-RESOLU- MAGIC CONTROL.AGENT

[regis56]

Re

 

Bon après discussion on préfère te le faire supprimer car il y a un doute !

 

Ce n'est qu'un active X tu pourra le retélécharger à la prochaine utilisation du minitel !

 

On va en profiter pour supprimer les lignes qui te chagrines même si elles ne sont pas infectieuses elles ne servent à rien !

 

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

 

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (disabled by BHODemon)

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB

 

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

 

Le scan panda montre que des cookies donc rien de méchants !

 

Ou en est l'alerte sur controlagent ?

 

A plus !

Modifié le 23 mai 2006 par regis56

[jeanlou]

bonjour regis56

Lignes fixées sur HJT

et rapport spybot vierge! ! !, mais je n'ai pas eu le temps de trop naviguer sur le net

La liste des programmes au démarrage est propre

Bref que du mieux :

est ce que je doit désintallé minitel il ne me sert plus?

 

je te colle le dernier rapport HTJ

 

PS: vous bosser vraiment tard

 

Logfile of HijackThis v1.99.1

Scan saved at 09:22:41, on 24/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\atiptaxx.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Compaq\EAB\EabServr.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\Program Files\AOL 9.0a\aoltray.exe

C:\Program Files\Fichiers communs\AOL\1132404830\ee\AOLHostManager.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\Program Files\Fichiers communs\AOL\1132404830\ee\AOLServiceHost.exe

c:\program files\fichiers communs\aol\1132404830\ee\services\antiSpywareApp\ver2_0_12\AOLSP Scheduler.exe

C:\Program Files\Fichiers communs\AOL\1132404830\ee\AOLServiceHost.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.agencelis.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2internet.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirec...=search&ap=b204

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirec...=search&ap=b204

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirec...=search&ap=b204

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redire...1c02&lc=040c&ac

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - fourni par Tele2

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = nephtis:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1132404830\ee\AOLHostManager.exe

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0a\aoltray.exe

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O14 - IERESET.INF: START_PAGE_URL=http://www.tele2internet.fr

O16 - DPF: {14C1B87C-3342-445F-9B5E-365FF330A3AC} (Hewlett-Packard Online Support Services) - http://h20278.www2.hp.com/HPISWeb/Customer...DataManager.CAB

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/insta...staller_gmn.cab

O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/FR/install.cab

O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.av.fr.aol.com/molbin/share...84/mcinsctl.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1131899357724

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.av.fr.aol.com/molbin/share...,21/mcgdmgr.cab

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

[regis56]

Bonjour jeanlou !

 

Sur les conseils d'un collègue peut tu faire ceci STP ?

 

 

Maintenant on va supprimer la sauvegarde de killbox

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\!KillBox\

Le dossier va s'ouvrir

Reviens dessus (clique droit /supprimer)

 

Ensuite repasse EWIDO paramétré normalement et colle le rapport ici STP

 

On touche au but !

 

A plus !

[jeanlou]

RE

Fichier Killbox supprimé

Scan Eewido passé en mode normal

Navigation internet sans pub, mais je suis connecté derrière le firewall de l'entreprise dans la journée donc confirmation ce soir.

Par contre j'ai un autre soucis et je pensais que cela venais du problème d'infection: sur le logiciel

google earth lors du déplacement de l'image, le pc s'éteint sauvagement et reboot avec le message windows a récupéré d'une erreur sérieuse.

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 14:48:34, 24/05/2006

+ Somme de contrôle: 3C5594EB

 

+ Résultats du scan:

 

C:\Documents and Settings\jean-louis\Cookies\jean-louis@as1.falkag[2].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

C:\Documents and Settings\jean-louis\Cookies\jean-louis@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\jean-louis\Cookies\jean-louis@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\jean-louis\Cookies\jean-louis@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

 

 

::Fin du rapport

[jeanlou]

Je confirme, plus de pub intempestive

 

Reste-t-il quelque chose à faire?

La protection de Macafee en place sur mon PC est-elle suffisante (sachant que j'ai attrapé magiccontrol avant)?

A tu des conseils de parametrage ou lien pour les trouver?

Pour la qestion sur google earth je ne suis pas sur que ce le bon forum mais bon tant que j'y suis j'en profite.

 

A+

[regis56]

Bonsoir jeanlou !

 

Effectivement pour google earth je te conseil d'aller voir les copains sur ce forum :

http://forum.zebulon.fr/index.php?showforum=12

 

Effectivement les rapports sont bon !

 

Bravo tu as bien travaillé ! Ton système est propre !

 

Quelques conseils :

 

Avant tout supprimer les outils qui nous ont servit pendant la désinfection !

Ewido tu n'en as plus besoin sauf si tu veut le garder ! il reste très efficace même après les 14 jours il perd juste la protection résidente !

Blacklight tu n'en a plus besoin !

HijackThis tu n'en a plus besoin sauf si tu veut le garder !

Brute Force Uninstaller tu n'en as plus besoin !

Killbox tu n'en as plus besoin !

 

-Rétablir l'affichage :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Options des dossiers, onglet Affichage :

Activer l'option : Ne pas afficher les fichiers et dossiers cachés

Activer l'option : Masquer les fichiers protégés du système d'exploitation

Laisser désactivé : Masquer les extensions des fichiers dont le type est connu

 

-Créer un point de restauration et supprimer les anciens !: (aide visuelle http://assiste.free.fr/p/comment/activer_d...estauration.php )

Cliquer avec le bouton droit sur l'icône Poste de travail, puis cliquer sur Propriétés.

Cliquer sur l'onglet «Restauration du système».

Sélectionner «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquer sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquer sur Oui.

Cliquer sur OK, redémarrer le PC. Faire l'opération inverse, et réactiver la restauration:un nouveau point sera automatiquement créé.

 

1/ La mise à jour du système :

Je te conseille vivement de mettre à jour ton système !

(Démarrer/Windows Update)

Le fait de mettre ton système à jour corrigera toutes les failles de sécurité utilisées par les virus et autres malwares !

Pour mettre en automatique faire ceci :

 

Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

Mises à jour automatiques

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Démarrer,

puis dérouler le Type de Démarrage pour le modifier en Automatique

Cliquer sur Appliquer puis OK

 

 

2/ L'antivirus :

Installer un antivirus plus efficace que morton tel que AVAST ou Antivir

Un antivirus est un logiciel censé protéger un micro-ordinateur contre les programmes néfastes appelés virus, vers, macrovirus, etc.

 

Les principaux antivirus du marché se fondent sur des fichiers de signatures et comparent alors la signature génétique du virus aux codes à vérifier. Certains programmes appliquent également la méthode dite heuristique tendant à découvrir un code malveillant par son comportement. Autre méthode, l'analyse de forme repose sur du filtrage basé entre des règles regexp ou autres, mises dans un fichier junk. Cette dernière méthode peut être très efficace pour les serveurs de courriels supportant les regexp type postfix puisqu'elle ne repose pas sur un fichier de signatures.

 

Lire l'article dans le prochain lien qui donne en autres toutes les informations pour trouver et télécharger un antivirus et les adresses pour scanner en lignes !

http://forum.zebulon.fr/index.php?act=ST&f...t=0&do=findComment&comment=487252

 

 

3/ le pare-feu :

Installer un firewall autre que celui proposé par XP Choisir kério avec Avast et Zone Alarme pour Antivir (C'est des exemples tu peut choisir ce que tu veut ! Mais éviter l'association Avast avec Zone alarme)

En informatique, un pare-feu est un dispositif logiciel ou matériel qui filtre le flux de données sur un réseau informatique. Il est parfois appelé coupe-feu ou encore firewall.

 

-pour télécharger zone alarm:

http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

-son tutorial:

http://www.zebulon.fr/articles/configurationZA_1.php

 

-pour télécharger JETICO:

http://www.trad-fr.com/Fiches/fiche_Jetico.htm

-à parcourrir

http://www.open-files.com/article0386.html

-son tutorial:

http://www.open-files.com/forum/index.php?showtopic=29277

 

4/ Le navigateur internet :

Utiliser un navigateur sécurisé tel que FIRE FOX

http://telechargement.zebulon.fr/license-1-100.html

 

Et le sécuriser encore plus en allant voir le lien ici:

http://forum.zebulon.fr/index.php?showtopic=69628

 

Si jamais Internet Explorer est gardé

 

Utiliser IE-SPYAD:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

Pour Internet Explorer uniquement ! ( Une fois l'utilitaire dé-zippé dans son dossier, cliquer sur le fichier ie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! )

http://www.spywarewarrior.com/uiuc/resource.htm

Un conseil important:

Dans Internet Explorer, il faut mieux gérer les contrôles ActiveX:

Ce qu'ils sont: http://assiste.free.fr/p/internet_attaques/activex.php

S'en protéger: http://assiste.free.fr/p/internet_contre_m...nti_activex.php

 

Un conseil:

Il faudrait modifier la gestion des cookies, et ne plus accepter n'importe quoi.

Dans Firefox, Outils--->Options, Menu Vie privée, Onglet Cookies, si "Autoriser les sites à créer des cookies" est coché, cocher la case devant "pour le site Web d'origine seulement".

Dans IE, Outils--->Options internet, Onglet Confidentialité, Bouton Avancé dans le paragraphe Paramètres. Cocher "Ignorer la gestion automatique des cookies", cocher "Demander" pour les cookies internes, et cocher "Refuser" pour les Cookies tierce partie.

 

Un conseil:

Installer Java de Sun.

http://assiste.free.fr/p/internet_contre_m...s/anti_java.php

Version actuelle: JRE 5.0 Update 6

http://java.sun.com/j2se/1.5.0/download.jsp

 

5/ Les systèmes de protections annexes :

 

Télécharger et installer Zeb'Protect dans son répertoire

(Programme fermant certains ports sensibles aux attaques venant d'Internet.)

http://telechargement.zebulon.fr/license-1-123.html

Un tutorial sur l’utilisation de Zeb Protect est disponible ici:

http://www.zebulon.fr/articles/zebprotect.php

 

télécharger Ad-Aware SE Personal et installer dans son répertoire

(Programme faisant partie des anti-malwares )

http://telechargement.zebulon.fr/license-1-36.html

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

 

télécharger Spybot - Search & Destroy et installer dans son répertoire

(Programme faisant partie des anti-malwares )

http://telechargement.zebulon.fr/license-1-79.html

Pour une utilisation approfondie de ce logiciel, consulter l'article Configurer Spybot-Search & Destroy.

http://www.zebulon.fr/articles/spybot_1.php

 

6/ Le comportement :

Avoir une attitude responsable devant l'outil Internet

(Eviter les sources d'infections telle que sites XXX/warez et les logiciels de p2p)

 

7/ La maintenance :

Faire la maintenance de son Pc

-Une fois par semaine Scanner avec Ewido ou ad-aware ou Spybot et Nettoyer avec Easycleaner(sans toucher à la fonction doublon).

(En suivant les instructions données précédemment)

-Une fois par mois défragmenter les Disques Durs.

-Une fois par mois Scanner avec un antivirus en ligne.

 

8/ La prévention :

Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware :

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que

les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

Plus d'info sur le topic d'ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

Si tu pense que ton problème est résolu peut tu marquer résolu devant le titre de ton sujet ?

 

Tu va sur ton premier message ici

http://forum.zebulon.fr/index.php?s=&showt...ndpost&p=743565

 

Tu clic sur le bouton en bas à droite Editer tu choisi Edition complète et tu pourra changer le titre

 

Au revoir et à bientôt sur zéb !!

Modifié le 24 mai 2006 par regis56

[jeanlou]

Bonsoir régis56

 

Pour moi problème résolu

J'imprime ton dernier post et je m'y met, il annonce de la tout le weekend c'est parfait.

 

Merci à toi et à tout ceux qui anime ce forum, vous faites un super boulot.

 

au revoir

[loulou speedy]

bonjour

pour tous ceux qui sont emmerdés par Magiccontrol.agent, il faut comprendre ceci. Lorsque vous passez spybot et qu'il le détecte, spybot vous met une clé de registre "......software\lanconfig" qui n'est qu'en fait qu'une clé de marquage qu'il est impossible de retirer si vous ne commencez pas par le début :

Magiccontrol.agent n'est qu'un spyware introduit par un (ou des) trojan, qui n'est décelable ni par spybot, ni par ad-adware, ni par ccleaner, ewido, kasperky. ce trojan, pour moi, s'était introduit, lors d'une vulnérabilité de mon système et où mon parefeu n'a pas fonctionné.

Il faut donc télécharger "trojan remove" sur télécharger01.net (gratuit). Ce logiciel supprime les clés infectées sous windows et là seulement, vous pouvez enfin retirer efficacement et définitivement la clé lanconfig de magiccontrol.agent. refaire scan avec spybot et c'est la délivrance !!!

ceci est ma contribution pour vous éviter de vivre les 10 jours de galère que j'ai vécus.

Cordialement