[Résolu]Auto-création de fichiers dans le repertoire Windows\Temp

[Arbre Ciré]

Bonjour,

Nouveau sur ce forum, excusez-moi si je poste au mauvais endroit.

 

Après avoir cliqué un peu trop vite à droite et à gauche,

je me suis retrouvé avec un auto-dialer espagnol qui tentait d'accéder a un serveur de download.

De quel type de download ... Ben... justement, je ne sais pas !

 

Pour le supprimer, j'ai fait une analyse avec HijackThis qui m'a permis de supprimer pas mal de malware.

 

Le dialer n'était plus actif, mais le répertoire Windows\temp

se rempli de fichiers type "winA04.tmp" cela s'incrémente a raison de 3 fichiers toutes les deux minutes.

 

HijackThis ne vois rien de particulier

j'ai fait un test avec Xoftspy qui repère un trojan

Objet type : file

Danger Level : High Threat

Location : C:\windows\system32\f3PSSavr.scr

mais seul l'achat permet d'en savoir plus.

 

Pas de rapport apparent avec mon probleme de fichiers temporaires.

 

Que faire pour supprimer ce problème dans un premier temps ?

La lecture du forum m'en apprendra plus sur la sécurité pour la suite...

 

PS : Le PC est sous protection via Norton internet security ( c'était fourni avec !)

 

 

Merci de votre aide.

 

Arbre Ciré

Modifié le 25 avril 2006 par Arbre Ciré

[pitcat]

bonjour Arbre Ciré et bienvenue sur zebulon

si tu pense etre infecte applique cette procedure :

http://forum.zebulon.fr/index.php?showtopic=83986

et post le rapport d'hijckthis ici et attend que des experts en securite analysent ton log pour t'indiquer la demarche à suivre

à+

[Arbre Ciré]

Bonsoir Pitcat,

merci de ta réponse rapide

 

J'ai suivi le conseil , (Pré-nettoyage d'un PC infecté)

Pas de changement , en bien en tout cas !

 

J'ai un peu avancé

1 - Antivir en mode sans echec a trouvé 3 virus dans des archives

La procédure a été longue ! (plus de 4 heures la premiere fois et 1h30 la deuxième)

et s'est soldée par un plantage lors du scan du 2ème disque.

J'avais supprimé ces fichiers au fur et à mesure. J'ai relancé une analyse sur C: uniquement

sans les archives (plus rapide). le systeme est déclaré propre par antivir.

 

2 - pour voir ce qui restait comme processus en mode sans echec

j'ai regardé dans le gestionnaire des taches ...

j'avais 3 fichiers tmp generes toutes les 2 minutes, ils sont toujours crées en mode sans échec

et il y a 3 fois le processus svchost.exe !!! coincidences ?

 

3 - je joint le rapport hijackThis en fin de message,

en mode normal il trouve toujours 3 svchost.exe,

le gestionnaire de tache en ressence 6 !!!

3 utilisateur=SYSTEM,

2 utilisateur=SERVICE RESEAU

1 utilisateur=SERVICE LOCAL

Il y a un truc ! lequel ne sait plus compter ?

sur un PC XP combien de fois ce processus devrait il etre lancé ?

 

Donc toujours prolifération de fichiers WINxxx.TMP

a chaque démarrage le compte commence à WIN1.TMP

puis augmente en hexadecimal a raison de 3 fichiers toutes les 2minutes

la j'en suis a WIND6.TMP.

Quel est le nombre max de fichiers par répertoire sous Windows XP ?

 

Merci de votre aide

A Bientot

 

CI-après le rapport hijackthis

------------------------------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 23:27:55, on 16/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\WINDOWS\system32\FreezeScreenSaver.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Program Files\CD_DVD\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

C:\WINDOWS\system32\taskswitch.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe

C:\Program Files\HPQ\SHARED\HPQWMI.exe

C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Desktop_Tools\PowerDesk\pddlghlp.exe

C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [AutoDialogs] C:\Program Files\Desktop_Tools\AutoDialogs\AD.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [iCQ Lite] C:\Program Files\Web_Tools\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [urlLSTCK.exe] "C:\Program Files\Norton Internet Security\UrlLstCk.exe"

O4 - HKLM\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncrediMail.exe /c

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\Web_Tools\ICQLite\ICQLite.exe -trayboot

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Dialog Box Assistant.lnk = C:\Program Files\Desktop_Tools\Dialog Box Assistant\OSDEx.exe

O4 - Startup: Dialog Helper.lnk = C:\Program Files\Desktop_Tools\PowerDesk\pddlghlp.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\Web_Tools\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\Web_Tools\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)

O9 - Extra button: Dictionnaire - {FB4AE6A3-EE20-442c-9189-251885352358} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)

O9 - Extra button: Synonymes - {FDD637F8-2693-49ce-817E-1AD59574900C} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote S - IE 6.htm (HKCU)

O9 - Extra button: Conjugueur - {FF229BEC-9E1F-48c1-99A6-AF34ABEFAB0A} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote C - IE 6.htm (HKCU)

O9 - Extra button: Grammaire - {FFB5EE7F-726F-423e-83C2-572FE7CEB3F0} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Contrôle d'AcDcToday) - file://C:\Program Files\AutoCAD LT 2002 Fra\AcDcToday.ocx

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Gestion d'AcPreview) - file://C:\Program Files\AutoCAD LT 2002 Fra\AcPreview.ocx

O20 - Winlogon Notify: winhoq32 - C:\WINDOWS\SYSTEM32\winhoq32.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe

O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\system32\FreezeScreenSaver.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\CD_DVD\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

[pitcat]

re

tres bien attend la procedure à suivre d'un expert maintenant

à+

[bibi26]

Bonjour à tous,

 

Analyse en cours, réponse dans une dizaine de minutes...

Modifié le 16 avril 2006 par bibi26

[bibi26]

Hm... le log contient quand même pas mal de lignes superflus, mais il y a juste FreezeScreenSaver que je trouve assez louche . Le connait-tu ?

 

 

Si tu souhaites enlever FreezeScreenSaver, alors suit la procédure au complet, sinon, saute les étapes qui ont rapport avec FreezeScreenSaver

 

Coche : Afficher les fichiers et dossiers cachés

Décoche : Masquer les extensions des fichiers dont le type est connu

Décoche : Masquer les fichiers protégés du système d'exploitation

Puis clique sur "Ok"

 

Va dans "C:\WINDOWS\system32\" et cherche un fichier qui se nomme "FreezeScreenSaver". Clique droit dessus et clique sur supprimer.

 

 

7-Démarre hijackthis et clique sur "do a system scan only". Coche la ligne suivante, assure toi que toutes les fenêtres sont fermer (à part celle de hijackthis) et clique sur "Fix Checked" :

 

O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\system32\FreezeScreenSaver.exe

 

O4 - HKLM\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncrediMail.exe /c -- Est-ce vraiment nécéssaire de le démarrer au démmarrage ? (Si tu le veux quand même au démarrage, supprime une des deux lignes, en effet, il y a deux lignes incredimail dans ton rapport)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe -- Inutile

O4 - HKLM\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncrediMail.exe /c -- Est-ce vraiment nécéssaire de le démarrer au démmarrage ?

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" -- Inutile

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe -- Inutile

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime -- Inutile

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe -- Inutile

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background -- Est-ce vraiment utile de mettre messenger au démarrage ? En particulier en même temps que ICQ...

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\Web_Tools\ICQLite\ICQLite.exe -trayboot -- Même chose que Messenger...

 

 

8-Lance ewido et clique sur l'onglet "scanner" et sur "scan complet du système". Dès la première infection trouvé, ewido va t'avertir qu'il a trouver quelque chose, assure-toi que les deux cases en bas du message sont cochés et clique sur "OK" pour continuer l'analyse. À la fin de l'analyse, clique sur le bouton "sauvegarder le rapport" et sauvegarde-le en quelque part...

 

 

9-Lance easycleaner, clique sur le bouton "registre", clique sur le bouton "trouver" et après, quand l'analyse est finit, clique sur le bouton "Supprime tout". Après, clique sur "Fermer". Fait de même avec la fonction "inutiles". Après, retourne sur ton bureau, clique sur droit sur la corbeille et sélectionne "Vider la corbeille"

 

Retourne en mode normal, fait un nouveau rapport hijackthis, poste le rapport hijackthis + ewido sur le forum

 

 

PS : Pour ce qui est de f3PSSavr.scr, ewido devrait normalement le supprimer

Modifié le 17 avril 2006 par bibi26

[Arbre Ciré]

Hm... le log contient quand même pas mal de lignes superflus, mais il y a juste FreezeScreenSaver que je trouve assez louche . Le connait-tu ?

 

Oui, je pensais l'avoir viré !

Cela a becoup ammusé ma fille de 2 ans !

C'est un économiseur d'écran 3D, (en théorie)

un aquarium avec plein de poissons de toutes les couleurs!

C'est très bien fait, mais il n'économise que l'écran !

au niveau ressources c'est un affamé !

 

le nombre d'invocation de svchost.exe ne te semble pas bizarre ?

 

je teste demain pour les soluces complémentaires, la il est un peu tard!

j'ai les yeux qui se croisent !

 

Merci de votre aide !

vous ne dormez jamais ou il y a des clones ?

cotes rapidité de reponse, Bravo !

 

A bientot

Arbre ciré

[bibi26]

La multiplication de svchost.exe est tout à fait normal . Ce n'est pas une cochonnerie ^^

 

Si tu veux garder freezescreensaver, tu as juste à sauter les étapes en rapport avec freezescreensaver dans la procédure, si tu veux l'enlever, alors suit la procédure au complet ^^

Modifié le 16 avril 2006 par bibi26

[Arbre Ciré]

Hm... le log contient quand même pas mal de lignes superflus,

 

Bonjour bibi26,

 

Peux-tu m'indiquer les lignes "superflues" ?

Quitte à faire du ménage... autant faire un grand nettoyage !

 

Certains outils que j'utilise très souvent ne sont pas "connus" d'HijackThis,

c'est le cas de

AutoDialogs (O4 AutoDialogs ....AD.exe) accès rapide aux répertoires souvent utilisés

en fonction du logiciel en cours.

Les utilisateurs MAC hurlent de rire, cette fonction est intégrée au système !

Antidote (O4 - HKCU\..\Run: [Gestionnaire Antidote.exe].....) Outil de correction grammaticale

Très efficace une fois permettre correctement) il surpasse tout ce que j'ai testé

Celui-là je ne m'en passe plus !

 

Pour les autres, il y a sûrement du ménage à faire !!!

 

A bientot

Arbre ciré

[bibi26]

Bonjour André,

 

Voilà, j'ai rajouter les lignes "superflues" ^^. Pourrait-tu maintenant suivre la procédure s'il vous plaît ?

 

Merci et à bientôt !

Modifié le 17 avril 2006 par bibi26