prob avec win 32 Horst - C

[regis56]

Bonsoir tout le monde !

 

La_sagne comme je te l'avais déjà dis :

 

C:\DOCUME~1\SBASTI~2\LOCALS~1\Temp\7zO3.tmp\HijackThis.exe

 

Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut impérativement que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.

Je te demande donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe.

Si tu le laisses tel qu'il est actuellement, sur le bureau, pas de sauvegardes aisément exploitables (donc plus aucune possibilité de faire "marche arrière").

 

Tu peut le faire STP avant de continuer ?

 

A plus !

[la_sagne]

Bonsoir tout le monde !

 

La_sagne comme je te l'avais déjà dis :

Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut impérativement que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.

Je te demande donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe.

Si tu le laisses tel qu'il est actuellement, sur le bureau, pas de sauvegardes aisément exploitables (donc plus aucune possibilité de faire "marche arrière").

 

Tu peut le faire STP avant de continuer ?

 

A plus !

je crois que j'ai fait ce que tu m'as dit

 

j'ai créer un fichier C: programme files/ hijackthis

j'ai mis hijackthis dedans et voici le bilan:

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:14:59, on 23/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Cordial\PopupLexical.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\WINDOWS\system32\txtuser.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.imesh.com/intl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} - C:\Program Files\BitComet Toolbar\v2.0.0.4\BitComet_Toolbar.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - C:\Program Files\BitComet Toolbar\v2.0.0.4\BitComet_Toolbar.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [PopupLexical] "C:\Program Files\Cordial\PopupLexical.exe"

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [spyBrowser] "C:\Program Files\SpyBro\SpyBro.exe" /autostart

O4 - Startup: agenda.lnk = C:\Program Files\EssentialPIM\EssentialPIM.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?

O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O8 - Extra context menu item: &Point&&Go - C:\Program Files\Fichiers communs\Expert System\PGPlatform\PGPlatform.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1110624875825

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

desolé si tu me l'avais deja dit mais je suis un debutant et des fois je me depouille ....

[regis56]

RE

 

Merci d'avoir fais ce que je t'ai demandé.

 

Suite à une discussion récente entre les membres de zeb-sécu et dans un souci d'une meilleur lisibilité pour tout le monde je te laisse avec naheulbeuk pour la suite !

 

Bonne soirée !

[la_sagne]

RE

 

Merci d'avoir fais ce que je t'ai demandé.

 

Suite à une discussion récente entre les membres de zeb-sécu et dans un souci d'une meilleur lisibilité pour tout le monde je te laisse avec naheulbeuk pour la suite !

 

Bonne soirée !

 

 

de rien et encore desolé si j'ai été long à la détente.

 

Par contre par rapport aux consignes de naheulbeuk je n'ai toujours pas fait le scan avec penda .

il me dit que ce n'est pas possible ....

 

Naheulbeuk peux tu me dire se que je dois faire

 

 

merci seb

[la_sagne]

de rien et encore desolé si j'ai été long à la détente.

 

Par contre par rapport aux consignes de naheulbeuk je n'ai toujours pas fait le scan avec penda .

il me dit que ce n'est pas possible ....

 

Naheulbeuk peux tu me dire se que je dois faire

merci seb

 

malheubeuk peux tu t'occuper de moi SVP

[Thanos]

salut la_sagne

 

Je n'ai pas eu le temps de me pencher comme il faut sur ton rapport,Naheulbeuk n'étant plus sur le forum, voici quelques recommendations=>

 

-Tu n'as pas d'antivirus sur ton pc, tu aurais dû conserver Antivir qui est gratos et très efficace,donc=>

 

-télécharge Antivir

http://www.free-av.com

-son tutorial:

http://speedweb1.free.fr/frames2.php?page=tuto5

 

Ne te passe pas d'un antivirus résident, c'est très important pour la santé du pc!!

 

Le parefeu intégré à Windows est une daube, prends plutôt celui ci=>

 

-pour télécharger zone alarm:

http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

-son tutoriel:

http://www.zebulon.fr/articles/configurationZA_1.php

 

Par contre par rapport aux consignes de naheulbeuk je n'ai toujours pas fait le scan avec penda .

il me dit que ce n'est pas possible

Il faut que tu acceptes de télécharger le contrôle active x de Panda pour pouvoir utiliser leur scan en ligne=>

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

Si ca ne fonctionne toujours pas, utilise celui ci=>

 

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

Poste le résultat pour voir si rien ne subsiste sur ton pc

 

Voici la raison de l'infection de ton pc =>BitComet . Un apperçu des risques que tu encours lorsque tu utilises un logiciel de P2P => http://forum.zebulon.fr/index.php?showtopic=85544

 

Reposte avec ca un nouveau rapport hijackthis pour voir ou tu en est stp!

 

@+ tard

Modifié le 25 avril 2006 par charles ingals

[la_sagne]

salut la_sagne

 

Je n'ai pas eu le temps de me pencher comme il faut sur ton rapport,Naheulbeuk n'étant plus sur le forum, voici quelques recommendations=>

 

-Tu n'as pas d'antivirus sur ton pc, tu aurais dû conserver Antivir qui est gratos et très efficace,donc=>

 

-télécharge Antivir

http://www.free-av.com

-son tutorial:

http://speedweb1.free.fr/frames2.php?page=tuto5

 

Ne te passe pas d'un antivirus résident, c'est très important pour la santé du pc!!

 

Le parefeu intégré à Windows est une daube, prends plutôt celui ci=>

 

-pour télécharger zone alarm:

http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

-son tutoriel:

http://www.zebulon.fr/articles/configurationZA_1.php

Il faut que tu acceptes de télécharger le contrôle active x de Panda pour pouvoir utiliser leur scan en ligne=>

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

Si ca ne fonctionne toujours pas, utilise celui ci=>

 

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

Poste le résultat pour voir si rien ne subsiste sur ton pc

 

Voici la raison de l'infection de ton pc =>BitComet . Un apperçu des risques que tu encours lorsque tu utilises un logiciel de P2P => http://forum.zebulon.fr/index.php?showtopic=85544

 

Reposte avec ca un nouveau rapport hijackthis pour voir ou tu en est stp!

 

@+ tard

voici le rapport de panda scan

 

Incident Statut Analyse

 

Spyware:Cookie/Apmebf No Désinfecté C:\Documents and Settings\Sébastien\Cookies\sébastien@apmebf[2].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Sébastien\Cookies\sébastien@atdmt[1].txt

Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Sébastien\Cookies\sébastien@perf.overture[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Sébastien\Cookies\sébastien@weborama[2].txt

Virus:Trj/Rizalof.BJ Désinfecté C:\Documents and Settings\Sébastien\Local Settings\Temp\10exmscfgl.exe

Virus:Trj/Spammer.R Désinfecté C:\Documents and Settings\Sébastien\Local Settings\Temp\12exmodul32.exe

Virus:Trj/Rizalof.BJ Désinfecté C:\Documents and Settings\Sébastien\Local Settings\Temp\23exmscfgl.exe

Virus:Trj/Rizalof.BJ Désinfecté C:\Documents and Settings\Sébastien\Local Settings\Temp\24exmscfgl.exe

Virus:Trj/Rizalof.BJ Désinfecté C:\Documents and Settings\Sébastien\Local Settings\Temp\2exmscfgl.exe

Virus:Trj/Rizalof.BJ Désinfecté C:\Documents and Settings\Sébastien\Local Settings\Temp\45exmscfgl.exe

Virus:Trj/Spammer.R Désinfecté C:\Documents and Settings\Sébastien\Local Settings\Temp\57exmodul32.exe

Outil indésirable:Application/RealSpy No Désinfecté C:\WINDOWS\system32\actskn45.ocx

Virus:Trj/Qhost.gen Désinfecté C:\WINDOWS\system32\drivers\etc\hosts.20051124-102428.backup

Virus:Trj/Qhost.gen Désinfecté C:\WINDOWS\system32\drivers\etc\hosts.20051124-103533.backup

[la_sagne]

voici le rapport de panda scan

 

Incident Statut Analyse

 

Spyware:Cookie/Apmebf No Désinfecté C:\Documents and Settings\Sébastien\Cookies\sébastien@apmebf[2].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Sébastien\Cookies\sébastien@atdmt[1].txt

Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Sébastien\Cookies\sébastien@perf.overture[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Sébastien\Cookies\sébastien@weborama[2].txt

Virus:Trj/Rizalof.BJ Désinfecté C:\Documents and Settings\Sébastien\Local Settings\Temp\10exmscfgl.exe

Virus:Trj/Spammer.R Désinfecté C:\Documents and Settings\Sébastien\Local Settings\Temp\12exmodul32.exe

Virus:Trj/Rizalof.BJ Désinfecté C:\Documents and Settings\Sébastien\Local Settings\Temp\23exmscfgl.exe

Virus:Trj/Rizalof.BJ Désinfecté C:\Documents and Settings\Sébastien\Local Settings\Temp\24exmscfgl.exe

Virus:Trj/Rizalof.BJ Désinfecté C:\Documents and Settings\Sébastien\Local Settings\Temp\2exmscfgl.exe

Virus:Trj/Rizalof.BJ Désinfecté C:\Documents and Settings\Sébastien\Local Settings\Temp\45exmscfgl.exe

Virus:Trj/Spammer.R Désinfecté C:\Documents and Settings\Sébastien\Local Settings\Temp\57exmodul32.exe

Outil indésirable:Application/RealSpy No Désinfecté C:\WINDOWS\system32\actskn45.ocx

Virus:Trj/Qhost.gen Désinfecté C:\WINDOWS\system32\drivers\etc\hosts.20051124-102428.backup

Virus:Trj/Qhost.gen Désinfecté C:\WINDOWS\system32\drivers\etc\hosts.20051124-103533.backup

 

 

 

active scan me dit qu'il reste 4 logiciel espion

et 1 outil de piratage

 

seb

 

merci de me dire ce que je dois faire....

[Thanos]

salut la_sagne

 

Je regardais ton rapport de plus près,il y a encore du boulot...! mais on va y arriver!!

présence d'une dll infectée et un utilitaire douteux systématiquement éliminé par les pros en sécu =>SpyBrowser.

Je te poste dès cette après midi une procédure complête

active scan me dit qu'il reste 4 logiciel espion

et 1 outil de piratage

Les "logiciels espions" ne sont que des cookies en fait!!et l'Outil indésirable est le software ActiveSkin Module , est ce toi qui l'a installé?

 

Fais s'il te plait e attendant ce nettoyage rapide:

 

Télécharge ATF Cleaner by Atribune sur ton bureau.

 

*Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche la case: select all

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

@+tard

Modifié le 27 avril 2006 par charles ingals

[la_sagne]

salut la_sagne

 

Je regardais ton rapport de plus près,il y a encore du boulot...! mais on va y arriver!!

présence d'une dll infectée et un utilitaire douteux systématiquement éliminé par les pros en sécu =>SpyBrowser.

Je te poste dès cette après midi une procédure complête

 

Les "logiciels espions" ne sont que des cookies en fait!!et l'Outil indésirable est le software ActiveSkin Module , est ce toi qui l'a installé?

 

Fais s'il te plait e attendant ce nettoyage rapide:

 

Télécharge ATF Cleaner by Atribune sur ton bureau.

 

*Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche la case: select all

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

@+tard

 

 

j'ai fait ce quetu m'as dit

 

 

attend ta procédure complete