Rapport hijackthis

[bruce lee]

re,

 

(apparement tu as ewido mais je te remets le lien au cas ou)

 

 

1/Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/fr/

 

Installe et mets à jour.

 

Important: Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".

 

Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme.

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

 

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

3/lance hijackthis en cliquant sur do a scan system only coche cette ligne:

 

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

4/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

5/supprime ce qui est en gras:

 

C:\WINDOWS\ switchagreement.txt <== le fichier

C:\HIJACKTHIS\backups\ backup-20060418-173321-199.inf<== le fichier

 

 

6/Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

 

7/Relance Ewido et clique sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

 

A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

8/redemarre en mode normal

 

9/ rend toi sur site:

 

1- http://virusscan.jotti.org/

 

et fais analyser:

 

C:\WINDOWS\ shico.exe

 

 

10/poste le rapport de Jotti, un nouveau log hijackthis, et enfin le rapport d'ewido.

 

 

bon courage, et si tu as la moindre question n'hesite surtout pas

 

@+

 

 

P.S pour le scan de panda tu le feras un peu plus tard.

[pincus52]

Ok Bruce Lee je démarre tout ça

[bruce lee]

re,

 

Ok Bruce Lee je démarre tout ça

 

LOL tu n'es pas obligé de faire ca se soir, rien ne presse

 

@+ bon courage

[pincus52]

Salut Bruce Lee

 

J'ai lancé le processus pendant que je soupais

 

Voila le rapport EWIDO

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 21:30:21, 18/04/2006

+ Somme de contrôle: F9D331C3

 

+ Résultats du scan:

 

C:\Documents and Settings\Administrateur\Cookies\administrateur@advertising[1].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

Pour jotti je n'ai pas trouvé comment enregistrer le rapport , j'ai fait une capture de l'écran

 

 

Et enfin le rapport hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 21:54:34, on 18/04/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\shico.exe

C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\HIJACKTHIS\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll

O3 - Toolbar: Systran40premi.IEPlugIn - {D3919E1A-D6A5-11D6-AC3E-00B0D094B576} - C:\Program Files\Systran\4_0\Premium\IEPlugIn.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [shico] C:\WINDOWS\shico.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE"

O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?

O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{731F4994-9202-4A2C-A076-53B3C93D722B}: NameServer = 195.238.2.21 195.238.2.22

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

 

Vu l'heure tardive je viendrais voir demain , merci encore a toi

[Thanos]

une petite info trouvée sur le net concernant ce shico:

"shico.exe" for 2K and "shicome.exe" for ME are installed with the drivers for multi card readers of various brands but are not drivers nor are they malicious.

When you have a card reader installed, Windows assigns it a drive letter to it like any other drive. To differentiate the various card slots on multi slot readers the shico.exe files assign and load unique drive icons for the various card slots that are displayed in Windows Explorer.

Pas méchant

shico.exe est installé avec des lecteurs de carte de différentes marques, mais ce n'est ni un driver , ni un malware.Lorsque vous avez un lecteur de cartes d'installé, Windows lui désigne une lettre comme à n'importe quel autre lecteur.Pour différencier les slots sur les lecteurs de cartes multi slots,le fichier shico.exe

attribue et charge une icone lecteur particulière pour chaque slot....

[bruce lee]

bonjour a tous,

 

pincus52, ton log est propre beau travail, maintenant tu refais un scan chez panda et tu postes le rapport s'il te plait,

 

charles, j'avais vu ce que tu as mis pour chico, mais sur spyware data ils disent que c'est coolwebsearch alors j'ai preferé etre prevoyant

 

@+

[Thanos]

salut regis56

charles, j'avais vu ce que tu as mis pour chico, mais sur spyware data ils disent que c'est coolwebsearch alors j'ai preferé etre prevoyant icon_biggrin.gif

...et tu as bien fait!j'avais aussi fait quelques recherches su l'exe en question pour être sûr

beau boulot

[pincus52]

bonjour a tous,

 

pincus52, ton log est propre beau travail, maintenant tu refais un scan chez panda et tu postes le rapport s'il te plait,

 

charles, j'avais vu ce que tu as mis pour chico, mais sur spyware data ils disent que c'est coolwebsearch alors j'ai preferé etre prevoyant

 

@+

 

Salut Bruce Lee

Voila le rapport du scan panda

 

 

Incident Statut Analyse

 

Dialer:dialer.xd No Désinfecté C:\Documents and Settings\All Users\Menu Démarrer\LipGame.lnk

Spyware:spyware/searchcentrix No Désinfecté C:\Documents and Settings\Administrateur\Favoris\Erotic Search.lnk

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt

Spyware:Cookie/Tribalfusion No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@tribalfusion[1].txt

Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[2].txt

Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@fastclick[2].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[1].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt

Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@metriweb[1].txt

Spyware:Cookie/Zedo No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@zedo[2].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@fe.lea.lycos[1].txt

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@advertising[1].txt

Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@statse.webtrendslive[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt

Spyware:Cookie/Paypopup No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\qzmkbl7x.default\cookies.txt[]

 

Un grand merci pour ton aide sans oublier Charles Ingals

 

J'ai téléchargé zone alarm , il m'a quand meme l'air assez pointu a configurer

Je vais jeter un oeil sur kerio personal firewall des fois qu'il serait plus simple

[bruce lee]

bonjour a tous,

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

3/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

supprime ce qui est en gras:

 

C:\Documents and Settings\All Users\Menu Démarrer\ LipGame.lnk<== le fichier

 

redemarre en mode normal et refais un scan chez panda et poste le rapport je te prie.

 

@+ et bon courage

[pincus52]

Bonjour Bruce Lee ,

 

Voila qui est fait

Par contre je n'ai pas trouvé C:\Documents and Settings\All Users\Menu Démarrer\ LipGame.lnk<== le fichier

 

 

Voila le rapport panda

 

 

Incident Statut Analyse

 

Spyware:spyware/searchcentrix No Désinfecté C:\Documents and Settings\Administrateur\Favoris\Erotic Search.lnk

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt

Spyware:Cookie/Tribalfusion No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@tribalfusion[1].txt

Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[2].txt

Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@fastclick[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt

Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@metriweb[1].txt

Spyware:Cookie/Zedo No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@zedo[2].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@fe.lea.lycos[1].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[2].txt

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@advertising[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[2].txt

Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@statse.webtrendslive[1].txt

Spyware:Cookie/Paypopup No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\qzmkbl7x.default\cookies.txt[]