SpywareQuake et autres malware... Résolu :)

[naheulbeuk]

salut, fais aussi ceci :

 

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

 

< Insérer les entrées>

 

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

 

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

 

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

 

A+

[gium]

Hello,

 

Désolé pour le silence soudain, mais j'ai eu des problèmes de connexion Internet.

Cela dit, j'ai maintenant suivi les étapes que naheulbeuk m'avait précèdemment conseillés. Voici donc ci-dessous, les traces de Panda (ca marche finalement ;o) ), Kaspersky, et enfin le rapport du fix de fixwareout.

Par contre, pour hijackthis, je n'ai pas compris quelles lignes insérer ?

Je fourni ici à nouveau un rapport hijackthis mais je n'ai pu cocher aucune ligne ni cliquer sur fixchecked.

 

Quelles lignes dois-je cocher ?

 

Merci pour vos réponses,

 

A+

 

 

Panda :

Incident Statut Analyse

 

Adware:adware/emediacodec No Désinfecté C:\Documents and Settings\All Users\Bureau\Online Security Guide.url

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Schmitt\Cookies\schmitt@advertising[1].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Schmitt\Cookies\schmitt@atdmt[2].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Schmitt\Cookies\schmitt@doubleclick[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Schmitt\Cookies\schmitt@xiti[1].txt

 

 

 

 

 

Kasper :

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER - RAPPORT

lundi 24 avril 2006 22:09:18

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Version de Kaspersky On-line Scanner: 5.0.78.0

Dernière mise à jour de la base antivirus Kaspersky : 24/04/2006

Enregistrements dans la base antivirus Kaspersky : 178256

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie.: vrai

 

Cible de l'analyse - Poste de travail:

A:\

C:\

D:\

 

Statistiques de l'analyse:

Total d'objets analysés :: 36250

Nombre de virus trouvés: 13

Nombre d'objets infectés: 42

Nombre d'objets suspects: 0

Durée de l'analyse: 00:32:28

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Program Files\Trend Micro\PC-cillin 9\QUARANTINE\1.tmp Infecté: Trojan-Downloader.Win32.Zlob.lr ignoré

C:\Program Files\Trend Micro\PC-cillin 9\QUARANTINE\13.tmp Infecté: Trojan-Downloader.Win32.Zlob.kv ignoré

C:\Program Files\Trend Micro\PC-cillin 9\QUARANTINE\2.tmp Infecté: Trojan-Downloader.Win32.Zlob.lc ignoré

C:\Program Files\Trend Micro\PC-cillin 9\QUARANTINE\7.tmp Infecté: Trojan-Downloader.Win32.Zlob.lu ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004330.tlb Infecté: Trojan-Downloader.Win32.Zlob.lr ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004348.tlb Infecté: Trojan-Downloader.Win32.Zlob.lr ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004360.tlb Infecté: Trojan-Downloader.Win32.Zlob.lr ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004376.tlb Infecté: Trojan-Downloader.Win32.Zlob.lr ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004387.tlb Infecté: Trojan-Downloader.Win32.Zlob.lr ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004736.tlb Infecté: Trojan-Downloader.Win32.Zlob.lh ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004747.tlb Infecté: Trojan-Downloader.Win32.Zlob.lh ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004767.tlb Infecté: Trojan-Downloader.Win32.Zlob.lh ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004789.tlb Infecté: Trojan-Downloader.Win32.Zlob.lh ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004793.exe Infecté: Trojan-Downloader.Win32.Zlob.lh ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004808.tlb Infecté: Trojan-Downloader.Win32.Zlob.lg ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004827.tlb Infecté: Trojan-Downloader.Win32.Zlob.lg ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004830.exe Infecté: Packed.Win32.Tibs ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004832.exe Infecté: Trojan.Win32.Dialer.eg ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004844.tlb Infecté: Trojan-Downloader.Win32.Zlob.lg ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004863.tlb Infecté: Trojan-Downloader.Win32.Zlob.lg ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004883.tlb Infecté: Trojan-Downloader.Win32.Zlob.lg ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004884.exe Infecté: Trojan-Downloader.Win32.Zlob.lf ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004886.exe Infecté: Trojan-Downloader.Win32.Zlob.lg ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004909.tlb Infecté: Trojan-Downloader.Win32.Zlob.lo ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP65\A0004957.tlb Infecté: Trojan-Downloader.Win32.Zlob.lo ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP66\A0004982.tlb Infecté: Trojan-Downloader.Win32.Zlob.lo ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP67\A0004996.tlb Infecté: Trojan-Downloader.Win32.Zlob.lo ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP67\A0005008.tlb Infecté: Trojan-Downloader.Win32.Zlob.lo ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP67\A0005014.exe Infecté: Trojan-Downloader.Win32.Zlob.lr ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP67\A0005016.exe Infecté: Trojan-Downloader.Win32.Zlob.lo ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP67\A0005024.tlb Infecté: Trojan-Downloader.Win32.Zlob.mb ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP67\A0005034.tlb Infecté: Trojan-Downloader.Win32.Zlob.mb ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP67\A0005046.tlb Infecté: Trojan-Downloader.Win32.Zlob.mb ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP67\A0005069.tlb Infecté: Trojan-Downloader.Win32.Zlob.mb ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP67\A0005099.exe Infecté: Trojan-Downloader.Win32.Zlob.le ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP67\A0005101.exe Infecté: Packed.Win32.Tibs ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP67\A0005102.exe Infecté: Packed.Win32.Tibs ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP67\A0005184.dll Infecté: not-virus:Hoax.Win32.Renos.cc ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP67\A0005194.tlb Infecté: Trojan-Downloader.Win32.Zlob.mb ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP68\A0005274.tlb Infecté: Trojan-Downloader.Win32.Zlob.mb ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP68\A0005305.tlb Infecté: Trojan-Downloader.Win32.Zlob.mb ignoré

C:\System Volume Information\_restore{F90C72E9-3454-48B2-8D2D-1707245D58F4}\RP68\A0005307.exe Infecté: Trojan-Downloader.Win32.Zlob.mb ignoré

 

Analyse terminée.

 

 

 

 

Fixwareout :

Fixwareout ver 1.003

Last edited 04/09/2006

Post this report in the forums please

 

Reg Entries that were deleted

...

 

Microsoft ® Windows Script Host Version 5.6

Random Runs removed from HKLM

...

 

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

Example ipsec6.exe is lagitamate

 

»»»»» Search by size and names...

 

»»»»» Misc files

 

»»»»» Checking for older varients covered by the Rem3 tool

 

 

 

hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 22:31:49, on 24/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Wireless 802.11g Monitor\WLService.exe

C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe

C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe

C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\progra~1\scansoft\paperp~1\pptd40nt.exe

C:\PROGRA~1\ScanSoft\PAPERP~1\FBDirect.exe

C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe

C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe

C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ScanSoft\PaperPort\Config\Ereg\REMIND32.EXE

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [schedule] C:\Program Files\InterVideo\Backup\Schedule.exe

O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"

O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe

O4 - HKLM\..\Run: [PP7600usb] C:\PROGRA~1\ScanSoft\PAPERP~1\FBDirect.exe

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: reminder-Enregistrement du produit ScanSoft.lnk = C:\Program Files\ScanSoft\PaperPort\Config\Ereg\REMIND32.EXE

O4 - Global Startup: Activer le Poste de Travail Sans Fil Labtec.lnk = C:\Program Files\Poste de Travail Sans Fil Labtec\MulMouse.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4FD60F97-86E8-4322-8B0A-CFCD4F0F7965}: NameServer = 85.255.115.108,85.255.112.131

O17 - HKLM\System\CCS\Services\Tcpip\..\{FE3A7BAA-B277-412A-B784-B0A77FD961C9}: NameServer = 85.255.115.108,85.255.112.131

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe

O23 - Service: R54G Wireless Service - Unknown owner - C:\Program Files\Wireless 802.11g Monitor\WLService.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe

 

[gium]

ok... Apparement pas d'expert sécurité sur le forum pour l'instant...

Je vais aller dormir alors...

 

toute réponse, en attendant mon réveil et plus que bienvenue !!

 

A+

[Thanos]

salut gium

 

Je vais reprendre un peu les choses, parce que dans son précédent post, naheulbeuk n'as pas mis la bonne version du fix, ni les bonnes infos...!

 

1)-Elimine le Fixwareout que tu as, et stp , reessaie comme ceci:

 

Télécharge FixWareout de l'un de ces deux liens :

http://downloads.subratam.org/Fixwareout.exe

http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe

 

Sauvegarde-le sur ton Bureau, puis lance-le.

Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish.

Suis les directives à l'écran.

L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît.

Le redémarrage risque de prendre un peu plus de temps; ceci est normal.

Lorsque redémarré, un fichier texte apparaîtra (report.txt); copie/colle ce rapport dans ta prochaine réponse, avec un nouveau rapport HijackThis! également.

 

 

2) Les deux scans en lignes sont plutôt bons :

 

* Pour Panda, juste un fichier à éliminer(le reste n'étant que des cookies)=>

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

*Supprime le fichier en gras:

 

C:\Documents and Settings\All Users\Bureau\Online Security Guide.url

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

* Kaspersky montre une restauration système infectée,dont on s'occupera apres ca(tres simple!) et pour ceci=>

C:\Program Files\Trend Micro\PC-cillin 9\QUARANTINE\1.tmp Infecté: Trojan-Downloader.Win32.Zlob.lr ignoré

pas d'inquiêtude, il te suffit juste de vider le dossier de quarantaine de PC-Cillin par les options .(les fichiers en quarantaine ne sont pas actifs!tu peux les éliminer )

 

allez ,ca roule

Modifié le 24 avril 2006 par charles ingals

[gium]

Hello,

 

Merci pour la réponse !

 

Ci-dessous le report de fixwareout et un nouveau log de hijackthis.

J'ai supprimé les fichiers en quarantaine dans PC-Cillin et suivi la procédure avec ATF-Cleaner.

 

Quelqu'un pour me dire où j'en suis ??

 

Merci !!

 

fixwareout

 

Fixwareout ver 1.003

Last edited 04/09/2006

Post this report in the forums please

 

Reg Entries that were deleted

...

 

Microsoft ® Windows Script Host Version 5.6

Random Runs removed from HKLM

...

 

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

Example ipsec6.exe is lagitamate

 

»»»»» Search by size and names...

 

»»»»» Misc files

 

»»»»» Checking for older varients covered by the Rem3 tool

 

 

 

hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 21:38:26, on 25/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Wireless 802.11g Monitor\WLService.exe

C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe

C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe

C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\progra~1\scansoft\paperp~1\pptd40nt.exe

C:\PROGRA~1\ScanSoft\PAPERP~1\FBDirect.exe

C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe

C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe

C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ScanSoft\PaperPort\Config\Ereg\REMIND32.EXE

C:\Program Files\Trend Micro\PC-cillin 9\WebTrap.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\PC-cillin 9\PCCMAIN.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [schedule] C:\Program Files\InterVideo\Backup\Schedule.exe

O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"

O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe

O4 - HKLM\..\Run: [PP7600usb] C:\PROGRA~1\ScanSoft\PAPERP~1\FBDirect.exe

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: reminder-Enregistrement du produit ScanSoft.lnk = C:\Program Files\ScanSoft\PaperPort\Config\Ereg\REMIND32.EXE

O4 - Global Startup: Activer le Poste de Travail Sans Fil Labtec.lnk = C:\Program Files\Poste de Travail Sans Fil Labtec\MulMouse.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4FD60F97-86E8-4322-8B0A-CFCD4F0F7965}: NameServer = 85.255.115.108,85.255.112.131

O17 - HKLM\System\CCS\Services\Tcpip\..\{FE3A7BAA-B277-412A-B784-B0A77FD961C9}: NameServer = 85.255.115.108,85.255.112.131

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe

O23 - Service: R54G Wireless Service - Unknown owner - C:\Program Files\Wireless 802.11g Monitor\WLService.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe

 

[gium]

Est-ce que quelqu'un a eu le temps de jeter un oeil à mes log et rapports ?

 

Ce serait cool, merci bcp !!

[gium]

Bon... Je me rends bien compte que c'est con que je n'ai pas plus de temps à chaque fois sur le net... mais je vais de nouveau devoir quitter le forum... Sans réponse... snif...

 

Merci tout de même de toute réponse entre temps Messieurs Dames !!

 

A plus tard !!

[tornado]

Salut gium... en attendant la réponse de Charles, je te réponds

 

Bon... Je me rends bien compte que c'est con que je n'ai pas plus de temps à chaque fois sur le net... mais je vais de nouveau devoir quitter le forum... Sans réponse... snif... crying2.gif

 

Merci tout de même de toute réponse entre temps Messieurs Dames !!

 

A plus tard !! icon_smile.gif icon_smile.gif

 

 

Il faut savoir que, nous, les helpers, avons une vie à côté du forum . Donc on n'a pas toujours le temps de répondre rapidement. Et puis c'est du bénévolat

 

 

 

Donc, la suite :

 

 

- Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes :

 

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{4FD60F97-86E8-4322-8B0A-CFCD4F0F7965}: NameServer = 85.255.115.108,85.255.112.131

O17 - HKLM\System\CCS\Services\Tcpip\..\{FE3A7BAA-B277-412A-B784-B0A77FD961C9}: NameServer = 85.255.115.108,85.255.112.131

 

 

 

- Clique sur Fix checked, puis redémarre.

 

- Poste ensuite un nouveau rapport hijackthis

 

 

 

 

A+... je laisse Charles prendre la suite

Modifié le 25 avril 2006 par tornado

[Thanos]

salut gium,tornado

 

Aux indications de tornado (merci à lui )j'ajouterai ceci stp:

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

Si les lignes 017 résistent, on s'y prendra autrement pour les éliminer

[gium]

Bonjour,

 

Et merci à vous tornado et charles !!

Croyez bien que mon précèdent message n'était pas un reproche : Je me "plaignais" en fait du peu de temps qui m'est alloué dans la journée pour checker ce forum, et non du temps entre vos réponses !

 

Franchement je trouve super ce que vous faîtes et je vous en remercie encore !

 

Bon, coté PC j'ai fais ce que vous m'aviez conseillé. Les lignes 017 ont été supprimées. Ci-dessous hijackthis et panda.

 

A+

 

 

hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 08:24:06, on 26/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\progra~1\scansoft\paperp~1\pptd40nt.exe

C:\PROGRA~1\ScanSoft\PAPERP~1\FBDirect.exe

C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe

C:\Program Files\Wireless 802.11g Monitor\WLService.exe

C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe

C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe

C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe

C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ScanSoft\PaperPort\Config\Ereg\REMIND32.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe

C:\Program Files\Trend Micro\PC-cillin 9\WebTrap.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [schedule] C:\Program Files\InterVideo\Backup\Schedule.exe

O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"

O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe

O4 - HKLM\..\Run: [PP7600usb] C:\PROGRA~1\ScanSoft\PAPERP~1\FBDirect.exe

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: reminder-Enregistrement du produit ScanSoft.lnk = C:\Program Files\ScanSoft\PaperPort\Config\Ereg\REMIND32.EXE

O4 - Global Startup: Activer le Poste de Travail Sans Fil Labtec.lnk = C:\Program Files\Poste de Travail Sans Fil Labtec\MulMouse.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe

O23 - Service: R54G Wireless Service - Unknown owner - C:\Program Files\Wireless 802.11g Monitor\WLService.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe

 

 

 

 

Panda

 

Incident Statut Analyse

 

Adware:adware/emediacodec No Désinfecté C:\Documents and Settings\All Users\Bureau\Security Troubleshooting.url

Virus Eventuel. No Désinfecté C:\Documents and Settings\Schmitt\Bureau\ATF-Cleaner.exe

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Schmitt\Cookies\schmitt@advertising[1].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Schmitt\Cookies\schmitt@atdmt[2].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Schmitt\Cookies\schmitt@doubleclick[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Schmitt\Cookies\schmitt@xiti[1].txt