spy, highjckthis, etc...

[serp_ico]

Bonjour,

 

Je viens à l’instant de m’inscrire sur ce forum et je voudrai tout d’abord féliciter ceux qui viennent en aide aux autres pour la clarté de leurs explications… Pour un néophyte comme moi, c’est très appréciable ! Bravo !!!

Voilà… Après les compliments… J’ai un ‘tit problème quand même…

 

J’ai apparemment été infecté par look2me (rapport pandasoftware) que je pense avoir éradiqué grâce à l’une de vos solutions (look2me destroyer)… Seulement, en lisant vos post, je constate qu’une infection arrive rarement seule, et je suis incapable de voir si mon PC est encore infecté.

 

J’ai bien peur que le rapport hijackthis soit chiant à lire, mais pourriez vous m’éclairer ?

En espérant que je n’aurai pas à faire une analyse en mode sans échec, car je suis vraiment une tache !

 

Voici mon rapport :

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Sébastien Darras\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [statusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate- Activex Control) - http://support.fujitsu-siemens.de/DeskUpda...api/activex.cab

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

Merci par avance de votre patience…

[regis56]

Bonjour serp_ico !

 

Plusieurs choses à voir !

 

1/ il manque le début de ton rapport hijackthis on ne peut pas savoir si ton système est à jour !

 

2/ En générale tu doit d'abord effectuer la procédure avant de demander une analyse

Procédure ici

http://forum.zebulon.fr/index.php?showtopic=83986

 

3/ Cependant ton rapport à l'air propre !

 

4/ Je ne vois pas de parefeu sur ton système !

Commence par en installer un !

tu en trouvera ici

http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry487252

 

5/ Ce que je te conseil !

-Met ton système à jour (fais démarrer/windows update)

-Installe un parefeu si tu n'en as pas (peut étre as tu un parefeu materiel routeur ?)

-Suis la procédure de prénettoyage

-Reposte ici un rapport complet hijackthis et un rapport Panda

(pour faire un rapport Panda )

Peux-tu faire s'il te plait un scan en ligne?=>

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrives pas : tutorial

 

Fais tout ceci dans l'ordre STP !

 

A plus !

[bruce lee]

regis et serp_ico

 

regis regarde ici la question a deja été posé http://forum.zebulon.fr/index.php?showtopic=91970

 

@+

[serp_ico]

Merci Regis,

 

Je me suis trompé et j'ai fais un nouveau post avec mon rapport highjackthis complet...

Lorsque je vais sur pand, voici ce qui ressort du scan :

 

Adware:adware/wupd No Désinfecté C:\WINDOWS\DOWNLOADED PROGRAM FILES\activex.inf

Adware:adware/look2me No Désinfecté C:\WINDOWS\DOWNLOADED PROGRAM FILES\activex.ocx

Spyware:Cookie/24/7 Realmedia No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@247realmedia[2].txt

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@adtech[2].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@bluestreak[2].txt

Spyware:Cookie/Com.com No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@com[1].txt

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@fe.lea.lycos[1].txt

Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@fl01.ct2.comclick[2].txt

Spyware:Cookie/HotLog No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@hotlog[2].txt

Spyware:Cookie/Microsofte No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@microsofteup.112.2o7[1].txt

Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@serving-sys[2].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@tradedoubler[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@weborama[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@xiti[1].txt

 

J'ai passé ma nuit à essayé de comprendre, mais je suis vraiment novice en matière d'informatique... Ce qui est curieux, c'est que mon ordi s'est mis à ramer ! Ce qui n'est plus la cas, par contre, ce rapport avec look2me, etc... M'inquiète un peu.

J'ai suivi la procédure de pré-nettoyage mais antivir n'a rien trouvé...

[Sacles]

Bonsoir,

 

Tu peux supprimer tout ce qui se trouve dans C:\WINDOWS\DOWNLOADED PROGRAM FILES\ (éventuellement en mode sans échec).

 

Le reste, ce sont des cookies d'IE.

 

Dans IE: Outils >>> Options Internet >>> Supprimer les cookies.

 

Tu devrais mieux gérer les cookies d'IE ou, mieux, adopter un navigateur digne de ce nom.

 

Si tu restes un adepte d'IE, tu devrais utiliser SpywareBlaster qui te protégera des ActiveX dangereux.

 

Cordialement.

Modifié le 6 avril 2006 par Sacles

[serp_ico]

Merci du conseil... Que puis je prendre comme navigateur ?

Si je change de navigateur, il n'est pas certaines choses à changer sur ma machine ?

Je ne serai donc pas infecté par look2me ou Wupd ?

 

Quant au parefeu, celui de windows a l'air activé... Il faut que j'en installe un autre ?

 

Désolé pour toutes ces questions

Merci de votre patiente en tout cas...

 

Séb

[Sacles]

Re,

 

1/ As-tu supprimé les fichiers de C:\WINDOWS\DOWNLOADED PROGRAM FILES\ ? C'est important.

 

2/ Idem pour les cookies

 

3/ Navigateur

a) Télécharge FireFox

b) Paramètre-le comme indiqué ici: http://forum.zebulon.fr/index.php?showtopic=69628

 

Si je change de navigateur, il n'est pas certaines choses à changer sur ma machine ?

Non.

 

Tu pourras même importer tes favoris d'IE >>> FireFox (où ils s'appelleront "Marque-pages")

 

4/ N'oublie pas le message de regis56 (sa partie 5/ particulièrement)

Modifié le 6 avril 2006 par Sacles

[serp_ico]

Firefox est il plus sûr que IE ?

Car il est vrai que je suis habitué à IE... Mais bon, si c'est pour une question de sécurité.

 

Quant aux fichiers qui se trouvent dans C:\WINDOWS\DOWNLOADED PROGRAM FILES\ , je viens de les supprimer ! Qu'est ce que c'est exactement, des activ x ? Des cookies ?

 

Voici mon dernier highjackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 19:07:36, on 06/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Sébastien Darras\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [statusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate- Activex Control) - http://support.fujitsu-siemens.de/DeskUpda...api/activex.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

Et mon scan panda

 

 

Incident Statut Analyse

 

Adware:adware/wupd No Désinfecté C:\WINDOWS\DOWNLOADED PROGRAM FILES\activex.inf

Adware:adware/look2me No Désinfecté C:\WINDOWS\DOWNLOADED PROGRAM FILES\activex.ocx

Spyware:Cookie/24/7 Realmedia No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@247realmedia[2].txt

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@adtech[2].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@bluestreak[2].txt

Spyware:Cookie/Com.com No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@com[1].txt

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@fe.lea.lycos[1].txt

Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@fl01.ct2.comclick[2].txt

Spyware:Cookie/HotLog No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@hotlog[2].txt

Spyware:Cookie/Microsofte No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@microsofteup.112.2o7[1].txt

Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@serving-sys[2].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@tradedoubler[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@weborama[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@xiti[1].txt

Pour le parefeu par contre, celui de windows ne suffit pas ? Il faut en installer un autre ?

[serp_ico]

Bizarre, quand je veux vider C:\WINDOWS\DOWNLOADED PROGRAM FILES\ il reste :

activescan installer class

java runtime environment 1.5.0

Office update installation Engine

 

Normal ?

[Mark]

Bonsoir serp_ico, et à toutes/tous ;

 

On va te virer ces deux fichiers récalcitrants Pour le parefeu, oui tu devrais en installer un plus efficace que celui de Windows. FireFox est plus sécuritaire qu'IE

 

Ok, allons-y :

 

Télécharge Killbox (par Option^Explicit) sur ton Bureau.

Double-clique killbox.exe.

Choisis l'option "Delete on reboot".

 

Copie le texte en bleu/gras ci-bas :

 

 

C:\WINDOWS\DOWNLOADED PROGRAM FILES\activex.inf

C:\WINDOWS\DOWNLOADED PROGRAM FILES\activex.ocx

 

 

Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

 

Clique sur le bouton : All Files (!important!)

 

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)

Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.

Si tu ne reçois pas ce message, redémarre le PC normalement.

========================================

 

Après le démarrage, repasse un scan chez Panda, et colle le rapport ici s.t.p.

 

Edit : oui c'est normal d'avoir ces fichiers dans Downloaded Program Files..

 

@+

Modifié le 6 avril 2006 par Qc001