Win32.Tenga / Rapport HiJackThis

[sanchou]

Bonjour, oui j'ai les droits adminisrateur....

Je vais le réinstaller(spysweeper), on ne sait jamais.

L'outil de crosoft ne m'a rien détecté.

 

Pour ce qui est de l'aide, j'ai ouvert un autre topic, sur pcastuce car j'étais un peu désorienté...

D'habitude j'arrive à me débrouiller tt seul, mais là je nage complet.

N'étant pas vraiment habitué des forums, je ne sais pas si çà fait.

 

Nico

[philae]

Notre ami reçoit de l'aide en double... sinon en triple ou plus... il pourra nous le dire :

 

http://forum.pcastuces.com/sujet.asp?SUJET_ID=256614&Page=1

 

Je viens de poster là-bas, n'ayant pas remarqué le doublon... J'avertis Philae de ce pas..

 

 

Hello tout le monde, merci Qc_001 de m'avoir averti sur PCA. j'ai passé grand nombre de temps à chercher comment le sortir de son TENGA, ça fait plaisir au moins aurait il pu le dire qu'il avait poster sur plusieurs forums, ce qui ferait gagner du temps à tout le monde.

 

En ce qui me concerne, je vous le laisse volontiers, car comme chacun sait, je suis susceptible.....

[sanchou]

Comme je l'ai dit plus haut, je ne savais pas que c'était le genre de chose à dire.

Je m'excuse de vous avoir apparament fait perdre du temps .

 

Nico

[philae]

re

 

juste pour t'expliquer qq chose.

 

TU vois tu as posté sur PCA à 11h08, ici juste après, je t'ai répondu plus vite qu'ici (c'est pas le problème, je précise !)

je t'ai dit de passer smitfraud

voici le rapport donné sur PCA

SmitFraudFix v2.25

 

Rapport fait à 12:04:26,78 le 14/03/2006

Executé à partir de C:\Documents and Settings\Nicolas Sanchez\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

C:\WINDOWS\gimmygames.dat PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Nicolas Sanchez\Application Data

 

C:\Documents and Settings\Nicolas Sanchez\Application Data\Install.dat PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

 

 

 

 

ici, je crois c'est charlesIngals qui t'a fait faire la même chose et donc vu que smitfraud avait déjà fait le travail, évidemment le résultat n'est plus le même....logique

 

 

SmitFraudFix v2.25

 

Rapport fait à 22:47:46,36 le 14/03/2006

Executé à partir de C:\Documents and Settings\Nicolas Sanchez\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Nicolas Sanchez\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\system32\browseui.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

 

Comment veux tu que l'on arrive à soigner un pc de cette manière. Un tout petit peu de logique serait peut être bien non, juste un petit peu, t'es pas un gamin quand même.

[sanchou]

Oui, c'est vrai, avec le recul je comprends tout à fait.

Comme tu dis il y a eu un grand manque de logique dans ma démarche...

[Thanos]

salut @ toutes et tous

 

Merci pout ton passage Philae

 

Je passait en revue les deux procédure en regardant un peu la date des rapports que tu avait posté sanchou,

 

et je comprends mieux maintenant pourquoi tout ca me parraissait bizarre

 

Le résultat de Smitfraudfix, comme l'a bien dit Philae qui m'a parru franchement louche, celui d'Ewido=>

 

C'est pas le bon rapport ca?? tu as bien relancé Ewido depuis ,non? sinonje ne comprends pas la disparition de cette ligne 020 mhh.gif dans ce rapport on ne voit que des cookies,donc rien de méchant!

 

et ceci que j'apprécie beaucoup =>

Entre temps, j'ai suivi un tuto qui m'a permis d'éliminer mal de bestiole, mais j'ai toujours ce problème avec w32.Tenga ..

 

ma réponse:

De quel tuto parles tu ?

As tu conservé les rapports de vcleaner et Ewido? poste les stp.

et la tienne :

Pour ce qui est du tuto, je sais plus ... j'ai tapé "tuto désinfection virus" dans google ou un truc comme çà, mais comme il me disait de nettoyer mon cache, etc , je n'arrive plus à retrouver le lien... icon_rolleyes.gif

 

Voilà, voilà.... merci pour le "je ne sait plus,on apprécie!bon Philae a tout dit! elle a passé pas mal de temps à essayer de te sortir de la panade, et moi de même! En allant à droite et à gauche tu as tout faussé , on y comprends plus rien!!

Aussi, comme dit Philae:

En ce qui me concerne, je vous le laisse volontiers, car comme chacun sait, je suis susceptible..... icon_biggrin.gif

On va donc te souhaiter bon courage dans ta quête ! Il faut nous comprendre, si tu joues pas franc jeu , c'est pas la peine....

 

Merci à QC001 et Philae

 

Si quellqu'un veut prendre la suite, pas de soucics!

[sanchou]

 

Voilà, voilà.... merci pour le "je ne sait plus,on apprécie!bon Philae a tout dit! elle a passé pas mal de temps à essayer de te sortir de la panade, et moi de même! En allant à droite et à gauche tu as tout faussé , on y comprends plus rien!!

 

 

Vraiment désolé, Mais je ne parlais absolument pas de l'aide que Philae m'avait donnée sur PCA, mais bien d'un tuto que j'avais suivi AVANT de poster sur les 2 forums. Maintenant crois ce que tu veux ...

 

Pour le reste je vous comprend très bien, même si on ne doit pas avoir la même définition de "franc jeu" ...

Donc je m'en v reformater ....

Merci qd même d'avoir essayé d'aider un pauvre noob.

 

Nico

[Mark]

Bonjour tout le monde ;

 

Sanchou, je me permets de poster ces quelques commentaires, afin de conclure le tout :

 

- Certaines bestioles, comme ce virus d'ailleurs, sont complexes et parfois difficiles à éradiquer.

- Les conseillers sur les forums sont toutes/tous des bénévoles, qui aident les étrangers dans leur temps libres.

- Les outils sont parfois puissants, les manips sont souvent pointues.

- Il doit s'établir un lien de confiance entre visiteur et conseiller.

- La séquence des interventions est souvent "visualisée" et planifiée par le conseiller.

- Toute dérogation à cette suite logique entraîne la confusion.

- La confusion peut faire échouer un fix, voir même causer des dégâts sur la bécane..

- Le temps perdu à essayer d'analyser les distorsions n'est pas disponible aux autres visiteurs infectés.

 

J'ai également pris du temps pour analyser tes rapports, hier, quoique beaucoup moins que mes ami(e)s Philae et Charly. Je termine donc avec une dernière observation, car d'autres internautes risquent de consulter cette discussion, à la recherche de pistes et d'astuces pour déjouer la bête :

 

Si ta bécane est en réseau, ben le virus se propage par des failles dans Windows, à travers ce même réseau, et survivra, à moins de le coincer... Si tel est ton cas (réseauté), alors tu vois mettre fin au partage du disque principal, puis repasser les antivirus (Poste de travail >> clic-droit sur lecteur C: >> "Propriétés" >> onglet "Partage" >> Désactive-le).

 

Si tu formates, n'oublie pas de te déconnecter de l'internet avant d'installer Windows ; active le parefeu avant de te reconnecter, pour éviter l'infection par vers tels Blaster/Sasser/Welchia.

 

Bonne route

[sanchou]

Merci,

j'ai suivi tes conseils et tout marche bien.

 

Nico

[laurent26]

voici mon rapport :

 

j'ai suivi la procedure de : http://forum.zebulon.fr/index.php?act=ST&f=40&t=69176

 

 

Logfile of HijackThis v1.99.1

Scan saved at 14:45:40, on 25/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program Files\F-Secure\Common\FSAA.EXE

C:\Program Files\F-Secure\Common\FSMA32.EXE

C:\PROGRA~1\F-Secure\BackWeb\BackWeb\Program\BackWeb.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\F-Secure\Common\FSMB32.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program Files\F-Secure\Common\FCH32.EXE

C:\Program Files\F-Secure\Common\FAMEH32.EXE

C:\Program Files\F-Secure\Common\FSGK32.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\F-Secure\Common\FIH32.EXE

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\F-Secure\Anti-Virus\fsav32.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Creative\ShareDLL\CtNotify.exe

C:\Program Files\F-Secure\Common\FSM32.EXE

C:\Program Files\Creative\ShareDLL\Mediadet.exe

C:\PROGRA~1\Avast4\ashDisp.exe

C:\Program Files\Creative\NOMAD Jukebox 2\PlayCenter2\CTNMRUN.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clubic.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [CTStartup] "C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE" /run

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [NOMAD Detector] "C:\Program Files\Creative\NOMAD Jukebox 2\PlayCenter2\CTNMRUN.EXE"

O4 - HKCU\..\RunOnce: [CTStartup] "C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE" /play

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.html

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: Interface Chat Wanadoo - http://chat4.x-echo.com/version6/Applet/wchatsign.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://ipgweb.cce.hp.com/rdqemea/downloads/msxml4.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BackWeb Client - Unknown owner - C:\Program Files\F-Secure\BackWeb\BackWeb\Program\ServiceWrapper.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE

O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSAA.EXE

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

merci

laurent