analyse de rapports hijackthis

[Thanos]

salut karine73

 

Ok , encore un peu de nettoyage! Ce fichier est récalcitrant, on va essayer de les virer comme ceci:

 

Étape 1:

 

-télécharge killbox et installe le dans un dossier:

http://www.downloads.subratam.org/KillBox.zip

 

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-HKEY_CLASSES_ROOT\CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239}]

 

-Enregistrer ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

 

Étape 2:

 

Redémarre en mode Sans Échec

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

-Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

Étape 4:

 

Supprime le contenu du dossier en gras

 

C:\hiajckthis\backups

 

-Repasse un coup de ATF Cleaner comme précédemment.

 

-Fermer toutes les applications en cours et lancer Killbox

 

-Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci:

C:\WINDOWS\Downloaded Program Files\f3initialsetup1.0.0.8.inf

-Assure toi que la case "Delete on Reboot" soit cochée.

-Cliquer sur la croix blanche sur fond rouge:

« File will be Removed on Reboot, Do you want to reboot now ? » répondre NON

 

Ensuite tu entres le chemin du fichier suivant=>

C:\RECYCLER\S-1-5-21-2807260956-3992868699-2228301123-1006\Dc2.exe

à la fin:

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

 

Le PC va redémarrer et supprimer le fichier de la liste.

 

Étape 5:

 

On voit un reste de Virtumonde dans la base de registre, on va utiliser cet outil pour le déloger:

 

Télécharge VirtumundoBegone sur le bureau:

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

 

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.

Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse .

Refais aussi un nouveau scan chez Panda et poste le rapport.

Modifié le 13 mars 2006 par charles ingals

[karine73]

bonsoir,

 

Voici le rapport vbg.txt :

 

 

[03/14/2006, 19:39:42] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Master\Bureau\VirtumundoBeGone.exe" )

[03/14/2006, 19:39:50] - Detected System Information:

[03/14/2006, 19:39:50] - Windows Version: 5.1.2600, Service Pack 2

[03/14/2006, 19:39:50] - Current Username: Master (Admin)

[03/14/2006, 19:39:50] - Windows is in NORMAL mode.

[03/14/2006, 19:39:50] - Searching for Browser Helper Objects:

[03/14/2006, 19:39:50] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)

[03/14/2006, 19:39:50] - BHO 2: {9394EDE7-C8B5-483E-8773-474BF36AF6E4} (ST)

[03/14/2006, 19:39:50] - BHO 3: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)

[03/14/2006, 19:39:50] - BHO 4: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (MSNToolBandBHO)

[03/14/2006, 19:39:50] - Finished Searching Browser Helper Objects

[03/14/2006, 19:39:50] - Finishing up...

[03/14/2006, 19:39:50] - Nothing found! Exiting...

 

 

Voici le rapport de panda :

 

 

Incident Statut Analyse

 

Adware:adware/searchrelevancy No Désinfecté Registre Windows

Outil indésirable:application/mywebsearch No Désinfecté HKEY_CLASSES_ROOT\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Master\Cookies\master@xiti[1].txt

Outil indésirable:Application/FunWeb No Désinfecté C:\!KillBox\f3initialsetup1.0.0.8.inf

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Master\Cookies\master@xiti[1].txt

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Master\Local Settings\Temp\nsdC.tmp

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Olivia\Cookies\olivia@weborama[2].txt

Merci

 

Karine

[Thanos]

salut karine73

 

C'est mieux Encore un peu de nettoyage!

 

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-HKEY_CLASSES_ROOT\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}]

 

-Enregistrer ce fichier dans : Bureau

-Nom du fichier : fix.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Note. ne clique pas sur le fichier maintenant!

 

Redémarre en mode Sans Échec

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

*Clique sur le fichier fix.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

*Supprime le contenu du dossier en gras

 

C:\Documents and Settings\Master\Local Settings\Temp

(assure toi qu'il est bien vide!)

 

*Supprime VirtumundoBeGone, il ne nous est plus utile!

 

*Repasse un coup de ATF Cleaner .

 

*Redémarre en mode normal, et fais un dernier scan chez Panda

Modifié le 15 mars 2006 par charles ingals

[karine73]

Salut,

 

Je n'arrive pas à faire un scan par panda il me demande un mot de passe alors j'ai fait un scan par kaspersky, j'espere que ça ira quand meme.

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER - RAPPORT

lundi 20 mars 2006 15:15:06

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Version de Kaspersky On-line Scanner: 5.0.78.0

Dernière mise à jour de la base antivirus Kaspersky : 20/03/2006

Enregistrements dans la base antivirus Kaspersky : 172021

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie.: vrai

 

Cible de l'analyse - Poste de travail:

C:\

D:\

 

Statistiques de l'analyse:

Total d'objets analysés :: 107901

Nombre de virus trouvés: 5

Nombre d'objets infectés: 8

Nombre d'objets suspects: 0

Durée de l'analyse: 00:50:27

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP432\A0091463.exe Infecté: Trojan-Downloader.Win32.Swizzor.dj ignoré

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP432\A0091465.exe Infecté: Trojan-Downloader.Win32.Swizzor.dj ignoré

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP432\A0091466.exe Infecté: Trojan-Downloader.Win32.Swizzor.de ignoré

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP432\A0091467.exe Infecté: Trojan-Downloader.Win32.Swizzor.cb ignoré

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP432\A0091468.exe Infecté: Trojan-Downloader.Win32.Swizzor.di ignoré

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP432\A0091469.exe Infecté: Trojan-Downloader.Win32.Swizzor.de ignoré

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP432\A0091470.exe Infecté: Trojan-Downloader.Win32.Swizzor.de ignoré

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP433\A0092647.dll Infecté: Trojan-Downloader.Win32.Swizzor.bo ignoré

 

Analyse terminée.

 

Merci.

[Thanos]

salut karine73

 

Le rapport de Kaspersky ,comme la dernière fois montre des points de restauration infectés , mais il ne faut s'en occuper qu'à la fin . La restauration est un outil important de Windows , gardons le sous le coude pour le moment!(les infections qui y sont détectées ne sont pas actives!).

 

Assure toi que ce programme n'est pas présent sur ton pc: mywebsearch .Pour cela, passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle le si tu trouves.

 

Etonnant que Panda ne fonctionne plus: essaie ceci stp:

 

*Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

-Ferme tous les programmes et clique sur "Fix Checked".

 

Apres ca, rééssaie le scan chez Panda!

 

De plus , pour être sûr que ton pc est clean ,fais ceci(programme que tu pourras garder par la suite pour scanner ton pc!) :

 

-Télécharge la version d'essai d'Ewido:ici :

et installe le (important: pendant l'installation, sur la page "Additional Options"

décoche les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

 

Redémarre en mode Sans Échec

 

-Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

-Lance Ewido et clique sur "scanner" puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...) et colle le dans ton prochain message.

 

Des précautions supplémentaires, car je vois que tu utilises ce type de programmes :Metacafe...

Poste un nouveau rapport hijackthis + le rapport d'Ewido .

@+ tard

Modifié le 20 mars 2006 par charles ingals

[karine73]

Salut,

 

En faisant ce que tu m'as dit j'ai finalement réussi à faire un scan avec panda.

 

Alors aprés avoir fait tout ce que tu m'as dist j'ai fait un scan avec panda donc, le rapport hijackthis, et le rapport ewido, les voilà :

 

 

 

Incident Statut Analyse

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Master\Cookies\master@xiti[1].txt

Outil indésirable:Application/FunWeb No Désinfecté C:\!KillBox\f3initialsetup1.0.0.8.inf

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Master\Cookies\master@xiti[1].txt

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 01:08:18, on 21/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Documents and Settings\Master\Bureau\securite\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Dell\Media Experience\PCMService.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Metacafe\MetacafeAgent.exe

C:\Program Files\Reality Fusion\Reality Fusion GameCam SE\Program\RFTRay.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\Master\Bureau\securite\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: (no name) - {5776A2BC-D803-47F6-9DC0-8344DB8D604C} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [spybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autoclose

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: DESKTOP(2).INI

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: DESKTOP(2).INI

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe

O4 - Global Startup: Reality Fusion GameCam SE.lnk = ?

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O10 - Broken Internet access because of LSP provider 'xfire_lsp_9028.dll' missing

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.5 Combo Control) - http://www.pixdiscount.fr/clients/ImageUploader3.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8344A2C6-3F28-431B-BCB8-067C857CE3D9}: NameServer = 213.36.80.1 213.36.80.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\Master\Bureau\securite\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

 

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 00:17:26, 21/03/2006

+ Somme de contrôle: 8693725C

 

+ Résultats du scan:

 

C:\Documents and Settings\Master\Cookies\master@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Master\Cookies\master@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Olivia\Cookies\olivia@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Olivia\Cookies\olivia@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP428\A0089214.dll -> Adware.SearchIt : Nettoyer et sauvegarder

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP432\A0091623.exe -> Not-A-Virus.Downloader.Win32.ImLoader.c : Nettoyer et sauvegarder

C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP432\A0091626.exe -> Not-A-Virus.Downloader.Win32.ImLoader.c : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Merci.

[Thanos]

re!

 

Tu as bien bossé on dirait!

 

Le rapport de scan de Panda ne montre plus rien d'infectieux!Juste ce dossier à éliminer qui correspond aux sauvegardes de killbox:

 

*Supprime le dossier en gras dans C:\

 

C:\!KillBox

 

Vide la corbeille.

 

Le rapport d'Ewido ne montre que des fichiers infectés dans ta restauration , ils ont été éliminés!

 

Ton rapport hijackthis est propre, juste quelques lignes inutiles à éliminer:

 

*Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O3 - Toolbar: (no name) - {5776A2BC-D803-47F6-9DC0-8344DB8D604C} - (no file)

 

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

 

pour les deux lignes suivantes, elles correspondent à IncrediMail et Messenger :si tu ne veux pas qu'ils se lancent automatiquement au démarrage de windows coche les lignes !=>

 

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

 

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

-Ferme tous les programmes et clique sur "Fix Checked"

 

Si tu le souhaite, tu peux désactiver ce service qui ne sert à rien: Boonty Games comme ceci:

 

-vas dans le menu démarrer executer et tu tapes : services.msc

 

Cherche le service suivant:Boonty Games

Double clic dessus :dans le champs"Status du service" sélectionne "arrêté"

dans le champs"Type de démarrage" sélectionne"désactivé" puis "Appliquer" puis"ok".

 

Quitte les services.

 

Pour finir, étape suivante: A faire si et seulement si ton pc fonctionne correctement =>

 

Le scan de Kaspersky a trouvé des fichiers infectés dans la restauration système:pour ne pas restaurer un système vérolé en cas de problème, il faut la désactiver comme ceci=>

 

Supprime la restauration système : ( aide visuelle http://service1.symantec.com/SUPPORT/INTER...46?OpenDocument

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquez sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui.

Cliquez sur OK, redémarrer votre PC.Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

Apres ca quelques conseils de sécurité

 

@+ tard.

[karine73]

Bonjour Charles !!

 

hé bien merci pour ton aide précieuse !! et du temps que tu m'as consacré.

 

Karine.

[Thanos]

salut karine73

 

Tres bien, pour finir ces quelques conseils de sécurité :

 

Tu peux garder Ewido , ATF ,killbox( si tu souhaites éliminer des fichiers récalcitrants un jour!).

 

Je t'avais fais faire ceci pour avoir acces à tous les fichiers =>

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

A présent recache tous ces dossiers pour ne pas en effacer un par erreur!

 

-Nettoie ton pc avec Easy cleaner "Registre" et "Inutiles".Ne pas toucher à la fonction doublons pour nettoyer ton pc(utilise le de temps en temps surtout apres désinstallation de programmes).

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier( journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

Pour en savoir plus, consulte la page de ipl_001:

 

http://gerard.melone.free.fr/IT/IT-AM0.html

 

1)-Voici les utilitaires et programmes que tu peux installer pour sécuriser ton pc:

 

=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe:

 

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial: http://forum.zebulon.fr/index.php?showtopic=69628

 

 

Si tu veux toujours utiliser IE! :

 

=>Télécharge Ie-spyad2 d'Eric L. Howes:

Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit=>(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

 

=> ZebProtect (pour sécuriser les ports de ton pc,très simple)

 

-Tutorial:http://www.zebulon.fr/articles/zebprotect.php

-Téléchargement: http://telechargement.zebulon.fr/123.html

 

=> Si tu veux tester ton firewall : scanner les ports du pc:

 

http://www.pcflank.com/

 

 

=>SpywareBlaster:

 

http://www.javacoolsoftware.com/downloads.html

Son tuto:

http://www.ordi-netfr.org/tutorialspywareblaster.html

 

 

=>Ad-awareSEun excellent antispyware pour scanner le pc( pour bénéficier de la protection en temsp réel, il faut choisir la version payante)

 

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

http://tutopat.hostonet.org/viewtopic.php?t=207

 

=>SpyBot-Search & Destroy(intègre une protection en temps réel apellée Teatimer)

 

http://spybot.safer-networking.de/fr/download/index.html

Son tuto

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

 

=>Regprot(petit utilitaire tres léger:144ko!)pour protéger ta base de registre:

http://www.diamondcs.com.au/index.php?page=regprot

 

=>Ewido:ici

c'est une version d'essai,qui perd certaines fonctions payantes,(pas de protection résidente apres 14 jours)

mais il reste efficace!Met le à jour avant de scanner ton pc.Excellent antitroyan.

 

2)-Les utilitaires pour nettoyer le pc:

 

=> Clean Up 40:

http://www.stevengould.org/software/cleanup/

-Ouvre CleanUp40 et vas sur "clean up custom" et assure toi que seules ces cases sont cochées:

* Empty Recycle Bins

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

Puis lance le scan(cleanup)

 

-aide en image:(merci a Balltrap34)

http://pageperso.aol.fr/balltrap34/democleanup.htm

 

=>EasyCleaner de Toni Helenius

Utiliser uniquement les fonctions "Registre" et "Inutiles".Ne pas toucher à la fonction doublons.

 

-Tutorial:

http://www.uptoopc.net/nettoyer/temporaires.php

http://www.uptoopc.net/nettoyer/registre.php

http://www.uptoopc.net/nettoyer/autresfonctions.php

 

=> Regseeker : RegSeeker est un nettoyeur de base de registre puissant et simple d'utilisation. Ce logiciel permet également d'appliquer de nombreux paramètres Windows.

Ce logiciel integre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de probleme.

 

-Téléchargement : http://www.hoverdesk.net/freeware.htm

 

-Turorial : http://www.zebulon.fr/articles/regseeker-1.php

 

=> JV16 PowerTools de Jouni Vuorio : Utilitaire tres complet : Il integre les fonctions de Regcleaner.Dédié au nettoyage du registre

A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant.

Ce logiciel integre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de probleme.

 

-Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html

 

-Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php

Conserve Ewido,il est à l'essai 14 jours puis il perd certaines fonctions payantes, mais il reste efficace!Met le à jour avant de scanner ton pc.

 

-Pour finir,il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware:

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens ce sont joint pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaire, peuvent déposer une plainte contre le malware et leurs auteurs.

Plus d'info sur le topic d'ipl_001 ici(merci à Kimberley !!)=>

 

http://forum.zebulon.fr/index.php?showtopic=88688

Bon surf