Infection ?

[serp_ico]

Le problème c'est que lorsque je déplace Highjack dans le dossier, c'est un raccourci qui s'y met... Sic

[bibi26]

Bah, faut pas le déplacer non plus ^^

 

Tu peux tout simplement aller sur ton bureau, clique droit dessus et clique sur copier, va dans ton dossier hijackthis et clique droit et clique sur coller !

 

Supprime le fichier sur le bureau et garde celui qui est dans hijackthis

Modifié le 8 avril 2006 par bibi26

[serp_ico]

Bon, je me lance dans le mode sans echec, je te post tout ça dès que j'ai fini... Merci de ton aide en tout cas !

[serp_ico]

Et bhé, cela a mis du temps... Voici les deux rapports :

 

Logfile of HijackThis v1.99.1

Scan saved at 04:00:46, on 08/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\Documents and Settings\Sébastien Darras\Bureau\spyblocker.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\HighjackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [statusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [spyBlocker] C:\Documents and Settings\Sébastien Darras\Bureau\spyblocker.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

 

Et l'autre en mode sans echec :

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 03:57:18, 08/04/2006

+ Somme de contrôle: 8837190F

 

+ Résultats du scan:

 

C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@image.masterstats[1].txt -> TrackingCookie.Masterstats : Nettoyer et sauvegarder

C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Sébastien Darras\Cookies\sébastien darras@wreport.weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

Alors docteur ?

[bibi26]

Rien d'anormal

 

Je finis par croire qu'il n'y pas d'infections, tu peux enlever ewido

 

Desktop.ini serait un fichier pour personaliser les dossiers, rien de bien dangereux..... Peux-tu me dire quand Outlook démarre, est-ce que tu fais quelque chose de particulier ?

Modifié le 8 avril 2006 par bibi26

[serp_ico]

En effet, très curieux... Je n'arrive pas à comprendre comment des fichiers peuvent se créer sans que je ne fasse rien ??? Un problème dans ma config', une erreur de manip' ???

En tout cas je te remercie de ton aide, c'est très sympa de ne pas me laisser me dépatouiller tout seul...

 

Si cela peut t'aider, voici le type de fichiers qui se sont installés seuls sur mon bureau

 

"Fichier de configuration Microsoft Outlook"... Il y en a trois :

sbreg8.cfg

spyblock8.cfg

host9.cfg

 

Mais ce qui m'inquiète le plus, ce sont ceux qui se sont installé un peu partout dans mes dossiers, du type :

"desktop.ini" (paramètre de configuration) contenant des textes du genre :

 

[DeleteOnCopy]

Owner=Sébastien Darras

Personalized=5

PersonalizedName=Mes documents

[DeleteOnCopy.A]

Owner=Sébastien Darras

[DeleteOnCopy.W]

Owner=S+AOk-bastien Darras

 

Ou encore :

 

[DeleteOnCopy]

Owner=Sébastien Darras

Personalized=39

PersonalizedName=Mes images

[DeleteOnCopy.A]

Owner=Sébastien Darras

[DeleteOnCopy.W]

Owner=S+AOk-bastien Darras

[.ShellClassInfo]

InfoTip=@Shell32.dll,-12688

IconFile=%SystemRoot%\system32\mydocs.dll

IconIndex=-101

 

Et ça, j'en ai partout.... Arf, je ne sais pas trop quoi faire, ni quoi en faire ???

Curieux non ?

[angelique]

D'autre part, quelques fichiers sont apparus dans des dossiers, et je ne sais pas d'où cela vient. Des trucs du type :

Desktop.ini

Thumbs.db

 

coches masquer tes fichiers et dossiers cachés ,ce sont des fichiers systemes!

et y'a plein de fichiers temporaires qui se créent pdt l'utilisation de ton os,donc masque les!!

[bibi26]

Arf, angelique a raison

[serp_ico]

Heuuu, au risque de paraître stupide, cela veut dire quoi "coches masquer tes fichiers et dossiers cachés"

Je suis désolé, mes connaissances sont vraiment très limités...

 

Des dossiers système ? Mais c'est ce que je ne comprend pas, d'où viennent tous ces dossiers qui se mettent partout ?

 

Merci à vous deux en tout cas, vous êtes adorables ! (Et insomniaques... )

[bibi26]

Bah windows et c'est programmes, crée par défaut pleins de fichiers un peu partout (fichiers de configurations, fichiers temporaires) qui sont par défaut masquer (pour éviter de gêner l'utilisateur).

 

En gros, pour X raisons, toi c'était mis sur l'afficher, pour les masquer, va dans l'explorateur windows et clique sur outils et options des dossiers, clique sur l'onglet affichage, cherche le sous-dossiers fichiers et dossiers cachés, coche ne pas afficher les fichiers et dossiers cachés, clique sur ok !