Infection ?

[serp_ico]

Bonsoir,

 

Je ne comprend pas bien ce qui se passe, parfois, Outlook tente de s'ouvrir seul alors que je ne l'utilise pas et ne l'ai même pas configuré (J'ai un message qui dit "aucun profil n'a été créé. veuillez choisir l'icone courrier/télécopie dans le panneau de configuration pour configurer un nouveau profil")... D'autre part, quelques fichiers sont apparus dans des dossiers, et je ne sais pas d'où cela vient. Des trucs du type :

Desktop.ini

Thumbs.db

 

J'avais suivi la méthode de pré-nettoyage du PC en mode sans échec, et j'avoue que je ne comprend plus très bien ce que me fait ma machine...

 

Voici le rapport de Panda, ce qui est curieux, c'est que je vient d'installer spybloker.exe et spyware blaster, peut être les ai-je mal configurés ?

 

Voici mon dernier rapport highjackthis, je commence vraiment à ne plus très bien comprendre ce qui se passe !

 

Logfile of HijackThis v1.99.1

Scan saved at 23:12:19, on 07/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\Documents and Settings\Sébastien Darras\Bureau\spyblocker.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Sébastien Darras\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [statusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [spyBlocker] C:\Documents and Settings\Sébastien Darras\Bureau\spyblocker.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

Merci par avance de votre aide !

 

Oups, oublié le rapport Panda que voici :

 

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@fe.lea.lycos[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@weborama[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@xiti[1].txt

[serp_ico]

Bonsoir,

 

Je ne comprend pas bien ce qui se passe, parfois, Outlook tente de s'ouvrir seul alors que je ne l'utilise pas et ne l'ai même pas configuré (J'ai un message qui dit "aucun profil n'a été créé. veuillez choisir l'icone courrier/télécopie dans le panneau de configuration pour configurer un nouveau profil")... D'autre part, quelques fichiers sont apparus dans des dossiers, et je ne sais pas d'où cela vient. Des trucs du type :

Desktop.ini

Thumbs.db

 

J'avais suivi la méthode de pré-nettoyage du PC en mode sans échec, et j'avoue que je ne comprend plus très bien ce que me fait ma machine...

 

Voici le rapport de Panda, ce qui est curieux, c'est que je vient d'installer spybloker.exe et spyware blaster, peut être les ai-je mal configurés ?

 

Voici mon dernier rapport highjackthis, je commence vraiment à ne plus très bien comprendre ce qui se passe !

 

Logfile of HijackThis v1.99.1

Scan saved at 23:12:19, on 07/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\Documents and Settings\Sébastien Darras\Bureau\spyblocker.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Sébastien Darras\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [statusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [spyBlocker] C:\Documents and Settings\Sébastien Darras\Bureau\spyblocker.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

Merci par avance de votre aide !

Oups, oublié le rapport Panda que voici :

 

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@fe.lea.lycos[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@weborama[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@xiti[1].txt

 

Diantre, je viens de lire sur un autre post qu'il ne fallait pas créer plusieurs posts justement... Désolé !!!

Mais j'ai besoin d'aide, je ne sais plus quoi faire, j'en viens même à me dire qu'il faudrait que je ré-installe windows et tout le bazard...

il y a même un nouvel icone nommé sbreg8.cfg qui vient d'apparaitre sur mon bureau... Ce serait en rapport avec outlook !

HELP !!!!!!

[serp_ico]

Personne ne veut m'aider ?

[serp_ico]

AU SECOURS !!!

J'ai désormais des icones qui aparaissent sur mon bureau "fichier de type configuration de microsft outlook"... C'est comme si je ne controllais plus ma machine !

Quelqu'un peut m'aider à comprendre please ?

[bibi26]

Analyse de ton rapport, réponse bientot (Je finit ma partie de bataille naval et je suis à toi )

Modifié le 8 avril 2006 par bibi26

[serp_ico]

Merci beaucoup.... Je commence à ne plus rien comprendre à ce qui se passe sur ma machine !

[serp_ico]

Je vais essayer de résumer mon problème pour mieux te faire comprendre...

C’est vraiment curieux, certaines icones apparaissent comme par enchantement (enfin là c’est un mauvais sort), du coup par exemple, un fichier « temp » vient d’apparaître, ainsi que trois fichier en rapport apparemment avec Outlook que je n’utilise pourtant pas (il est d’ailleurs bizarrement en haut de ma liste dans le menu « démarrer » ???

Il y a également quelques icones nommées entre autre « desktop.ini »qui se collent un peu partout dans mes divers dossiers… C’est apparemment des sortes de doc bloc note contenant des textes du type :

[DeleteOnCopy]

Owner=Sébastien Darras

Personalized=5

PersonalizedName=Mes documents

[DeleteOnCopy.A]

Owner=Sébastien Darras

[DeleteOnCopy.W]

Owner=S+AOk-bastien Darras

C’est comme si je n’étais pas seul à utiliser mon PC… ça fait un peu parano mais là franchement je ne comprends plus rien ! J’ai beau être une tache en informatique, je n’avais encore jamais rencontré un problème de ce type…

J'espère que tu gagnes ta bataille

[bibi26]

Hm....

C:\Documents and Settings\Sébastien Darras\Bureau\HijackThis.exe

Pourrait-tu mettre Hijackthis dans un répertoire dédiée (C:\Program files par exemple), sa serait utile pour les sauvegardes

 

Sinon... ton rapport ne montre rien d'anormal

 

J'ai pas bien compris, tu dis que depuis que tu as mis spyblocker que le problème est venu ? Hm... si oui essai de l'enlever, si sa change rien ou que tu ne voulais pas dire sa, essai ceci :

 

Copie les instructions dans un fichier et sauvegarde-le car dans une partie des instructions, tu n'auras pas accès à internet !

 

1-Télécharge la version d'évaluation d'Ewido: http://download.ewido.net/ewido-setup.exe

PS : Ewido est un anti-spywares/anti-trojans très efficace, c'est une version d'évaluation de 14 jours, après ces 14 jours, certaines fonctions ne sont plus disponibles, mais le logiciel reste quand même excellent

 

Installe le logiciel, pendant l'installation, sur la page "Additional Options" décoche les deux options : "Install background guard" et "Install scan via context menu".

 

Démarre Ewido. Clique sur mise à jour et sur démarrer la mise à jour, attend que Ewido aille terminer et ferme Ewido !

 

 

2-Redémarre ton ordinateur en mode sans échec (Dès le début du démarrage de l'ordinateur, appuyer pleins de fois sur le bouton F8 jusqu'à ce que un menu apparaît, sélectionner le mode sans échec et appuyer sur enter)

 

 

3-Lance Ewido et clique sur scanner, après clique sur scan complet du système, si ewido te signale une alerte, clique sur le bouton "Effectuer cette action avec toutes les infections" et clique sur le bouton pour continuer l'analyse ! Après la fin de l'analyse, clique sur sauvegarder le rapport et sauvegarde-le en quelque part !

 

 

4-Retourne en mode normal et poste un nouveau rapport hijackthis + le rapport ewido fait en mode sans échec !

 

 

 

 

 

 

 

 

 

[DeleteOnCopy]

Owner=Sébastien Darras

Personalized=5

PersonalizedName=Mes documents

[DeleteOnCopy.A]

Owner=Sébastien Darras

[DeleteOnCopy.W]

Owner=S+AOk-bastien Darras

De quoi rendre parano

Modifié le 8 avril 2006 par bibi26

[serp_ico]

faut il créer un nouveau dossier que je nomme highjackthis pour le mettre dans progam files ?

Pardonnes mes connaissances très limités...

Je vais suivre tes instructions... Merci bcp, je post les rapports après !

[bibi26]

faut il créer un nouveau dossier que je nomme highjackthis pour le mettre dans progam files ?

Oui