[RESOLU] Rapport HijackThis

[Jagaumo]

Hello

Suite à quelques soucis, j'ai suivi la procédure de pré-nettoyage de Megataupe.

Il persiste néanmoins un prb que je n'arrive pas à régler.

Pouvez vous me filer un coup de main svp ? Merci.

 

Ci-après le résultat de mon dernier scan panda, HijackThis et ewido.

 

--------------------------------------------

 

Logfile of HijackThis v1.99.1

Scan saved at 13:24:02, on 02/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe

C:\Program Files\LS_Duhem\lsdiorw\lsdiorw2.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\PRISMSVR.EXE

C:\Program Files\Dell Photo AIO Printer 924\dlccmon.exe

C:\Program Files\Soft4Ever\looknstop\looknstop.exe

C:\PROGRA~1\WinPatrol.exe

C:\WINDOWS\system32\dlcccoms.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\NkbMonitor.exe

C:\Program Files\Extensis\Portfolio 6.0\Portfolio Express.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\BinarySense\HDDlife\HDDlifePro.exe

C:\Program Files\SpywareGuard\sgmain.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\SpywareGuard\sgbhp.exe

C:\PROGRA~1\SYSTRAN\5.0\Premium\SYSTRA~3.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.fr/myway

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: Systran50premi.IEPlugIn - {9A0844DB-84CF-4440-BDB1-1F4F7C4F7FB0} - C:\Program Files\SYSTRAN\5.0\Premium\IEPlugIn.dll

O3 - Toolbar: (no name) - {8E4AA109-7239-4B85-8196-7377A53DDEFF} - (no file)

O4 - HKLM\..\Run: [dlccmon.exe] "C:\Program Files\Dell Photo AIO Printer 924\dlccmon.exe"

O4 - HKLM\..\Run: [DLCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [WinPatrol] "c:\PROGRA~1\WinPatrol.exe"

O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Program Files\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: HDDlife.lnk = C:\Program Files\BinarySense\HDDlife\HDDlifePro.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\WINDOWS\NkbMonitor.exe

O4 - Global Startup: Portfolio Express.lnk = ?

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Open and Translate in Word - res://C:\Program Files\SYSTRAN\5.0\Premium\IEShellExt.dll /10

O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://C:\Program Files\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /100

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter: text/html - {994D478A-45D0-4DB4-AE77-288B1E346E99} - C:\Program Files\FCAdvice\FCAdvice.dll

O20 - AppInit_DLLs: Runner.dll,pmplncmd.dll,Runner.dll,gaihanhg.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: dlcc_device - Unknown owner - C:\WINDOWS\system32\dlcccoms.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe

O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw2.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

 

-----------------------------

 

 

Incident Statut Analyse

 

Adware:adware/cws.aboutblank No Désinfecté Registre Windows

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\xxxxxx\Application Data\wxMozze\Profiles\kid_FR\b4677qyq.slt\cookies.txt[.xiti.com/]

Virus Eventuel. No Désinfecté C:\Program Files\1-ATF-Cleaner\1-ATF-Cleaner.exe

 

-----------------------------

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 11:08:19, 02/05/2006

+ Somme de contrôle: C7190E83

 

+ Résultats du scan:

 

[1112] C:\WINDOWS\system32\pmplncmd.dll -> Adware.Agent : Nettoyer et sauvegarder

C:\Program Files\EQBranch\EQBranch.exe -> Adware.PurityScan : Nettoyer et sauvegarder

C:\Program Files\FCAdvice\FCAdvice.dll -> Adware.CASClient : Nettoyer et sauvegarder

C:\Program Files\vmntoolbar\vmntoolbar.dll -> Adware.MegaSearch : Nettoyer et sauvegarder

C:\WINDOWS\system32\gaihanhg.dll -> Adware.Agent : Nettoyer et sauvegarder

C:\WINDOWS\system32\pmplncmd.dll -> Adware.Agent : Nettoyer et sauvegarder

C:\WINDOWS\system32\Runner.dll -> Adware.CASClient : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

-------------------------------------------

 

 

 

Report file date: mardi 2 mai 2006 09:35

 

 

Jobname: 'Manual Selection'

 

Scanning for 370940 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: xxxxxx

Computer name: JAGAUMO

 

Version informations:

AVSCAN.EXE : 7.0.0.30 536616 02/05/2006 07:31:47

AVSCAN.DLL : 7.0.0.30 40488 02/05/2006 07:31:47

LUKE.DLL : 7.0.0.30 114728 02/05/2006 07:31:47

LUKERES.DLL : 7.0.0.30 25600 02/05/2006 07:31:47

ANTIVIR0.VDF : 6.32.0.60 4323840 06/12/2005 09:47:34

ANTIVIR1.VDF : 6.34.0.209 1930240 02/05/2006 07:31:51

ANTIVIR2.VDF : 6.34.1.1 89600 02/05/2006 07:31:51

ANTIVIR3.VDF : 6.34.1.26 48128 02/05/2006 07:31:51

AVEWIN32.DLL : 7.0.0.8 1171968 02/05/2006 07:31:51

AVPREF.DLL : 6.34.0.0 38440 18/01/2006 11:06:02

AVREP.DLL : 6.34.1.20 2371624 02/05/2006 07:31:51

AVPACK32.DLL : 7.0.0.4 335912 02/05/2006 07:31:51

AVREG.DLL : 6.31.0.90 27688 28/07/2005 09:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 06:56:50

NETNW.DLL : 6.32.0.0 9768 27/09/2005 06:56:50

 

 

Start of the scan: mardi 2 mai 2006 09:35

 

 

Start scanning boot sectors:

 

Boot sector 'C:'

[NOTE] No virus was found!

Boot sector 'F:'

[NOTE] In the drive 'F:' no data medium is inserted!

Boot sector 'G:'

[NOTE] In the drive 'G:' no data medium is inserted!

Boot sector 'H:'

[NOTE] In the drive 'H:' no data medium is inserted!

Boot sector 'I:'

[NOTE] In the drive 'I:' no data medium is inserted!

 

Starting to scan the registry.

 

The registry was scanned ( 36 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\xxxxxx\ntuser.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\xxxxxx\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\xxxxxx\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\xxxxxx\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\xxxxxx\Local Settings\Temp\contextualapp.exe

[DETECTION] Is the Trojan horse TR/Dldr.6298.A

[iNFO] The file was deleted!

C:\Documents and Settings\xxxxxx\Local Settings\Temp\transpd.exe

[DETECTION] Contains signature of the dropper DR/Cmapp.A

[iNFO] The file was deleted!

C:\Documents and Settings\xxxxxx\Local Settings\Temp\~DFF561.tmp

[WARNING] The file could not be opened!

C:\Documents and Settings\xxxxxx\Local Settings\Temp\~DFF581.tmp

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\tpuninstall.exe

[DETECTION] Is the Trojan horse TR/Drop.Purity.ED.1

[iNFO] The file was deleted!

C:\WINDOWS\system32\config\DEFAULT

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SOFTWARE

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SYSTEM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

The path D:\ could not be found!

Le périphérique n'est pas prêt.

 

The path E:\ could not be found!

Le périphérique n'est pas prêt.

 

The path F:\ could not be found!

Le périphérique n'est pas prêt.

 

The path G:\ could not be found!

Le périphérique n'est pas prêt.

 

The path H:\ could not be found!

Le périphérique n'est pas prêt.

 

The path I:\ could not be found!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: mardi 2 mai 2006 10:30

Used time: 55:31 min

 

The scan has been done completely.

 

7010 Scanning directories

380477 Files were scanned

3 viruses and/or unwanted programs was found

3 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

10126 Archives were scanned

42 Warnings

0 Notes

Modifié le 6 décembre 2006 par Jagaumo

[tornado]

Bonjour jagaumo,

 

 

 

 

Ton rapport Hijackthis montre des signes d'infections... Ewido a en partie fait le boulot de désinfection, mais un petit nettoyage avec Hijackthis s'impose

 

 

Je prépare une procédure, réponse dans 10-15 min

 

 

 

A+

Modifié le 2 mai 2006 par tornado

[tornado]

Re,

 

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier texte.

Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver

 

 

 

 

Télécharge et installe les logiciels suivants au préalable

 

- CWShredder --> http://cwshredder.net/bin/CWShredder.exe

 

- Met le à jour via la touche Update.

- Ferme le programme.

 

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

Sinon, tu peux suavegarder la page web du tuto (comme indiqué précédemment) si cela te paraît moins compliqué ainsi.

 

 

 

 

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

 

 

2/ Désinstalle les logiciels suivants via le panneau "ajouter/supprimer des programmes" (dans le panneau de configuration) (si présents) :

 

- EQBranch

- FCAdvice

- vmntoolbar

 

 

3/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes :

 

 

O3 - Toolbar: (no name) - {8E4AA109-7239-4B85-8196-7377A53DDEFF} - (no file)

 

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

 

O18 - Filter: text/html - {994D478A-45D0-4DB4-AE77-288B1E346E99} - C:\Program Files\FCAdvice\FCAdvice.dll

 

O20 - AppInit_DLLs: Runner.dll,pmplncmd.dll,Runner.dll,gaihanhg.dll

 

 

 

- Fais "fix checked"

 

 

4/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

5/ Recherche et supprime les fichiers/dossiers en gras via l'explorateur Windows (si ils existent encore)

 

 

- C:\Program Files\EQBranch

- C:\Program Files\FCAdvice

- C:\Program Files\vmntoolbar

 

- C:\WINDOWS\system32\pmplncmd.dll

- C:\WINDOWS\system32\gaihanhg.dll

- C:\WINDOWS\system32\pmplncmd.dll

- C:\WINDOWS\system32\Runner.dll

 

 

 

- Vide la corbeille

 

 

 

6/ Lance CWShredder

 

-Assures-toi d'avoir tous les programmes fermés .

-Cliques sur "Fix next"

 

 

7/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools

 

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

ATF-cleaner

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

 

Jv16 powertools

 

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

8/ Redémarre en mode normal, poste un nouveau rapport hijackthis, fais à nouveau le scan de panda, et poste le rapport obtenu.

 

 

 

 

Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

 

A+

Modifié le 2 mai 2006 par tornado

[Jagaumo]

Salut et merci de ton aide.

Voici le résultat des opérations :

 

Logfile of HijackThis v1.99.1

Scan saved at 00:02:08, on 03/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe

C:\Program Files\LS_Duhem\lsdiorw\lsdiorw2.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\PRISMSVR.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Dell Photo AIO Printer 924\dlccmon.exe

C:\Program Files\Soft4Ever\looknstop\looknstop.exe

C:\PROGRA~1\WinPatrol.exe

C:\WINDOWS\system32\dlcccoms.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\NkbMonitor.exe

C:\Program Files\Extensis\Portfolio 6.0\Portfolio Express.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\BinarySense\HDDlife\HDDlifePro.exe

C:\Program Files\SpywareGuard\sgmain.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\SpywareGuard\sgbhp.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.fr/myway

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: Systran50premi.IEPlugIn - {9A0844DB-84CF-4440-BDB1-1F4F7C4F7FB0} - C:\Program Files\SYSTRAN\5.0\Premium\IEPlugIn.dll

O3 - Toolbar: (no name) - {8E4AA109-7239-4B85-8196-7377A53DDEFF} - (no file)

O4 - HKLM\..\Run: [dlccmon.exe] "C:\Program Files\Dell Photo AIO Printer 924\dlccmon.exe"

O4 - HKLM\..\Run: [DLCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [WinPatrol] "c:\PROGRA~1\WinPatrol.exe"

O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Program Files\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: HDDlife.lnk = C:\Program Files\BinarySense\HDDlife\HDDlifePro.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\WINDOWS\NkbMonitor.exe

O4 - Global Startup: Portfolio Express.lnk = ?

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Open and Translate in Word - res://C:\Program Files\SYSTRAN\5.0\Premium\IEShellExt.dll /10

O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://C:\Program Files\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /100

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: dlcc_device - Unknown owner - C:\WINDOWS\system32\dlcccoms.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe

O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw2.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

[tornado]

Salut Jagaumo,

 

 

 

 

Beau boulot , le nouveau rapport hijackthis est propre

 

Pourrais-tu faire à nouveau le scan de panda, comme je te l'ai demandé à la fin de la procédure ?

 

 

 

A+

 

 

 

PS: Comment se porte ton pc à présent ?

[Jagaumo]

Salut !

 

On dirait que ça va bcp mieux. Je fais un scan Panda dès ce soir. Merci encore.

[Jagaumo]

Bonjour

 

Il subsiste un petit quelque chose tout de même. Voici le rapport du scan Panda. Merci encore !

 

----------------------------------------------------------------------

 

 

Incident Statut Analyse

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Jagaumo\Application Data\wxMozze\Profiles\kid_FR\b4677qyq.slt\cookies.txt[.xiti.com/]

Modifié le 6 mai 2006 par Jagaumo

[tornado]

Re Jagaumo ,

 

 

 

 

Pas d'inquiétude, ce n'est qu'un cookie... ils reviennent régulièrement au cours de ta navigation.

Pense cependant à les vider fréquemment, avec ATF-cleaner par exemple.

 

 

Comme le rapport de panda n'indique plus rien, et que tu ne constates plus de disfonctionnement, on peut considérer ton système comme propre

 

 

Avant de commencer à sécuriser ton système, tu vas remettre certaines choses en place :

 

 

- Je t'avais fait faire ceci pour avoir accès à tous les fichiers =>

Démarrer, Poste de travail / Menu Outils / Options des dossiers / onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Cliquer sur "Appliquer à tous les dossiers", puis OK

 

A présent, recache tous ces dossiers pour ne pas en effacer un par erreur !

 

 

- Ensuite, je t'avais fait utiliser et télécharger certains outils pour le procédure de désinfection :

• Les pages Web
  
• Cwshredder
  

Tu peux à présent les supprimer, car ils ne te seront plus utiles (et vide la corbeille)

 

 

 

- Pour terminer, il te faut supprimer les points de restauration, car il se peut qu'elle soit infectée. Je te recommande de le faire, en la désactivant, puis en la réactivant, selon ce tuto --> http://www.libellules.ch/desactiver_restauration.php

 

 

 

 

 

 

Après avoir fait ceci, on peut entamer la sécurisation du système, pour ne pas être réinfecter à l'avenir :

 

 

1) Tout d'abord, il est nécessaire que tu installes un vrai firewall, car celui d'xp n'est pas suffisant. En effet, il ne filtre pas en sortie,; cela signifie qu'un malware ayant infecté ton pc peut se connecter au net sans problème. Je te propose Kerio, qui est simple d'accès, gratuit, efficace, et qui s'associe bien avec Avast :

 

- Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/82-kerio-...all-423912.html

- Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php

 

Tu peux parcourir cette page ainsi que tout le site, pour comprendre le fonctionnement du firewall, et te sécuriser --> http://benoit.aun.free.fr/securite-facile-php/firewall.php

 

 

Ne saute pas cette étape, le firewall est l'utilitaire de sécurité essentiel sur un système (ce n'est pas l'antivirus)

 

 

2) A présent, quelques conseils de sécurité, à lire attentivement et bien sûr à appliquer :

 

 

- Windows Update parfaitement à jour (catégories critique, Services Pack et Services Release)

- pare-feu bien paramétré

- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis /de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)

- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

Pour en savoir plus, consulte la page de ipl_001:

http://gerard.melone.free.fr/IT/IT-AM0.html

 

1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC :

 

=> Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe :

 

- Téléchargement : http://www.mozilla-europe.org/fr/products/firefox/

- Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628

 

 

Si tu veux toujours utiliser IE ! :

 

=> IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux)

Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg :

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !)

http://www.spywarewarrior.com/uiuc/resource.htm

 

=> ZebProtect (pour sécuriser les ports de ton PC, très simple)

 

- Tutorial : http://www.zebulon.fr/articles/zebprotect.php

- Téléchargement : http://telechargement.zebulon.fr/123.html

 

=> Si tu veux tester ton firewall : scanner les ports du PC :

 

http://www.pcflank.com/

 

 

=> SpywareBlaster :

 

http://www.javacoolsoftware.com/downloads.html

Son tuto :

http://www.ordi-netfr.org/tutorialspywareblaster.html

 

 

=> Ad-Aware SE de Lavasoft

 

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

http://tutopat.hostonet.org/viewtopic.php?t=207

 

=> SpyBot-Search & Destroy de Patrick Kolla

 

http://spybot.safer-networking.de/fr/download/index.html

Son tuto

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

 

=> Regprot (petit utilitaire très léger : 144ko !) pour protéger ta base de registre :

http://www.diamondcs.com.au/index.php?page=regprot

 

=> Ewido : http://download.ewido.net/ewido-setup.exe

c'est une version d'essai, qui perd certaines fonctions payantes, (pas de protection résidente)

mais il reste efficace ! Mets le à jour avant de scanner ton PC.

 

2)- Les utilitaires pour nettoyer le PC :

 

=> Clean Up 40 :

http://www.stevengould.org/software/cleanup/

- Ouvre CleanUp40 et vas sur "Clean up custom" et assure toi que seules ces cases sont cochées :

 

* Empty Recycle Bin

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

 

Puis lance le scan (cleanup)

 

- aide en image : (merci à Balltrap34)

http://pageperso.aol.fr/balltrap34/democleanup.htm

 

=> EasyCleaner de Toni Helenius (installe le dans son dossier)

http://personal.inet.fi/business/toniarts/files/EClea2_0.exe

Utiliser uniquement les fonctions "Inutile(s)" et "Registre". Ne pas toucher à la fonction "Doublons". Supprime tout ce qu'il propose.

 

http://personal.inet.fi/business/toniarts/ecleane.htm

Tutorial :

http://www.uptoopc.net/nettoyer/temporaires.php

http://www.uptoopc.net/nettoyer/registre.php

http://www.uptoopc.net/nettoyer/autresfonctions.php

 

 

 

=> ATF-cleaner par Atribune : http://www.atribune.org/public-beta/ATF-Cleaner.exe

C'est un nettoyeur très peu gourmand en ressources mais très efficace. Il te permet de nettoyer les différents fichiers temporaires sur ton pc, y compris ceux de ton naivigateur alternatif. En voici le mode d'emploi :

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

 

=> RegSeeker de Thibaud Djian : RegSeeker est un nettoyeur de base de registre puissant et simple d'utilisation. Ce logiciel permet également d'apporter de nombreuses améliorations à Windows (fonction "Tweaks").

Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème.

 

- Téléchargement : http://www.hoverdesk.net/freeware.htm

 

- Tutorial : http://www.zebulon.fr/articles/regseeker-1.php

 

=> JV16 PowerTools de Jouni Vuorio : Utilitaire très complet : il intègre les fonctions de Regcleaner.

A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant.

Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème.

 

 

- Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html

 

- Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

 

- Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware :

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

Plus d'info sur le topic d'ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

NB : Même si la possibilité de sécuriser IE est proposée, je te recommande cependant d'essayer Firefox, qui est beaucoup plus sécurisé... (n'intègre pas les activex souvent infectieux)

 

 

 

 

Parmi ces différents utilitaires, tu retrouves certains utilitaires qu'on a utilisé pendant la désinfection...

 

Tu peux donc tous les garder, en t'en servant régulièrement.

 

 

 

 

Informe-moi si tout s'est bien passé (installation + configuration du firewall notamment) .

 

 

 

A+

 

 

PS: Si tu ressens encore quelques ralentissements, tu peux optimiser ton rapport (et donc optimiser ton système, notamment par le biais des lignes O4 => programmes au démarrage) en le postant dans la section optimisation/sécurisation.

Modifié le 6 mai 2006 par tornado

[Jagaumo]

Tout est ok. Merci infiniment pour ton aide précieuse.

[tornado]

Salut Jagaumo,

 

 

 

Tout est ok. Merci infiniment pour ton aide précieuse. icon_wink.gif

 

De rien, ce fut un plaisir de travailler avec toi

 

 

 

Maintenant que ton problème est résolu, pense à clôturer ton topic en editant ton premier post ( Bouton EDITER, à côté de CITER et REPONDRE ) en ajoutant la mention [RESOLU] dans le titre du sujet ...

 

 

 

Peut être à la prochaine, Jagaumo

 

 

Cordialement,

 

Tornado.