après la procédure antivir et hijackthis...

[sms]

voila le rapport de panda

 

je n'ai pas réinstallé firefox because il apparait dana les listes de programmes suspect

 

pour les cookies, je suppose qu'il faille aller sur le chemin indiqué et supprimer le fichier ?

 

 

 

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\y\Application Data\Mozilla\Firefox\Profiles\sf4wk1yh.default\cookies.txt[.xiti.com/]

Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\y\Cookies\y@2o7[1].txt

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\y\Cookies\y@adtech[2].txt

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\y\Cookies\y@advertising[1].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\y\Cookies\y@atdmt[2].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\y\Cookies\y@bluestreak[1].txt

Spyware:Cookie/Btgrab No Désinfecté C:\Documents and Settings\y\Cookies\y@btg.btgrab[2].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\y\Cookies\y@doubleclick[1].txt

Spyware:Cookie/OfferOptimizer No Désinfecté C:\Documents and Settings\y\Cookies\y@offeroptimizer[1].txt

Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\y\Cookies\y@statse.webtrendslive[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Byoris\y\boris@weborama[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\y\Cookies\y@xiti[1].txt

Outil indésirable:Application/FunWeb No Désinfecté C:\Program Files\HijackThis\backups\backup-20060424-181815-451.inf

Outil indésirable:Application/P2PNetworking No Désinfecté C:\Program Files\HijackThis\backups\backup-20060424-181816-984.dll

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll

Outil indésirable:Application/Need2Find No Désinfecté C:\Program Files\Mozilla Firefox\plugins\NPNd2fn.dll

Adware:adware/gator No Désinfecté C:\WINDOWS\GatorUninstaller_cme.log

Dialer:dialer.bny No Désinfecté C:\WINDOWS\pcconfig.dat

Spyware:application/bestoffer No Désinfecté C:\WINDOWS\smdat32a.sys

Adware:adware/cydoor No Désinfecté C:\WINDOWS\SYSTEM32\cd_clint.dll

Outil indésirable:Application/P2PNetworking No Désinfecté C:\WINDOWS\SYSTEM32\P2P Networking v126.cpl

 

 

Écrit aujourd'hui à 15h38

voila le rapport de panda

 

je n'ai pas réinstallé firefox because il apparait dana les listes de programmes suspect

 

pour les cookies, je suppose qu'il faille aller sur le chemin indiqué et supprimer le fichier ?

 

 

 

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\y\Application Data\Mozilla\Firefox\Profiles\sf4wk1yh.default\cookies.txt[.xiti.com/]

Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\y\Cookies\y@2o7[1].txt

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\y\Cookies\y@adtech[2].txt

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\y\Cookies\y@advertising[1].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\y\Cookies\y@atdmt[2].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\y\Cookies\y@bluestreak[1].txt

Spyware:Cookie/Btgrab No Désinfecté C:\Documents and Settings\y\Cookies\y@btg.btgrab[2].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\y\Cookies\y@doubleclick[1].txt

Spyware:Cookie/OfferOptimizer No Désinfecté C:\Documents and Settings\y\Cookies\y@offeroptimizer[1].txt

Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\y\Cookies\y@statse.webtrendslive[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\y\y\y@weborama[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\y\Cookies\y@xiti[1].txt

Outil indésirable:Application/FunWeb No Désinfecté C:\Program Files\HijackThis\backups\backup-20060424-181815-451.inf

Outil indésirable:Application/P2PNetworking No Désinfecté C:\Program Files\HijackThis\backups\backup-20060424-181816-984.dll

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll

Outil indésirable:Application/Need2Find No Désinfecté C:\Program Files\Mozilla Firefox\plugins\NPNd2fn.dll

Adware:adware/gator No Désinfecté C:\WINDOWS\GatorUninstaller_cme.log

Dialer:dialer.bny No Désinfecté C:\WINDOWS\pcconfig.dat

Spyware:application/bestoffer No Désinfecté C:\WINDOWS\smdat32a.sys

Adware:adware/cydoor No Désinfecté C:\WINDOWS\SYSTEM32\cd_clint.dll

Outil indésirable:Application/P2PNetworking No Désinfecté C:\WINDOWS\SYSTEM32\P2P Networking v126.cpl

[tornado]

Re,

 

 

je n'ai pas réinstallé firefox because il apparait dana les listes de programmes suspect

 

Firefox n'est pas infectieux du tout . Ce sont certains malwares qui se sont "incrustés" dans les plug-ins du navigateur (ici, need2find et mywebseach)

Tu peux donc l'utiliser sans soucis ...

 

D'autant plus que tu as pu téléchargé Ewido...

 

 

pour les cookies, je suppose qu'il faille aller sur le chemin indiqué et supprimer le fichier ?

 

Oui, mais on peut également utiliser les logiciels proposés pour le nettoayge des fichiers temporaires (les cookies en font partie)

 

 

Comme tu peux le voir, Panda a détecté pas mal de fichiers infectieux, mais ne les a pas supprimé.

Tu vas donc suivre cette procédure, pour supprimer ces fichiers, et nettoyer ton système.

Avant de faire quoi que ce soit, dis-moi si tu parviens à télécharger les logiciels proposés ci dessous...

 

 

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier texte.

Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver

 

 

 

 

Télécharge et installe les logiciels suivants au préalable

 

 

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

Sinon, tu peux sauvegarder la page web du tuto (comme indiqué précédemment) si cela te paraît moins compliqué ainsi.

 

 

 

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

 

2/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

3/ Recherche et supprime les fichiers en gras via l'explorateur Windows (si ils existent encore)

 

C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll

C:\Program Files\Mozilla Firefox\plugins\NPNd2fn.dll

 

C:\WINDOWS\GatorUninstaller_cme.log

C:\WINDOWS\pcconfig.dat

C:\WINDOWS\smdat32a.sys

 

C:\WINDOWS\SYSTEM32\cd_clint.dll

C:\WINDOWS\SYSTEM32\P2P Networking v126.cpl

 

 

 

Puis vide (supprime le contenu) le dossier suivant :

 

C:\Program Files\HijackThis\backups

 

 

- Vide la corbeille

 

 

 

 

4/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools

 

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

ATF-cleaner

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

 

Jv16 powertools

 

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

5/ Redémarre en mode normal, fais à nouveau le scan de panda, et poste le rapport obtenu

 

 

 

 

A+

Modifié le 30 avril 2006 par tornado

[sms]

il n'y a que Jv16 Powertools que je n'ai pas réussi à telecharger

 

puis je commencer qd même ?

 

je viens juste de télécharger la version JV16 PowerTools 2006 1.5.2.336 sur un site mirroir

 

donc je commence merci

[tornado]

Salut,

 

 

 

Tu vas pas t'y retrouver avec cette version de Jv16 powertools... elle diffère beaucoup de l'ancienne version gratuite, sur laquelle nle tuto repose...

 

Tu peux télécharger la version adéquate à cette adresse --> http://www.aplusfreeware.com/categories/LF...6-1.3.0.195.zip

 

Tu dois juste dézipper l'archive et lancer l'installeur...

 

 

 

A+

[sms]

je te remercie bocoup

je m'en suis plutot bien sorti avec la vielle version (j'ai tout supprimé, comme ça...)

 

je vais regarder si tout cela fonctionne correctement maintenant..

 

allé, je t'offre

 

merci

[sms]

et voici le dernier fichier hijackthis, je pense qu'il n'est pas mauvais :

 

Logfile of HijackThis v1.99.1

Scan saved at 07:39:48, on 01/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec

 

Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec

 

Shared\SNDSrvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec

 

Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\ATI Technologies\ATI Control

 

Panel\atiptaxx.exe

C:\Program Files\Dell\AccessDirect\dadapp.exe

C:\Program Files\Fichiers communs\Symantec

 

Shared\ccEvtMgr.exe

C:\Program Files\Roxio\Easy CD Creator

 

5\DirectCD\DirectCD.exe

C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\Wanadoo\taskbaricon.exe

C:\Program Files\SigmaTel\Pilotes Audio SigmaTel

 

AC97\stacmon.exe

C:\Program Files\Pinnacle\Shared

 

Files\Programs\USBTip\USBTip.exe

C:\Program Files\Fichiers communs\Symantec

 

Shared\ccApp.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\WINDOWS\System32\RunDLL32.exe

C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec

 

Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Fichiers communs\RTE\RTEGPRS.exe

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPPSWK.

 

EXE

C:\ultrameter\ultrameter.exe

c:\Program Files\Numericable\Mon Assistant

 

Internet\bin\mad.exe

c:\Program Files\Numericable\Mon Assistant

 

Internet\bin\mpbtn.exe

C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Microsoft

 

Office\Office\OUTLOOK.EXE

C:\Program Files\Norton AntiVirus\OPScan.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet

 

Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet

 

Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet

 

Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet

 

Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) -

 

{BE89472C-B803-4D1D-9A9A-0A63660E0FE3} -

 

C:\PROGRA~1\COPERN~1\COPERN~1.DLL

O2 - BHO: Adobe PDF Reader Link Helper -

 

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program

 

Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) -

 

{53707962-6F74-2D53-2644-206D7942484F} -

 

C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper -

 

{BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program

 

Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Copernic Agent -

 

{F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program

 

Files\Copernic Agent\CopernicAgentExt.dll

O3 - Toolbar: Norton AntiVirus -

 

{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program

 

Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI

 

Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DadApp] C:\Program

 

Files\Dell\AccessDirect\dadapp.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program

 

Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [CAPON]

 

C:\WINDOWS\System32\Spool\Drivers\w32x86\3\CAPONN.E

 

XE

O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Program

 

Files\Panicware\Pop-Up Stopper\dpps2.exe"

O4 - HKLM\..\Run: [WooCnxMon]

 

C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH]

 

C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON]

 

C:\PROGRA~1\Wanadoo\taskbaricon.exe

O4 - HKLM\..\Run: [sigmaTel StacMon] C:\Program

 

Files\SigmaTel\Pilotes Audio SigmaTel

 

AC97\stacmon.exe

O4 - HKLM\..\Run: [uSBToolTip] "C:\Program

 

Files\Pinnacle\Shared

 

Files\Programs\USBTip\USBTip.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program

 

Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program

 

Files\Fichiers communs\Symantec Shared\Security

 

Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [RealTray] C:\Program

 

Files\Real\RealPlayer\RealPlay.exe

 

SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [PD0620 STISvc] RunDLL32.exe

 

P0620Pin.dll,RunDLL32EP 513

O4 - HKLM\..\Run: [Motive SmartBridge]

 

C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe

O4 - HKCU\..\Run: [CTFMON.EXE]

 

C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [RTEGPRS] "C:\Program

 

Files\Fichiers communs\RTE\RTEGPRS.exe" tray

O4 - Startup: PowerReg Scheduler.exe

O4 - Startup: UltraMètre.lnk =

 

C:\ultrameter\ultrameter.exe

O4 - Global Startup: Fenêtre d'état Canon

 

LBP-810.LNK =

 

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPPSWK.

 

EXE

O4 - Global Startup: Lancement rapide d'Adobe

 

Reader.lnk = C:\Program Files\Adobe\Acrobat

 

7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk =

 

C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Mon Assistant Internet.lnk =

 

C:\Program Files\Numericable\Mon Assistant

 

Internet\bin\matcli.exe

O6 - HKCU\Software\Policies\Microsoft\Internet

 

Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet

 

Explorer\Control Panel present

O8 - Extra context menu item: Chercher avec

 

Copernic Agent - res://C:\Program Files\Copernic

 

Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHE

 

XT

O15 - Trusted Zone: http://isexplw4.lille.iufm.fr

O16 - DPF: fdjeux -

 

https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1}

 

(ActiveScan Installer Class) -

 

http://acs.pandasoftware.com/activescan/as5free/asi

 

nst.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}

 

(Zylom Games Player) -

 

http://game06.zylom.com/activex/zylomgamesplayer.ca

 

b

O18 - Protocol: msnim -

 

{828030A1-22C1-4009-854F-8E305202313F} -

 

"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) -

 

Symantec Corporation - C:\Program Files\Fichiers

 

communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation

 

(ccPwdSvc) - Symantec Corporation - C:\Program

 

Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr)

 

- Symantec Corporation - C:\Program Files\Fichiers

 

communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus

 

Auto-Protect (navapsvc) - Symantec Corporation -

 

C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor

 

Service (NPFMntor) - Symantec Corporation -

 

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation -

 

C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) -

 

Symantec Corporation -

 

C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service

 

(SNDSrvc) - Symantec Corporation - C:\Program

 

Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) -

 

Symantec Corporation - C:\Program Files\Fichiers

 

communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec

 

Corporation - C:\Program Files\Fichiers

 

communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec

 

Corporation - C:\Program Files\Fichiers

 

communs\Symantec Shared\Security Center\SymWSC.exe

[tornado]

Salut sms,

 

 

 

 

Effectivement, ton rapport hijackthis est propre mais c'est pas nouveau...

 

Je voudrais que tu fasses le scan de panda, pour vérifier si tout a été supprimé ...

 

N'oublie pas de sauvegarder et de poster le rapport, si panda a trouvé quelue chose.

 

 

 

A+

Modifié le 1 mai 2006 par tornado