rapport hi-jack this

[ocinatas]

Bonjour,

 

Je continue la procédure proposée ce soir en rentrant du boulot, mais je voudrais juste savoir ce que les vilaines bébètes identifiées dans les posts précédents ont pû faire à mon ordi.

 

Merci encore, et toujours.

[regis56]

Re

 

Moi je ne peut pas le savoir comme ca !

 

C'est toi qui le sait en utilisant le Pc et en détectant des dysfonctionnements !

 

Ne t'inquiète pas la plupart du temps tout rentre dans l'ordre après et sinon on t'aidera

 

A plus !

[ocinatas]

salut regis56,

 

bon, première question: lorsque je suis en mode sans échec, sous la session "administrateur", je n'ai pas le fichier remove.reg

 

que dois-je faire?

 

merci de ton aide!

[regis56]

RE

 

Tu dois te rendre ici

 

C:\Documents and Settings\nom de ta session habituelle\Bureau

 

Sinon fais une recherche

Utiliser la fonction rechercher via "démarrer/rechercher/des fichiers ou des dossiers"(si problème voir ici http://www.hiboox.com/image.php?img=go6nc45.jpg )

 

A plus !

[ocinatas]

meric regis56,

 

un autre question: comment m'assurer que mes "protections résidentes" sont désactivée?

 

j'ai un pare-feu Zone Alarm, un antivirus Antivir, SpyBot search and destroy, e-wido... mais je ne comprends pas ce que tu entends par désactiver. Par exemple, SpyBot n'est "activé" que quand je fais un scan.

 

merci de tes explications.

[regis56]

Bonjour ocinatas !

 

Merci de poser la question !

 

J'ai vérifier dans ton rapport et le tea timer de Spy-bot n'est pas activé chez toi tu peut donc continuer la procédure sans problème !

 

A plus !

[ocinatas]

Re,

 

Ci-dessous mes rapports (pour info, j'ai un soucis avec antivir: "application module has been modified or destroyed, antivir cannot be started") :

 

Logfile of HijackThis v1.99.1

Scan saved at 18:06:55, on 13/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\ltmoh\Ltmoh.exe

C:\Program Files\Launch Manager\LaunchAp.exe

C:\Program Files\Launch Manager\PowerKey.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\CtrlVol.exe

C:\Program Files\Launch Manager\Wbutton.exe

C:\Program Files\Fichiers communs\Talkway\vmtalk.exe

C:\program files\quicktime\qttask.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\CHAUVE~1\LOCALS~1\Temp\Rar$EX0g.s20\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wikipedia.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [LaunchApp] LaunApp

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe

O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe

O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe

O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kav...can_unicode.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

 

 

E-WIDO

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 17:55:39, 13/05/2006

+ Somme de contrôle: C8A75F9F

 

+ Résultats du scan:

 

C:\Documents and Settings\Chauvelot Nicolas\Cookies\chauvelot nicolas@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Chauvelot Nicolas\Cookies\chauvelot nicolas@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\Chauvelot Nicolas\Cookies\chauvelot nicolas@ads1.revenue[1].txt -> TrackingCookie.Revenue : Nettoyer et sauvegarder

C:\Documents and Settings\Chauvelot Nicolas\Cookies\chauvelot nicolas@revenue[2].txt -> TrackingCookie.Revenue : Nettoyer et sauvegarder

C:\Documents and Settings\Chauvelot Nicolas\Cookies\chauvelot nicolas@casalemedia[1].txt -> TrackingCookie.Casalemedia : Nettoyer et sauvegarder

C:\Documents and Settings\Chauvelot Nicolas\Cookies\chauvelot nicolas@advertising[2].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

C:\Documents and Settings\Chauvelot Nicolas\Cookies\chauvelot nicolas@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\Chauvelot Nicolas\Cookies\chauvelot nicolas@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder

C:\Documents and Settings\Chauvelot Nicolas\Cookies\chauvelot nicolas@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\Chauvelot Nicolas\wan.exe -> Trojan.Small : Nettoyer et sauvegarder

C:\System Volume Information\_restore{BB27919A-9979-4205-BEFE-DD6CE3589480}\RP206\A0213916.exe -> Trojan.Small : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

J'ai pas l'impression que mon PC ait des problèmes particuliers, mais je préfère le nettoyer au maximum.

 

 

Merci!

[ocinatas]

Oups, j'avais oublié de préciser que je n'ai pas trouvé le fichier bbspphttd.exe, et que ex.cab était en fait ex.rar.

 

Après passage de easycleaner, 3 fichiers inutiles n'ont pas pû être supprimés.

 

Voilà mon rapport Panda scan:

 

 

Incident Statut Analyse

 

Dialer:dialer.baj No Désinfecté c:\ex.cab

Spyware:spyware/virtumonde No Désinfecté Registre Windows

Virus:W32/IRCBot.RN.worm

[regis56]

Re

 

analyse en cours retour dans un instant !

Modifié le 13 mai 2006 par regis56

[regis56]

Re

 

Voici ce que tu vas devoir faire !

 

 

 

Faire une sauvegarde du registre

Cliquer sur démarrer/executer

Taper :

regedit /e Sav2.reg

Le fichier de sauvegarde se trouve ici

C:\Documents and Settings\Le nom de ta session\Sav2.reg

 

 

- Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsUpd" =-
"SysUpd" =-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsUpd" =-
"SysUpd" =-

 

-Enregistre ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

 

Sur le bureau tu dois avoir ce remove.

 

- Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

- Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

-Utiliser la fonction rechercher via "démarrer/rechercher/des fichiers ou des dossiers"(si problème voir ici http://www.hiboox.com/image.php?img=go6nc45.jpg )

Supprimer le(s) fichier(s) en gras suivant(s) si présent(s):

ex.cab

 

-Faire un scan antivirus en ligne à titre de vérification

http://housecall65.trendmicro.com/ (fire fox ou IE)

Et celui-ci

http://www.trendmicro.com/spyware-scan/ (IE avec active x seulement)

 

A la fin du scan, sauvegarder le rapport sur le Bureau.(cliquer sur l'onglet Résultats/ puis cliquer sur Edition/tout sélectionner/copier puis ouvrir un fichier texte et coller la sélection dedans)

 

-Poster le(s) rapport(s) trendmicro

 

A plus !