvegarder

C:\Documents and Settings\Aline.HOME\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\Aline.HOME\Cookies\aline@starware[2].txt -> TrackingCookie.Starware : Nettoyer et sauvegarder

C:\Documents and Settings\Aline.HOME\Cookies\aline@yadro[1].txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

C:\Documents and Settings\Aline.HOME\Local Settings\Temp\ImInstaller\IncrediMail\incredimail_install[1].exe -> Not-A-Virus.Downloader.Win32.ImLoader.c : Nettoyer et sauvegarder

C:\Documents and Settings\Aline.HOME\Local Settings\Temporary Internet Files\Content.IE5\I3CXQD43\prompt[1].htm -> Downloader.IstBar.j : Nettoyer et sauvegarder

C:\Documents and Settings\Aline.HOME\Local Settings\Temporary Internet Files\Content.IE5\I3CXQD43\prompt[2].htm -> Downloader.IstBar.j : Nettoyer et sauvegarder

C:\Documents and Settings\Aline.HOME\Local Settings\Temporary Internet Files\Content.IE5\S127SHMR\incredimail_install[1].exe -> Not-A-Virus.Downloader.Win32.ImLoader.c : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\[email protected][2].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\[email protected][2].txt -> TrackingCookie.Adocean : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\[email protected][1].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\[email protected][3].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\aline@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\aline@com[2].txt -> TrackingCookie.Com : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\aline@cpvfeed[1].txt -> TrackingCookie.Cpvfeed : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\aline@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\aline@ivwbox[2].txt -> TrackingCookie.Ivwbox : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\aline@paypopup[1].txt -> TrackingCookie.Paypopup : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\[email protected][2].txt -> TrackingCookie.Tfag : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\[email protected][2].txt -> TrackingCookie.Paypopup : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\aline@starware[2].txt -> TrackingCookie.Starware : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\[email protected][2].txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\aline@weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\[email protected][1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\[email protected][2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\aline@yadro[1].txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\aline@yadro[2].txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Cookies\aline@zedo[1].txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\Cookies\[email protected][1].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\Cookies\aline@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\Cookies\aline@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\Cookies\[email protected][1].txt -> TrackingCookie.Overture : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\Cookies\aline@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\Cookies\aline@overture[1].txt -> TrackingCookie.Overture : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\Cookies\[email protected][1].txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\Cookies\aline@weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\Cookies\[email protected][2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\Cookies\[email protected][1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\Cookies\aline@zedo[1].txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\temp.fr9ED9 -> Adware.Look2Me : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\Temporary Internet Files\Content.IE5\EFDQIG8R\mousepad1[1].exe -> Hijacker.VB.li : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\Temporary Internet Files\Content.IE5\EFDQIG8R\ucmoreiex[1].exe/UCMTSAIE.DLL -> Adware.Ucmore : Nettoyer et sauvegarder

C:\Documents and Settings\aline.HOME.000\Local Settings\Temp\Temporary Internet Files\Content.IE5\EFDQIG8R\ucmoreiex[1].exe/IUCMORE.DLL -> Adware.Ucmore : Nettoyer et sauvegarder

C:\drsmartload1.exe -> Downloader.VB.ya : Nettoyer et sauvegarder

C:\Program Files\TheSearchAccelerator -> Adware.UCmore : Nettoyer et sauvegarder

C:\Program Files\TheSearchAccelerator\INSTALL.LOG -> Adware.UCmore : Nettoyer et sauvegarder

C:\ucmoreiex.exe/UCMTSAIE.DLL -> Adware.Ucmore : Nettoyer et sauvegarder

C:\ucmoreiex.exe/IUCMORE.DLL -> Adware.Ucmore : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Cookies\[email protected][2].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Cookies\aline@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Cookies\aline@paypopup[2].txt -> TrackingCookie.Paypopup : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Cookies\[email protected][2].txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Cookies\aline@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

 

 

::Fin du rapport

*---------------------------------------------------------------------------------------------------------------------*

 

 

Et voici le rapport d'HiJackThis, obtenu avec l'option "Générer liste de départ" :

*---------------------------------------------------------------------------------------------------------------------*

StartupList report, 10/03/2006, 22:05:25

StartupList version: 1.52.2

Started from : C:\Program Files\Anti-Virus\Diagnostique\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

Detected: Windows XP SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)

* Using default options

==================================================

 

Running processes:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Anti-Virus\Ewido\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Microsoft Money\System\mnyexpr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Anti-Virus\Diagnostique\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

--------------------------------------------------

 

Listing of startup folders:

 

Shell folders Common Startup:

[C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage]

Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe

Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

 

--------------------------------------------------

 

Checking Windows NT UserInit:

 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 

PMXInit = C:\WINDOWS\system32\pmxinit.exe

WinampAgent = C:\Program Files\Winamp\winampa.exe

SunJavaUpdateSched = C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

CloneCDElbyCDFL = "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

CloneCDTray = "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"

NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe

DAEMON Tools-1033 = "C:\Program Files\D-Tools\daemon.exe" -lang 1033

Device Detector = DevDetect.exe -autorun

QuickTime Task = "C:\Program Files\QuickTime\qttask.exe" -atboottime

avgnt = "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

 

MoneyAgent = "C:\Program Files\Microsoft Money\System\mnyexpr.exe"

 

--------------------------------------------------

 

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

 

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

 

Shell & screensaver key from Registry:

 

Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\system32\logon.scr

drivers=*Registry value not found*

 

Policies Shell key:

 

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

 

--------------------------------------------------

 

 

Enumerating Task Scheduler jobs:

 

notepad.job

 

--------------------------------------------------

 

Enumerating Download Program Files:

 

[QuickTime Object]

InProcServer32 = C:\Program Files\QuickTime\QTPlugin.ocx

CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

 

--------------------------------------------------

 

Enumerating ShellServiceObjectDelayLoad items:

 

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\system32\webcheck.dll

SysTray: C:\WINDOWS\system32\stobject.dll

 

--------------------------------------------------

End of report, 4 863 bytes

Report generated in 0,151 seconds

 

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

 

*---------------------------------------------------------------------------------------------------------------------*

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut Liline33 :P

 

Ce fut long, 1h30 d'exécution, pour finalement trouver 61 fichiers infectés !!!! Ca fait peur. C'est à se demander comment on peut trouver de telles différences entre les antivirus.

En ce qui concerne les cookies, ne t'inquiêtes pas:ce ne sont pas des infections à proprement parler! on en récupère tous lorsqu'on surfe sur le web!

Ewido a bien bossé!Par contre je suis aussi étonné de voir que les fichiers temp ne sont pas nettoyés...

 

Un peu de nettoyage avec ce petit utilitaire tres simple et tres léger=>

 

Télécharge ATF Cleaner by Atribune sur ton bureau.

 

Redémarre en mode Sans Échec

 

*Supprime le dossier en gras dans C:\

 

C:\!KillBox

 

*Passe par Démarrer=> Exécuter =>tapes cleanmgr

*Lorsque le scan est terminé, sélectionne le disque C

*Dans l'onglet "nettoyage de disque pour C" coche toutes les cases.

*Clique sur Ok.Le nettoyage va démarrer.

 

Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

*Redémarre et fait s'il te plait ce scan:

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

 

Est-ce que celà peut-il venir du fait que lorsque je me connecte sous Windows en mode normal j'utilise ma connexion standard alors que lorsque je me connecte en mode sans echec je suis obligée de me logger en tant qu'administrateur. Avec mon login habituel il ne refuse l'accés.

Tu ne peux pas te connecter à ta session en mode sans échec?est ce qu'elle apparait ?si oui, reçois tu un message d'erreur lorsque tu tentes de te logger(si oui lequel?)

Lien vers le commentaire
Partager sur d’autres sites
Liline33 Member

Liline33

Posté(e)
  • Auteur
Posté(e)

Bonsoir; :P

 

j'ai réalisé toutes les procédures que vous m'aviez demandées, dont l'analyse par Panda dont voici le résultat :

 

*-------------------------------------------------------------------------------------------------------------------*

Incident Statut Analyse

 

Outil indésirable:Application/RegClean32 No Désinfecté C:\Program Files\Registry Cleaner Trial\regclean.dll

Outil indésirable:application/regclean32 No Désinfecté C:\Documents and Settings\aline.HOME.000\Bureau\Registry Cleaner.lnk

Adware:adware/dollarrevenue No Désinfecté C:\WINDOWS\gimmygames.dat

Adware:adware/commad No Désinfecté C:\WINDOWS\uninstall_nmon.vbs

Adware:adware/sqwire No Désinfecté Registre Windows

Spyware:Cookie/Hbmediapro No Désinfecté C:\Documents and Settings\Aline.HOME\Cookies\[email protected][2].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\Aline.HOME\Cookies\aline@belnk[1].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\Aline.HOME\Cookies\[email protected][1].txt

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\Aline.HOME\Cookies\[email protected][1].txt

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\Aline.HOME\Cookies\[email protected][2].txt

Spyware:Cookie/Screensavers No Désinfecté C:\Documents and Settings\Aline.HOME\Cookies\[email protected][1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Aline.HOME\Cookies\aline@xiti[1].txt

Outil indésirable:Application/Processor No Désinfecté C:\Program Files\Anti-Virus\AntiVir\L2Mfix\l2mfix\Process.exe

Outil indésirable:Application/Processor No Désinfecté C:\Program Files\Anti-Virus\AntiVir\L2Mfix\l2mfix.exe[Process.exe]

Outil indésirable:Application/RegClean32 No Désinfecté C:\Program Files\Registry Cleaner Trial\regclean.dll

Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe

Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\uninstall_nmon.vbs

Joke:Joke/Cursor No Désinfecté Dossiers personnels\Boîte de réception\Lol\[Fwd: [Fwd: [Fwd: [Fwd: [Fwd: Bien suivre les instructions ! ! ! ! ! ! !]]]]]\merci.exe

Joke:Joke/Cursor No Désinfecté Dossiers personnels\Boîte de réception\Amis\TR: Enfin\TR: Enfin\calendrier_adriana_carambeu.zip[calendrier_adriana_carambeu.exe]

*-------------------------------------------------------------------------------------------------------------------*

 

 

Suite à cela, j'ai déjà supprimer le dossier ":\Program Files\Anti-Virus\AntiVir\L2Mfix"

 

 

 

Tu ne peux pas te connecter à ta session en mode sans échec?est ce qu'elle apparait ?si oui, reçois tu un message d'erreur lorsque tu tentes de te logger(si oui lequel?)

Ma session apparait bien. En tant normal je me connecte sans mot de passe. Or en mode sans echec, lors que je désire me connecter avec ce login il me met "mot de passe incorrect"

Avant, avec un copain nous avions monté un réseau. C'est lui qui avait tout mis en place (serveurs, postes de travail, firewall, anti virus, ...) et depuis qu'il est parti je ne sais plus trop ce qu'il me reste.

 

Désirez-vous un nouveau rapport HiJackThis ?

 

Autre petite question : ce copain me déconseillait Internet Explorer car selon lui c'est le logiciel le plus ouvert pour les virus et autres saloperies. Lui me conseillait plutot Mozilla. Est-ce que vous êtes du même avis ?

 

Bonne nuit.

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut Liline33

 

Un petit nettoyage pour commencer!

 

Redémarre en mode Sans Échec

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

*Supprime les fichiers en gras dans C:\WINDOWS:

 

C:\WINDOWS\gimmygames.dat => regarde si tu trouves d'autres fichiers gimmygames.

C:\WINDOWS\uninstall_nmon.vbs

 

*Supprime les fichiers en gras dans C:\Program Files:

 

C:\Program Files\Registry Cleaner Trial => un logiciel pour nettoyer le registre en version d'essai que tu peux éliminer(pas mauvais mais inutile).JV16 fait mieux, gratuitement.

 

*Supprime les fichiers en gras dans C:\WINDOWS\System32:

 

C:\WINDOWS\system32\Process.exe

 

*Lance ATF-Cleaner:

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

*Redémarre normalement et poste un rapport avec ServiceFilter:

 

Télecharger et lancer ServiceFilter:

  • Télécharger ServiceFilter.
  • Dézipper ServiceFilter.zip dans un répertoire dédié comme C:\ServiceFilter.
  • par l'explorateur retrouver ce dossier, l'ouvrir et double-cliquer sur ServiceFilter.vbs.
  • Votre anti-virus risque de se manifester, autoriser le script à se dérouler.
  • Un fichier texte sera ouvert (POST_THIS.TXT) listant tous les services autres que Windows.
  • Selectionner tout le texte (Ctrl + A ).
  • Copier (CTRL + C) et coller le tout (CTRL + V) dans la prochaine réponse.
  • Une copie de POST_THIS.TXT est sauvegardée dans le répertoire de ServiceFilter.vbs, en cas d'erreur.

*Refais stp quand tu pourras , un scan en ligne ici =>

 

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

 

Autre petite question : ce copain me déconseillait Internet Explorer car selon lui c'est le logiciel le plus ouvert pour les virus et autres saloperies. Lui me conseillait plutot Mozilla. Est-ce que vous êtes du même avis ?

Ton copain est de bon conseil :P : essaie Firefox qui est mieux sécurisé (ca n'engage à rien!) =>

 

-télécharge Firefox:

http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial par Mégataupe pour le sécuriser un peu plus.:

http://forum.zebulon.fr/index.php?showtopic=69628

 

Pour ce qui est de ce problème de mot de passe en mode sans échec,je vais aller voir ce que je trouve :P

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites
Liline33 Member

Liline33

Posté(e)
  • Auteur
Posté(e)

Me voici de retour ! :P

 

Le rapport de Service Filter est le suivant :

 

*--------------------------------------------------------------------------------------------------------------------*

The script did not recognize the services listed below.

This does not mean that they are a problem.

 

To copy the entire contents of this document for posting:

At the top of this window click "Edit" then "Select All"

Next click "Edit" again then "Copy"

Now right click in the forum post box then click "Paste"

 

########################################

 

ServiceFilter 1.1

by rand1038

 

Microsoft Windows XP Professionnel

Version: 5.1.2600 Service Pack 2

mars 13, 2006 22:37:15

 

 

---> Begin Service Listing <---

 

Unknown Service # 1

Service Name: AntiVirScheduler

Display Name: AntiVir PersonalEdition Classic Scheduler

Start Mode: Auto

Start Name: LocalSystem

Description: Service to schedule AntiVir jobs and ...

Service Type: Own Process

Path: c:\program files\antivir personaledition classic\sched.exe

State: Running

Process ID: 1132

Started: Vrai

Exit Code: 0

Accept Pause: Vrai

Accept Stop: Vrai

 

Unknown Service # 2

Service Name: AntiVirService

Display Name: AntiVir PersonalEdition Classic Guard

Start Mode: Auto

Start Name: LocalSystem

Description: Offers permanent protection against viruses and malware with the AntiVir search ...

Service Type: Own Process

Path: c:\program files\antivir personaledition classic\avguard.exe

State: Running

Process ID: 1144

Started: Vrai

Exit Code: 0

Accept Pause: Faux

Accept Stop: Vrai

 

Unknown Service # 3

Service Name: ewido security suite control

Display Name: ewido security suite control

Start Mode: Auto

Start Name: LocalSystem

Description: ...

Service Type: Own Process

Path: c:\program files\anti-virus\ewido\ewido anti-malware\ewidoctrl.exe

State: Running

Process ID: 1172

Started: Vrai

Exit Code: 0

Accept Pause: Faux

Accept Stop: Vrai

 

Unknown Service # 4

Service Name: Network Monitor

Display Name: Network Monitor

Start Mode: Disabled

Start Name: LocalSystem

Description: ...

Service Type: Own Process

Path: c:\program files\network monitor\netmon.exe service

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service #5

Service Name: SwPrv

Display Name: MS Software Shadow Copy Provider

Start Mode: Manual

Start Name: LocalSystem

Description: Gère les copies logicielles de clichés instantanés de volumes créés par le service de cliché ...

Service Type: Own Process

Path: c:\windows\system32\dllhost.exe /processid:{31e5cd98-01f5-45ad-ac07-d0e84fbe5db4}

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

---> End Service Listing <---

 

There are 83 Win32 services on this machine.

5 were unrecognized.

 

Script Execution Time: 7,304688 seconds.

*--------------------------------------------------------------------------------------------------------------------*

 

et celui de Kaspersky, qui on peut dire se sera fait attendre (10h20 d'analyse).

"J'comprends pas, j'croyais avoir l'ADSL" : :P

 

*--------------------------------------------------------------------------------------------------------------------*

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER - RAPPORT

mardi 14 mars 2006 19:15:50

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Version de Kaspersky On-line Scanner: 5.0.78.0

Dernière mise à jour de la base antivirus Kaspersky : 13/03/2006

Enregistrements dans la base antivirus Kaspersky : 171216

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie.: vrai

 

Cible de l'analyse - Poste de travail:

A:\

C:\

D:\

E:\

F:\

X:\

Y:\

Z:\

 

Statistiques de l'analyse:

Total d'objets analysés :: 131777

Nombre de virus trouvés: 2

Nombre d'objets infectés: 4

Nombre d'objets suspects: 0

Durée de l'analyse: 10:22:33

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\Aline.HOME\Local Settings\Application Data\Microsoft\Outlook\outlook.pst/Dossiers personnels/Boîte de réception/Archives/06 Aug 2004 07:36 from CITI:Citibank: Please Confirm Your Data.html Infecté: Trojan-Spy.HTML.Citifraud.ai ignoré

C:\Documents and Settings\Aline.HOME\Local Settings\Application Data\Microsoft\Outlook\outlook.pst Mail MS Mail: infecté - 1 ignoré

C:\Documents and Settings\Aline.HOME\Local Settings\Temporary Internet Files\Content.IE5\I3CXQD43\Ultra.DVD.Creator.v1.1.2_crack_serial_keygen[1].htm Infecté: Exploit.HTML.DialogArg ignoré

C:\Documents and Settings\Aline.HOME\Local Settings\Temporary Internet Files\Content.IE5\I3CXQD43\UltraDVD.5.5_crack_serial_keygen[1].htm Infecté: Exploit.HTML.DialogArg ignoré

 

Analyse terminée.

*--------------------------------------------------------------------------------------------------------------------*

 

Suite à cela, j'ai supprimé le message infecté dans Outlook, par contre pour les autres je ne sais pas trop si je dois les supprimer tels quels ou non.

 

J'attends vos conseils une fois de plus.

 

Mercio d'avance.

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut Liline33

 

ServiceFilter montre un service dont il faut se débarrasser!Allons y pour le nettoyage:

 

Redémarre en mode Sans Échec

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

*Supprime le dossier en gras dans C:\Program Files:

 

c:\program files\network monitor

 

*Supprime le contenu du dossier en gras

 

C:\Documents and Settings\Aline.HOME\Local Settings\Temporary Internet Files\Content.IE5

 

*vas dans le menu démarrer executer et tu tapes :cmd

 

dans la boite de dialogue qui s'ouvre, tu tapes :

sc stop Network Monitor et tapes sur [entrée]

sc delete Network Monitor et tapes sur [entrée] .Un message t'avertis du succès de l'opération.

 

Quitte l'invite de commandes.

 

*Lance ATF-Cleaner comme précédemment.

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

*Redémarre normalement, relance ServiceFilter et poste le rapport.

 

*Refais un dernier scan chez Panda et poste le rapport :P

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...