Rapport Hijackthis à analyser siouplait

[tornado]

Salut Alaiz (ça faisait longtemps )

 

 

Je n'ai fait qu'une manip sur les 2 proposées, car encore une fois, il y a eu erreur: "Blacklight" est non compatible avec WinME!! mhh.gif Dois-je forcer le téléchargement dans ce cas, vu sa nécessité?

Par contre, j'ai pris connaissance du site (même en anglais) et de topos sur le sujet, et je peux deviner intuitivement (et assez logiquement aussi) d'après les comportements de mon système, qu'il a bel et bien embarqué un ou des Rootkits!!! icon_evil.gif Existe-t'il une ancienne version de "Blacklight" ou un autre outil équivalent qui ferait ce boulot là? Ca serait verigoude!

 

J'avais complétement oublié que tu étais sous Windows Me ... désolé

Laisse de côté le scan rootkit pour l'instant... occupons nous de l'autre infection

 

1) J'ai décidé d'installer il y a quelques jours Thunderbird pour recevoir quand même des e-mails importants, mais le résultat est peu satisfaisant, car les problèmes se sont aussi chargés, semble-t'il! Pas malin, mais j'espèrais ainsi être sorti un peu de l'étau...

 

Sûrement un problème de firewall ... (voir la suite)

 

 

2) En effet (ô, Joie!), BD m'a détecté lors d'un scan un Trojan qui était planqué là depuis un bout de temps:

"Trojan.Patched.B" dans "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe" et juste après (grâce à ça?) Spyware Terminator (que j'ai gardé sur le bureau sans son "Shield" pour ne pas surcharger mon système!) a détecté et enlevé:

 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}\

 

Pas convaincu par Bitdefender... ça me paraît inhabituel qu'un malware se loge dans le dossier d'adobe.

Peux-tu faire ceci :

 

Veux-tu bien faire analyser ce fichier : C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe

 

... par l'intermédiaire de ces 2 sites :

=> http://virusscan.jotti.org/ (clique sur Parcourir , sélectionne DLMCleanup.exe, clique sur Ouvrir, puis sur Submit )

=> http://www.virustotal.com/en/indexf.html (clique sur Parcourir , sélectionne DLMCleanup.exe, clique sur Ouvrir, puis sur Send )

 

Copie les rapports obtenus et mets les dans ton prochain post...

 

Quand Spyware terminator, bon boulot dans registre (reste d'une barre de recherche "espionne")

 

 

Donc, à priori le système aurait dû aller mieux,...mais ça a recommencé quelques jours après!!!

En fait, le problème vient sûrement que j'ai énormément de ports ouverts malgré l'utilisation du pare-feu de Bitdefender, que j'utilise correctement pour autoriser mes programmes préférés, mais qu'apparemment je ne sais pas utiliser pour fermer les ports ouverts (mode d'emploi BD non explicite sur ce sujet). Mes anti-spywares souvent utilisés avec profit constituent donc une barrière aussi illusoire que la fameuse ligne Maginot!!! Devrais-je rajouter Kerio, ou pourriez-vous m'expliquer plutôt comment configurer le pare-feu de BD installé pour qu'il devienne performant...si c'est possible qu'il le devienne?

 

Je vais être franc... les suites de sécurité ne sont pas vraiment un modèle de sécurité, car il y a souvent un élément faible dans cette suite ( ici, le firewall de bitdefender).

Et j'ai l'impression que même l'antivirus est pas trsè fiable chez toi.

 

Je ne te l'impose pas, mais peut-être qu'il vaut meiux faire le ménage dans tout ça, en remplaçant l'av et le firewall de Bitdefender par un antivirus et un firewall...

 

 

Voilà ce que tu peux faire :

 

 

 

1/ Désinstalle la suite de sécurité Bitdefender (Antivirus et firewall compris) via "ajouter/supprimer des programmes" (panneau de configuration)

Un redémarrage sera sûrement nécessaire...

 

2/ Deux choix de Firewall simples à configurer, gratuits et efficaces se portent à toi :

 

- Kerio

 

- Pour le télécharger, c'est ici --> http://www.sunbelt-software.com/Kerio.cfm

- Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php

 

 

- Zonealarm

 

- Pour le télécharger, c'est ici --> http://download.zonelabs.com/bin/free/3301..._744_001_fr.exe

- Tu peux t'aider de ce tutorial --> http://speedweb1.free.fr/frames2.php?page=tuto1

Et le paramétrer également selon cet autre tuto --> http://sitanibal.free.fr/zonealarm/ZoneAlarmHelp_Online.htm

 

 

Tu retrouves sur cette page la description de ces 2 logiciels, ainsi que 2 autres Firewalls gratuits, mais un peu plus compliqués d'utilisation --> http://benoit.aun.free.fr/securite-facile-php/firewall.php

 

Je t'invite à parcourir tout le site, qui est vraiment bien fait

 

 

Après l'installation d'un de ces deux firewalls, un redémarrage est nécessaire (ça te sera demandé).

 

 

3/ Passons maintenant aux différents antivirus...

 

Il en existe 2 gratuits et dont l'efficacité est reconnue. Chacun d'entre eux s'associe plus ou moins bien avec firewall que tu as installé précédemment :

 

 

* Si tu as choisis Zonealarm, je te conseille de te tourner vers Antivir

 

- Pour le télécharger, c'est ici --> http://www.free-av.com/antivirus/allinonen.html

- Paramètre-le selon ce tutorial --> http://speedweb1.free.fr/frames2.php?page=tuto5

 

 

* Si tu as choisis Kerio, je te conseille de te tourner vers Avast!

 

- Pour le télécharger, c'est ici --> http://www.avast.com/eng/download-avast-home.html (choisis la version French )

- Paramètre-le selon ce tutorial --> http://www.pcentraide.com/lofiversion/index.php/t120.html

 

NB: Pour pouvoir utiliser le logiciel, tu dois t'enregsitrer depuis cette page --> http://www.avast.com/i_kat_207.php?lang=ENG (c'est gratuit)

 

Tu recevras par mail la clé du logiciel, que tu pourras rentrer au démarrage d'avast. Tu devras renouveler cette clé une fois par an.

 

 

Pour plus d'infos sur ces antivirus, ren-toi sur cette page --> http://benoit.aun.free.fr/securite-facile-php/antivirus.php

 

 

 

Comme pour les firewalls, un redémarrage sera demandé ...

 

Poste un nouveau rapport Hijackthis (état des leiux sur les infections + vérification de la bonne désinstallation de Bitdefender)

 

 

File C:\Program Files\ccsetup128.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.

File C:\Program Files\jv16 PowerTools\Backups\0016BB\ccleaner.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.

File C:\Program Files\jv16 PowerTools\Backups\000774\ccleaner.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.

 

Ca m'a l'air de faux-positifs ... donc ne touche à rien

 

1) Est-ce que je dois désinstaller"eScan Antivirus Toolkit" à cause des bugs de conflit pouvant apparaître quand on a 2 anti-virus? Ou est-ce que je peux le garder sur mon bureau en me rappelant qu'il ne doit être utilisé qu'en mode sans échec, puisqu'apparemment il n'est pas installé dans le système?

 

Oui, tu peux le supprimer... tu n'en auras probalement plus besoin. De toute façon, il ne risque pas de créer des conflit, car il n'installe pas de protection résidente...

 

 

2) Est-ce qu'à ce stade, je dois recommencer la méthode de "prélavage" de Mégataupe avant d'envoyer le rapport HijackThis? Ou dois-je plutôt attendre que vous me fassiez un package anti-rootkit compatible avec Windows Millenium?

 

Attendons le résulat du rapport Hijackthis demandé plus haut

 

 

 

Et tu ne me déranges pas, alaiz, y a pas de soucis

 

A+ (désolé si c'est un peu fouilli ... j'espère que tu t'y retouveras)

Modifié le 23 juin 2006 par tornado

[Alaïz]

Merci pour ta réponse, qui me paraît au contraire très claire!

Ca fait un bout de temps que les comportements de susceptibilité discriminatoire exacerbée (si, si!) de BD me font ch...! Mais je n'osais pas en changer parce que 1) je l'ai payé (on tient, n'est-ce pas, à son statut de client-con-sommateur!!) , 2) j'ai plusieurs amis qui trouvent que c'est le meilleur (mais ont-ils vraiment essayé Avast par exemple?)...et 3) c'est confirmé par certains comparatifs dits sérieux! Quand on s'y connaît pas trop, on n'ose plus râler, et on prend son mal en patience en se disant que l'ignorance est la source de tous les maux! (Ce qui reste vrai en général, mais le boulot reste de repérer les faux savoirs qui sont les pires des ignorances!!!).

 

Là, mon intuition me dit qu'on est sur la bonne voie, mais ça me donne pas mal de boulot en plus, donc Rdv dans 5 ou 6 jours pour faire cette grosse manip! (Il faut qd même reconfigurer pas mal de trucs!). Merci de ton aide bien structurée finalement.

Comme je fais dans la radicalité en ce moment, j'avais déjà viré DLMCleanup.exe, quitte à réinstaller Adobe ou un programme équivalent après, quand ça sera propre...Je joins quand même le copié-collé du scan fait sur ESD ds Adobe, à voir donc...

 

Avant de commencer le grand chantier, dois-je garder tout ou partie de mes anti-spyware (dans l'ordre de mes préférences très subjectives, liées à leur facilité ou non d'emploi pour moi actuellement):

1) résidents qui sont SpywareBlaster, Spybot S&D, et Winpatrol

2) scanners qui sont SpywareTerminator, Ad-Aware SE Personal, et A2 ??

 

Et voilà le scan (comme c'est en anglais, j'ai tout mis!):

 

Jotti's malware scan 2.99-TRANSITION_TO_3.00-R1

File to upload & scan:

 

Service

Service load:

0% 100%

File: AdobeDownloadManager.exe Status:

MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5 5b7487471cc0707ad1a19ded7ba0728c Packers detected:

PECOMPACT

Scanner results

AntiVir

Found nothing

ArcaVir

Found nothing

Avast

Found nothing

AVG Antivirus

Found nothing

BitDefender

Found nothing

ClamAV

Found nothing

Dr.Web

Found nothing

F-Prot Antivirus

Found nothing

Fortinet

Found nothing

Kaspersky Anti-Virus

Found nothing

NOD32

Found nothing

Norman Virus Control

Found nothing

UNA

Found nothing

VirusBuster

Found nothing

VBA32

Found nothing

 

Powered by

 

Disclaimer

This service is by no means 100% safe. If this scanner says 'OK', it does not necessarily mean the file is clean. There could be a whole new virus on the loose. NEVER EVER rely on one single product only, not even this service, even though it utilizes several products. Therefore, We cannot and will not be held responsible for any damage caused by results presented by this non-profit online service.

 

Also, we are aware of the implications of a setup like this. We are sure this whole thing is by no means scientifically correct, since this is a fully automated service (although manual correction is possible). We are aware, in spite of efforts to proactively counter these, false positives might occur, for example. We do not consider this a very big issue, so please do not e-mail us about it. This is a simple online scan service, not the university of Wichita.

 

Scanning can take a while, since several scanners are being used, plus the fact some scanners use very high levels of (time consuming) heuristics. Scanners used are Linux versions, differences with Windows scanners may or may not occur. Another note: some scanners will only report one virus when scanning archives with multiple pieces of malware.

 

Virus definitions are updated every hour. There is a 15Mb limit per file. Please refrain from uploading tons of hex-edited or repacked variants of the same sample.

 

Please do not ask for viruses uploaded here, unless you work for an anti-virus vendor. They are not for trade. This is a legitimate service, not a VX site. Viruses uploaded here will be distributed to antivirus vendors without exception. Read more about this in our privacy policy. If you do not want your files to be distributed, please do not send them at all.

 

Sponsored by donations (in random order) from: Stormbyte Technologies LLC, The ClamAV project, James Love, Gideon Pertzov, Malcolm Murray, Nigel Thomas, Wendy Dickerson, Anthony Midmore, "ethereal", Mark Rubins, Steve S., Eric Johansen, Eric Schechter, Paul Bokel, Wilders Security, Wilfried Lilie, Prevx, SonicWALL, Lance Mueller, Ewido networks, and some people who prefer to remain anonymous... many thanks to all!

Statistics

Last file scanned at least one scanner reported something about: nvsvcd.exe, detected by:

Scanner Malware name

AntiVir X

ArcaVir X

Avast X

AVG Antivirus X

BitDefender X

ClamAV X

Dr.Web X

F-Prot Antivirus X

Fortinet X

Kaspersky Anti-Virus X

NOD32 a variant of Win32/TrojanProxy.Horst

Norman Virus Control X

UNA X

VirusBuster X

VBA32 X

 

 

You're free to (mis)interpret these automated, flawed statistics at your own discretion. For antivirus comparisons, visit AV comparatives

[tornado]

Salut alaiz,

 

 

Ca fait un bout de temps que les comportements de susceptibilité discriminatoire exacerbée (si, si!) de BD me font ch...! icon_evil.gif Mais je n'osais pas en changer parce que 1) je l'ai payé (on tient, n'est-ce pas, à son statut de client-con-sommateur!!) , 2) j'ai plusieurs amis qui trouvent que c'est le meilleur (mais ont-ils vraiment essayé Avast par exemple?)...et 3) c'est confirmé par certains comparatifs dits sérieux! icon_rolleyes.gif Quand on s'y connaît pas trop, on n'ose plus râler, et on prend son mal en patience en se disant que l'ignorance est la source de tous les maux! (Ce qui reste vrai en général, mais le boulot reste de repérer les faux savoirs qui sont les pires des ignorances!!!).

 

Le comparatifs d'antivirus ne veulent rien dire... le meilleur antivirus est celui qui convient le mieux à l'utilisateur (à toi en l'occurence), et le satisfait (ce n'est pas ton cas). Et il faut éviter de faire une fixation sur l'antivirus de toute façon, il est de moins en moins utile de nos jours (on peut dire qu'il représente à peine 20% de ta sécurité). Et les antivirus que je te propose, bien qu'ils soient gratuits, sont aussi efficaces que les payants, voire meilleurs. Même chose pour les pare-feu (bien plus importants que l'antivirus)... ça sera mieux que le "gadget" fourni par Bitdefender (là je m'emporte un peu )

 

D'ailleurs, n'hésite pas tester les 2 formules que je te propose (ZA/Antivir ; Kerio/Avast)

Veille bien à désinstaller les logiciels installés, pour en tester d'autres (pour éviter les conflits)

 

 

Là, mon intuition me dit qu'on est sur la bonne voie, mais ça me donne pas mal de boulot en plus, donc Rdv dans 5 ou 6 jours pour faire cette grosse manip! (Il faut qd même reconfigurer pas mal de trucs!). Merci de ton aide bien structurée finalement.

Comme je fais dans la radicalité en ce moment, j'avais déjà viré DLMCleanup.exe, quitte à réinstaller Adobe ou un programme équivalent après, quand ça sera propre...Je joins quand même le copié-collé du scan fait sur ESD ds Adobe, à voir donc...

 

Les rapport de jotti et virustotal indiquent globalement que le fichier n'est pas infectieux, ce qu'on pouvait deviner car situé dans un dossier légitime (celui d'Adobe).

Enfin maintenant, c'est trop tard...

 

 

Avant de commencer le grand chantier, dois-je garder tout ou partie de mes anti-spyware (dans l'ordre de mes préférences très subjectives, liées à leur facilité ou non d'emploi pour moi actuellement):

1) résidents qui sont SpywareBlaster, Spybot S&D, et Winpatrol

2) scanners qui sont SpywareTerminator, Ad-Aware SE Personal, et A2 ??

 

Pas de problèmes, tu peux les garder, car ils sont complémentaires . Les résidents ne devraient pas entrer en conflit avec l'antivirus et le pare-feu que tu vas installer. Et la question ne se pose pas pour les antispyware uniquement utilisé comme scanner

 

 

 

J'aurais bien voulu un rapport Hijackthis par contre

 

 

 

A+

Modifié le 29 juin 2006 par tornado

[Alaïz]

Les rapport de jotti et virustotal indiquent globalement que le fichier n'est pas infectieux, ce qu'on pouvait deviner car situé dans un dossier légitime (celui d'Adobe).

Enfin maintenant, c'est trop tard...

J'aurais bien voulu un rapport Hijackthis par contre

A+

 

Hello Tornado, et merci pour le petit résumé ci-dessus. Je pense que je vais opter pour le couple Avast/Kerio, à moins que j'apprenne d'ici là que l'autre tient mieux la route sur WinME?!! A étudier donc...

Commentaire: Le scan de jotti est fait plusieurs jours après avoir viré le bout de fichier suspect, ce qui explique peut-être qu'on y trouve rien! En fait, c'était plutôt idiot de ma part de scanner un fichier même pas suspect!

Par contre, je m'en voudrais de ne pas satisfaire ton appétit , alors j'ai fait un "lessivage" en mode sans échec + un coup d'Easy Cleaner et en mode normal j'ai lancé un HijackThis que voici-voilou ci-deça:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 00:35:06, on 30/06/2006

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\PROGRAM FILES\FICHIERS COMMUNS\SOFTWIN\BITDEFENDER COMMUNICATOR\XCOMMSVR.EXE

C:\PROGRAM FILES\FICHIERS COMMUNS\SOFTWIN\BITDEFENDER SCAN SERVER\BDSS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE

C:\WINDOWS\SYSTEM\HIDSERV.EXE

C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE

C:\PROGRAM FILES\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE

C:\COMPAQ\CPQINET\CPQINET.EXE

C:\PROGRAM FILES\SOFTWIN\BITDEFENDER9\BDMCON.EXE

C:\PROGRAM FILES\SOFTWIN\BITDEFENDER9\VSSERV.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\SOFTWIN\BITDEFENDER9\BDOESRV.EXE

C:\PROGRAM FILES\FICHIERS COMMUNS\SOFTWIN\BITDEFENDER UPDATE SERVICE\LIVESRV.EXE

C:\PROGRAM FILES\SOFTWIN\BITDEFENDER9\BDNAGENT.EXE

C:\PROGRAM FILES\BILLP STUDIOS\WINPATROL\WINPATROL.EXE

C:\PROGRAM FILES\SPYWARE TERMINATOR\SPYWARETERMINATORSHIELD.EXE

C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\PROGRAM FILES\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE

C:\PROGRAM FILES\COMPAQ\EASY ACCESS BUTTON SUPPORT\EAUSBKBD.EXE

C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE

C:\PROGRAM FILES\HIJACKTHIS VF\HIJACKTHIS VF.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirec...rch&ap=b204

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://freebox.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://freebox.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\PROGRAM FILES\DRAGON SYSTEMS\NATURALLYSPEAKING\PROGRAM\WEB_IE.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\cpqeadm.exe

O4 - HKLM\..\Run: [EACLEAN] C:\Program Files\Compaq\Easy Access Button Support\eaclean.exe

O4 - HKLM\..\Run: [CPQInet] c:\compaq\CPQInet\CpqInet.exe

O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE

O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\SOFTWIN\BITDEF~2\BDMCON.EXE

O4 - HKLM\..\Run: [bitDefender Virus Shield] "C:\Program Files\Softwin\BitDefender9\vsserv.exe"

O4 - HKLM\..\Run: [bDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [bitDefender Live Service] "C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "C:\PROGRAM FILES\SOFTWIN\BITDEFENDER9\bdnagent.exe"

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [WinPatrol] C:\PROGRAM FILES\BILLP STUDIOS\WINPATROL\winpatrol.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [spywareTerminator] "C:\PROGRAM FILES\SPYWARE TERMINATOR\SpywareTerminatorShield.exe"

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe

O4 - HKLM\..\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE

O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - HKLM\..\RunServices: [bitDefender Communicator] "C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\\xcommsvr.exe"

O4 - HKLM\..\RunServices: [bitDefender Scan Server] "C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\\bdss.exe"

O4 - HKLM\..\RunServices: [bitDefender Live! Init] "C:\Program Files\Softwin\BitDefender9\bdinit.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TeaTimer.exe

O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html

O8 - Extra context menu item: Pages similaires - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html

O8 - Extra context menu item: Pages liées - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html

O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Backward &Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll

O14 - IERESET.INF: START_PAGE_URL=http://freebox.free.fr/

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -

O16 - DPF: {0335A685-ED24-4F7B-A08E-3BD15D84E668} -

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} -

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) -

O16 - DPF: {555500CD-CB54-11D6-8DB9-0000864598B3} -

 

 

Peut-être certains de ces fichiers ( 016) viennent de WindizUpdate que j'ai utilisé sur les conseils d'un membre de Zébulon?

De plus, sans être spécialiste, il me semble qu'il y a bd-89-uninstall.exe qui bloque souvent, puisque BD (sic!) le repère à chaque fois comme fichier suspect (behaves like : BAT.KillAV.gen) non supprimable!!? C'est peut-être ça qu'on appelle une auto-allergie?

Je joins aussi ci-dessous les clés registre que EasyCleaner m'a demandé de supprimer, pour voir si c'est juste (J'ai l'impression que ce programme n'y va pas avec le dos de la cuillère et qu'il pratique parfois le nettoyage-vitriol, non? Comment être sûr que les fichiers qu'il dit inutiles le sont réellement?):

 

HKEY_CURRENT_USER Software\IZSoftware\IZArc\Recent\cbExtractPath 01/01/1601 Item 1 C:\WINDOWS\TEMP\iuctl

HKEY_USERS .DEFAULT\Software\IZSoftware\IZArc\Recent\cbExtractPath 01/01/1601 Item 1 C:\WINDOWS\TEMP\iuctl

HKEY_LOCAL_MACHINE Software\CLASSES\TypeLib\{1930882D-1F23-4621-AD17-075DE7DB09F6}\2.0\0\win32 01/01/1601 C:\WINDOWS\TEMP\Word8.0\MSForms.exd

 

Voilà, je bosse jusqu'à mardi, alors j'aurais pas le temps de faire la grosse manip, mais juste celui de venir voir le diagnostic du HJT un de ces soirs: Alors, c'est grave docteur?

Hasta luego et à pluches!

Alaïz

[tornado]

Re,

 

 

Hello Tornado, et merci pour le petit résumé ci-dessus. icon_smile.gif Je pense que je vais opter pour le couple Avast/Kerio, à moins que j'apprenne d'ici là que l'autre tient mieux la route sur WinME?!! A étudier donc...

 

Je ne sais pas... à toi de voir.

 

Je pense que tu peux lire ces descriptifs pour te faire une opinion (en bas de page):

 

=> pour les firewalls : http://benoit.aun.free.fr/securite-facile-php/firewall.php

=> pour les antivirus : http://benoit.aun.free.fr/securite-facile-php/antivirus.php

 

 

Commentaire: Le scan de jotti est fait plusieurs jours après avoir viré le bout de fichier suspect, ce qui explique peut-être qu'on y trouve rien! En fait, c'était plutôt idiot de ma part de scanner un fichier même pas suspect! icon_biggrin.gif

Par contre, je m'en voudrais de ne pas satisfaire ton appétit icon_wink.gif , alors j'ai fait un "lessivage" en mode sans échec + un coup d'Easy Cleaner et en mode normal j'ai lancé un HijackThis que voici-voilou ci-deça:

 

Ok...

 

 

 

Peut-être certains de ces fichiers ( 016) viennent de WindizUpdate que j'ai utilisé sur les conseils d'un membre de Zébulon?

 

 

Les lignes O16 correspondent aux activex téléchargés sous IE (ceux de Windows update, des scan en lignes et parfois des actiuvex infectieux; rassures toi ce n'est pas ton cas).

Pour vérifier qu'un activex est infectieux ou non, copie les chiffres/lettres entre {.....} d'une ligne 016 et colle les sur cette page => http://www.castlecops.com/ActiveX.html (et clique sur search)

 

 

Ton log Hijack Hijackthis ne montre rien d'infectieux, mais on peut fixer des restes d'éléments additionnels d'iE (dont les lignes O16, l'activex n'est plus présent, mais la ligne oui (valeurdans le regsitre)) :

 

 

1/ Déconnecte-toi du net

 

2/ Lance Hijackthis, do a system scan only et coche les lignes suivantes :

 

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -

O16 - DPF: {0335A685-ED24-4F7B-A08E-3BD15D84E668} -

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} -

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) -

O16 - DPF: {555500CD-CB54-11D6-8DB9-0000864598B3} -

 

3/ Clique sur fix checked et ferme Hijackthis

 

 

 

Le prochain rapport que tu vas envoyer devra être généré après la désinstallation de BD, et l'installation du couple Firewall + Av

 

 

De plus, sans être spécialiste, il me semble qu'il y a bd-89-uninstall.exe qui bloque souvent, puisque BD (sic!) le repère à chaque fois comme fichier suspect (behaves like : BAT.KillAV.gen) non supprimable!!? icon_eek.gif C'est peut-être ça qu'on appelle une auto-allergie? icon_lol.gif

 

Le fichier en question est le désinstalleur de BD ... je ne sais plus trop quoi du comportement de Bitdefender.

Est-ce qu'il se met à jour automatiquement et régulièrement ?

 

Peut-être est-ce dû à un conflit avec Spyware terminator (qui est aussi un résident) , WInpatrol ou le teatimer de Spybot finalement... Je ne sais plus trop quoi penser. Attendons l'installation des nouveau logiciels pour se prononcer sur cet Hypothétique problème....

 

 

 

Je joins aussi ci-dessous les clés registre que EasyCleaner m'a demandé de supprimer, pour voir si c'est juste (J'ai l'impression que ce programme n'y va pas avec le dos de la cuillère et qu'il pratique parfois le nettoyage-vitriol, non? Comment être sûr que les fichiers qu'il dit inutiles le sont réellement?):

 

HKEY_CURRENT_USER Software\IZSoftware\IZArc\Recent\cbExtractPath 01/01/1601 Item 1 C:\WINDOWS\TEMP\iuctl

HKEY_USERS .DEFAULT\Software\IZSoftware\IZArc\Recent\cbExtractPath 01/01/1601 Item 1 C:\WINDOWS\TEMP\iuctl

HKEY_LOCAL_MACHINE Software\CLASSES\TypeLib\{1930882D-1F23-4621-AD17-075DE7DB09F6}\2.0\0\win32 01/01/1601 C:\WINDOWS\TEMP\Word8.0\MSForms.exd

 

 

Easycleaner ne nettoie pas le registre en profondeur... la preuve : les valeurs du registre que tu donnes sont des traces de fichier Temporaires (cf le C:\Windows\TEMP). Easycleaner a probablement supprimé celles-ci, car ces fichiers temporaires n'existent sûrement plus... (n'aurais-tu pas utilisé la fonction Inutiles au préalable, qui fait un nettoyage des fichiers/dossiers temporaires ? )

 

En tout cas, bonne chance pour le boulot, et également pour l'installation des outils...

 

 

A+

Modifié le 30 juin 2006 par tornado