[Résolu] Je suis contaminé !

Thanos · le 4 juin 2006

re!

Bingo! voilà ce que tu vas faire à présent=>

Redémarre en mode sans échec(tres important!), relance SmitfraudFix.cmd

Dans le menu, sélectionne 2

Poste le nouveau rapport puis un nouveau log HijackThis.

hamelou · le 4 juin 2006

Alors,

Le rapport Smitfraudfix en mode sans échec donne :

SmitFraudFix v2.53

Rapport fait à 17:27:22,18, 04/06/2006

Executé à partir de C:\Documents and Settings\St‚phane\Mes documents\smitfraudfix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\blue-bg.gif supprimé

C:\WINDOWS\close-bar.gif supprimé

C:\WINDOWS\remove-spyware-btn.gif supprimé

C:\WINDOWS\warning-bar-ico.gif supprimé

C:\WINDOWS\win-sec-center-logo.gif supprimé

C:\WINDOWS\system32\jao.dll supprimé

C:\WINDOWS\system32\questmod.dll supprimé

C:\WINDOWS\system32\udpmod.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Le rapport HijacThis en mode sans échec donne :

Logfile of HijackThis v1.99.1

Scan saved at 17:33:37, on 04/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Stéphane\Mes documents\Nettoyage PC\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [sA] C:\Program Files\Logitech\QuickCam\SA3.EXE

O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WUSB54Gv4] C:\Program Files\Linksys Wireless-G USB Wireless Network Monitor\InvokeSvc3.exe

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2003\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2003\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2003\Pop3trap.exe"

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [spyBrowser] "C:\Program Files\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.unika.com

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp/asa/SymAData.cab

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: PC-cillin Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\PC-cillin 2003\PccPfw.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\PC-cillin 2003\Tmntsrv.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\PC-cillin 2003\tmproxy.exe

O23 - Service: WUSB54Gv4SVC - Unknown owner - C:\Program Files\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe" "WUSB54Gv4.exe (file missing)

Le rapport HijackThis >>> Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" :

123 Free Solitaire

AC3Filter (remove only)

ACDSee (version d’évaluation)

Ad-Aware SE Personal

Adobe Acrobat 5.0

Adobe Acrobat Reader 3.01

Adobe Reader 6.0 - Français

Adobe Type Manager 4.0

Ahead Nero BurnRights

ArcSoft PhotoImpression

Arles Image Web Page Creator

AviSynth 2.5

Bubblets 1.0

CDex extraction audio

CoreVorbis Audio Decoder (remove only)

Correctif Windows XP - KB834707

Correctif Windows XP - KB867282

Correctif Windows XP - KB873333

Correctif Windows XP - KB873339

Correctif Windows XP - KB885250

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB885884

Correctif Windows XP - KB886185

Correctif Windows XP - KB887472

Correctif Windows XP - KB887742

Correctif Windows XP - KB888113

Correctif Windows XP - KB888302

Correctif Windows XP - KB890047

Correctif Windows XP - KB890175

Correctif Windows XP - KB890859

Correctif Windows XP - KB890923

Correctif Windows XP - KB891781

Correctif Windows XP - KB893066

Correctif Windows XP - KB893086

Creative Modem Blaster DI5733

Direct Show Ogg Vorbis Filter (remove only)

DirectShow subtitle filter colleciton (remove only)

DivX

DivX 4.12 Codec

DivX Player

DivXG400

DVD Audio Extractor 3.1.0

DVD Shrink 3.1.7

Easy Video Splitter 1.28

Elecard MPEG2 Player

eMule

ewido anti-malware

ffdshow (remove only)

Free - Kit de connexion

Freeplayer

GénéaTique

Google Toolbar for Internet Explorer

GSpot Codec Information Appliance

Heredis 8

HijackThis 1.99.1

Hotel Giant

Huffyuv AVI lossless video codec (Remove Only)

Image Web Server IE Plugins 2,0,0,104

Indeo® Software

Intel A/V Codecs V2.0

InterActual Player

La France à la loupe

Language pack for Ad-Aware SE

Lecteur Windows Media 10

LeechFTP

Linksys Wireless-G USB Network Adapter

Logitech QuickCam

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 French Language Pack

Microsoft .NET Framework 1.1 Hotfix (KB886903)

Microsoft ActiveSync 3.7

Microsoft NetShow Tools 2.0

Microsoft Office XP Professional avec FrontPage

Microsoft Works 7.0

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)

Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)

Mise à jour de sécurité pour Windows XP (KB883939)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896422)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896424)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB896688)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899588)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB903235)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB905915)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB908531)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911567)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB912812)

Mise à jour de sécurité pour Windows XP (KB912919)

Mise à jour de sécurité pour Windows XP (KB913446)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB896727)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB910437)

Morgan Stream Switcher

Neodivx

Nero 6 Ultra Edition

Nimo Codecs Pack v4.33 (Remove Only)

NVIDIA Drivers

Panda ActiveScan

PC-cillin 2003

PowerDVD

Qui Veut Gagner Des Millions Junior

QuickTime

QuickTime for Windows (32-bit)

Realtek AC'97 Audio

Rippack v3 beta 16.1

RS2

SafeCast Shared Components

Shockwave

SLD Codec Pack

Spy Sweeper

Spybot - Search & Destroy 1.4

Star Academy

Star Academy - Le Nouveau Défi

Submitic

the flux collection

The Playa

ViaMichelin Navigation

VideoLAN VLC media player 0.8.4a

Visionneuse Journal Windows Microsoft

VivTV

VobSub v2.23 (Remove Only)

Windows Genuine Advantage v1.3.0254.0

Windows Installer 3.1 (KB893803)

Windows Media Format Runtime

Windows XP Service Pack 2

WinZip

XviD MPEG-4 Video Codec

Zoom Player (remove only)

Hamelou

Thanos · le 4 juin 2006

super! smitfraudfix a bien nettoyé le pc!je dois à présent te faire une petite procédure pour éliminer Trojan.downloader.cashdeluxe et URL Replacer: je ne vais pas pouvoir te la poster de suite! je te met ma réponse ce soir

edit: ton rapport hijackthis est propre! Comment fonctionne ton pc?

@ toute à l'heure

hamelou · le 4 juin 2006

Charles,

Mon PC semble fonctionner plutôt bien.

Il m'a fait un truc un peu bizarre en début d'aprés midi, il a stopper sur PC-Cillin le firewall.

Le Trojan est peut être en cause ?

J'ai effectivement toujours : Trojan.downloader.cashdeluxe / URL Replacer

Sinon je vais rebalayer mon PC avec quelques programmes pour voir se qu'il trouve !

Merci pour ta précieuse aide et pour le temps consacré.

J'attend donc ta prochaine procédure.

Hamelou

Thanos · le 4 juin 2006

ok hamelou

Peux tu de plus pour y voir un peu plus clair lancer ce fichier =>

Télécharge windatfindbat et dézippe le sur ton bureau.

Lance le fichier windatfind.bat en double cliquant dessus.

Une fenêtre DOS va s'ouvrir brièvement, et un fichier texte va apparaitre: poste stp le résultat en sélectionnant juste les 30 derniers jours.

Modifié le 4 juin 2006 par charles ingals

hamelou · le 4 juin 2006

Charles,

Le rapport Windatfind :

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est DC5D-6C49

R‚pertoire de C:\

04/06/2006 19:17 0 dirdat.txt

04/06/2006 19:17 63ÿ346 winzip.log

04/06/2006 17:35 0 AUTOEXEC.BAT

04/06/2006 17:34 536ÿ399ÿ872 hiberfil.sys

04/06/2006 17:34 805ÿ306ÿ368 pagefile.sys

04/06/2006 17:29 1ÿ283 rapport.txt

04/06/2006 13:42 0 AUTOEXEC.CAM

30/05/2006 10:04 184 rapport_clean.txt

29/05/2006 22:41 216 boot.ini

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est DC5D-6C49

R‚pertoire de C:\WINDOWS\system32

04/06/2006 18:25 24ÿ504 ikhcore.log

04/06/2006 11:35 2ÿ550 Uninstall.ico

04/06/2006 11:35 1ÿ406 Help.ico

04/06/2006 11:35 30ÿ590 pavas.ico

31/05/2006 11:47 0 asfiles.txt

29/05/2006 23:10 2ÿ150 tmmute.ini

29/05/2006 11:48 1ÿ158 wpa.dbl

22/05/2006 22:19 114ÿ688 PCCSet.cpl

04/05/2006 06:26 5ÿ818ÿ784 MRT.exe

06/04/2006 10:54 73ÿ728 asuninst.exe

03/04/2006 10:59 128 xposer.cfg

03/04/2006 10:59 128 asinst.cfg

30/03/2006 11:26 1ÿ492ÿ992 shdocvw.dll

30/03/2006 03:16 17ÿ920 xpsp3res.dll

26/03/2006 11:29 445ÿ016 perfh00C.dat

26/03/2006 11:29 63ÿ614 perfc00C.dat

26/03/2006 11:29 380ÿ350 perfh009.dat

26/03/2006 11:29 52ÿ764 perfc009.dat

26/03/2006 11:29 951ÿ770 PerfStringBackup.INI

23/03/2006 22:35 3ÿ074ÿ560 mshtml.dll

18/03/2006 13:09 615ÿ424 urlmon.dll

17/03/2006 11:11 679ÿ424 inetcomm.dll

17/03/2006 06:07 8ÿ508ÿ416 shell32.dll

17/03/2006 02:38 28ÿ672 verclsid.exe

10/03/2006 06:09 5ÿ533ÿ696 wmp.dll

04/03/2006 05:35 474ÿ624 shlwapi.dll

04/03/2006 05:35 662ÿ528 wininet.dll

04/03/2006 05:35 532ÿ480 mstime.dll

04/03/2006 05:35 39ÿ424 pngfilt.dll

04/03/2006 05:35 146ÿ432 msrating.dll

04/03/2006 05:35 448ÿ512 mshtmled.dll

04/03/2006 05:34 251ÿ392 iepeers.dll

04/03/2006 05:34 96ÿ768 inseng.dll

04/03/2006 05:34 1ÿ056ÿ768 danim.dll

04/03/2006 05:34 55ÿ808 extmgr.dll

04/03/2006 05:34 205ÿ312 dxtrans.dll

04/03/2006 05:34 152ÿ064 cdfview.dll

04/03/2006 05:34 1ÿ023ÿ488 browseui.dll

01/03/2006 21:43 66ÿ560 mtxclu.dll

01/03/2006 21:43 11ÿ776 xolehlp.dll

01/03/2006 21:43 91ÿ136 mtxoci.dll

01/03/2006 21:43 161ÿ280 msdtcuiu.dll

01/03/2006 21:43 956ÿ416 msdtctm.dll

01/03/2006 21:43 426ÿ496 msdtcprx.dll

16/02/2006 13:04 127ÿ344 AdobeFnt.lst

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est DC5D-6C49

R‚pertoire de C:\WINDOWS

02/09/2362 17:23 3ÿ120 MF_C420.lfa

02/09/2362 17:23 3ÿ120 MF_C421.lfa

04/06/2006 17:42 1ÿ727ÿ177 WindowsUpdate.log

04/06/2006 17:35 0 0.log

04/06/2006 17:35 9ÿ225 setupapi.log

04/06/2006 17:34 159 wiadebug.log

04/06/2006 17:34 50 wiaservc.log

04/06/2006 17:34 2ÿ048 bootstat.dat

04/06/2006 17:27 300 setupact.log

04/06/2006 17:26 858ÿ038 ntbtlog.txt

04/06/2006 17:24 32ÿ534 SchedLgU.Txt

04/06/2006 17:24 1ÿ400 TMFilter.log

04/06/2006 16:34 1ÿ219 win.ini

04/06/2006 11:35 32 pavsig.txt

02/06/2006 08:48 0 setuperr.log

31/05/2006 23:08 202 NeroDigital.ini

29/05/2006 22:41 262 system.ini

22/05/2006 21:12 292 form.js

08/05/2006 10:22 38 AviSplitter.INI

02/05/2006 22:12 1ÿ409 QTFont.for

02/05/2006 22:12 54ÿ156 QTFont.qfn

15/04/2006 10:33 306 QTW.INI

13/04/2006 07:24 1ÿ070ÿ793 setupapi.log.1.old

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est DC5D-6C49

R‚pertoire de C:\DOCUME~1\STPHAN~1\LOCALS~1\Temp

04/06/2006 19:12 15ÿ530 VGX89.tmp

04/06/2006 19:12 7ÿ263 VGX88.tmp

04/06/2006 19:12 4ÿ397 VGX87.tmp

04/06/2006 19:12 15ÿ227 VGX86.tmp

04/06/2006 19:12 29ÿ632 VGX85.tmp

04/06/2006 19:12 4ÿ353 VGX84.tmp

04/06/2006 19:12 826 VGX83.tmp

04/06/2006 19:12 824 VGX82.tmp

04/06/2006 19:12 4ÿ373 VGX81.tmp

04/06/2006 18:39 13ÿ058 $$$5E.html

04/06/2006 18:33 16ÿ384 Perflib_Perfdata_f39c.dat

04/06/2006 18:10 128 WcesView.log

04/06/2006 17:35 224 WCESCOMM.LOG

31/05/2006 23:46 122 DFC5A2B2.TMP

06/03/2006 23:39 582 windatfind.bat

15 fichier(s) 112ÿ923 octets

0 R‚p(s) 34ÿ597ÿ199ÿ872 octets libres

L'analyse de Spyware Doctor donne le rapport suivant :

Regfreeze HKCU\Software\ActualResearch Bas

Regfreeze HKCU\Software\ActualResearch## Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze## Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_LastCheckedVersion Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_FreezeIEStartPage Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_FreezeIESearchPage Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_IEStartPage Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_IESearchPage Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_ProxyLogin Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_ProxyPassword Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_HTTPPort Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_AutoActivateFreezeWhenStart Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_MinimizeToTrayWhenStart Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_AutoStartWithOS Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_AskConfirmation Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_ShowHints Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_LastSystemScan Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_UseProxy Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_ProxyAddress Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_ProxyPort Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_ScanType Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_AutomaticallyCheckUpdates Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_CheckUpdatesInterval Bas

Regfreeze HKCU\Software\ActualResearch\RegistryFreeze##Value_LastCheckedTime Bas

Trojan.Downloader.CashDeluxe HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Srv32 spool service##Adware.Srv32 Elev鼯td>

Trojan.Downloader.CashDeluxe HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Srv32 spool service##Adware.Srv32 Elev鼯td>

Tracking Cookie(s) C:\Documents and Settings\St鰨ane\Cookies\st鰨ane@estat[1].txt Bas

Advertising C:\Documents and Settings\St鰨ane\Cookies\st鰨ane@www.smartadserver[2].txt Bas

Tracking Cookie(s) C:\Documents and Settings\St鰨ane\Cookies\st鰨ane@cybermonitor[1].txt Bas

Tracking Cookie(s) C:\Documents and Settings\St鰨ane\Cookies\st鰨ane@bluestreak[2].txt Bas

Advertising C:\Documents and Settings\St鰨ane\Cookies\st鰨ane@statcounter[1].txt Bas

Tracking Cookie(s) C:\Documents and Settings\St鰨ane\Cookies\st鰨ane@madeinsport[1].txt Bas

Tracking Cookie(s) C:\Documents and Settings\St鰨ane\Cookies\st鰨ane@madeinsport[2].txt Bas

Tracking Cookie(s) C:\Documents and Settings\St鰨ane\Cookies\st鰨ane@msnportal.112.2o7[1].txt Bas

Tracking Cookie(s) C:\Documents and Settings\St鰨ane\Cookies\st鰨ane@xiti[1].txt Bas

Grokster C:\WINDOWS\smdat32m.sys

L'analyse d'Ad-Aware donne le rapport suivant :

Résultat de l’analyse de la mémoire :

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Nouv. obj. critiques : 0

Objets détectés jusqu'à présent : 9

Analyse du registre démarrée

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Résultat de l’analyse du registre :

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Nouv. obj. critiques : 0

Objets détectés jusqu'à présent : 9

Analyse approfondie du registre démarrée

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Résultat de l’analyse approfondie du registre :

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Nouv. obj. critiques : 0

Objets détectés jusqu'à présent : 9

Analyse des cookies de suivi lancée

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Objet reconnu !

Type : IECache Entry

Données : stéphane@estat[1].txt

Notation TAC : 3

Catégorie : Data Miner

Commentaire : Hits:1

Valeur : Cookie:stéphane@estat.com/

Expires : 01-06-2016 18:04:40

LastSync : Hits:1

UseCount : 0

Tracking Cookie Objet reconnu !

Type : IECache Entry

Données : stéphane@www.smartadserver[2].txt

Notation TAC : 3

Catégorie : Data Miner

Commentaire : Hits:8

Valeur : Cookie:stéphane@www.smartadserver.com/

Expires : 30-05-2026 17:09:36

LastSync : Hits:8

UseCount : 0

Tracking Cookie Objet reconnu !

Type : IECache Entry

Données : stéphane@bluestreak[2].txt

Notation TAC : 3

Catégorie : Data Miner

Commentaire : Hits:3

Valeur : Cookie:stéphane@bluestreak.com/

Expires : 01-06-2016 14:11:08

LastSync : Hits:3

UseCount : 0

Tracking Cookie Objet reconnu !

Type : IECache Entry

Données : stéphane@statcounter[1].txt

Notation TAC : 3

Catégorie : Data Miner

Commentaire : Hits:13

Valeur : Cookie:stéphane@statcounter.com/

Expires : 03-06-2011 18:15:24

LastSync : Hits:13

UseCount : 0

Résultat de l’analyse des cookies de suivi :

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Nouv. obj. critiques : 4

Objets détectés jusqu'à présent : 13

Analyse et examen approfondis des fichiers (C:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

<STOP>

Résultat de l’analyse du disque pour C:\

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Nouv. obj. critiques : 0

Objets détectés jusqu'à présent : 13

18:58:35 Analyse arrêtée par l'utilisateur

Récap. de cette anal.

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Durée tot. analyse :00:29:16.172

Objets analysés :166965

Objets identifiés :4

Objets ignorés :0

Nouv. obj. critiques :4

L'analyse de Spybot donne le rapport suivant :

Ne trouve rien !

L'analyse de ewido anti-malware donne le rapport suivant :

Résultats du scan:

C:\Documents and Settings\Stéphane\Cookies\stéphane@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\Stéphane\Cookies\stéphane@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Stéphane\Cookies\stéphane@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\Stéphane\Cookies\stéphane@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyer et sauvegarder

C:\Documents and Settings\Stéphane\Cookies\stéphane@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

hamelou · le 5 juin 2006

Bonjour Charles,

Les données envoyées hier sont elles conformes a tes attentes ?

Dois je relancer quelque chose ?

A bientôt

Hamelou

Thanos · le 5 juin 2006

salut Hamelou

excuse moi pour la lenteur de la réponse: j'analyse tes rapports et te poste un fichier reg à éxécuter en mode sans échec dans quelques instants

Thanos · le 5 juin 2006

Étape 1:

* Met Spyware Doctor à jour et quitte le programme.

* Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

REGEDIT4

[-HKEY_CURRENT_USER\Software\ActualResearch Bas] 

[-HKEY_CURRENT_USER\Software\ActualResearch]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Srv32 spool service]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Srv32 spool service]

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant:remcsdel.reg

-Dans le champs"Type" en bas de page ,choisis: tous les fichiers

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitter le Bloc Notes. ne clique pas sur le fichier maintenant!

=>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer:

si ce n'est pas le cas,reprends les informations ci dessus et recommence!

Étape 2:

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

Étape 3:

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

*Supprime les fichiers en gras dans C:\WINDOWS:

C:\WINDOWS\smdat32m.sys

Étape 4:

*Double clique sur le fichier remcsdel.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

Étape 5:

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

Étape 6:

* Lance Spyware Doctor et scan le pc: sauvegarde le rapport stp.

Étape 7:

*Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification ainsi que le rapport de Spyware Doctor

hamelou · le 5 juin 2006

Bonjour Charles !

Tout c'est bien passé a part un redémarrage difficile en mode normal (plus de connexion internet / une demande de clé WEP / ..) bref c'est bon maintenant.

Spyware Doctor en mode normal me trouve Trojan Dropper >> que faire ?

Le scan Spyware Doctor (en mode sans échec) trouve :

>>>> RIEN

Le scan Spyware Doctor (en mode normal > juste pour me rassurer !) trouve :

Nom de l'infection Emplacement Risque

Advertising C:\Documents and Settings\St鰨ane\Cookies\st鰨ane@www.smartadserver[1].txt Bas

Tracking Cookie(s) C:\Documents and Settings\St鰨ane\Cookies\st鰨ane@bluestreak[2].txt Bas

Tracking Cookie(s) C:\Documents and Settings\St鰨ane\Cookies\st鰨ane@xiti[1].txt Bas

Trojan.Dropper.Small.AEK C:\System Volume Information\_restore{283CD00E-DAF9-4AEE-9281-C5BB631FDA58}\RP590\A0088834.exe Haut

Le rapport HijackThis :

Logfile of HijackThis v1.99.1

Scan saved at 18:47:14, on 05/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\Spyware Doctor\sdhelp.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Trend Micro\PC-cillin 2003\Tmntsrv.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe

C:\Program Files\Linksys Wireless-G USB Wireless Network Monitor\WUSB54Gv4.exe

C:\Program Files\Trend Micro\PC-cillin 2003\tmproxy.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Linksys Wireless-G USB Wireless Network Monitor\InfoMyCa.exe

C:\Program Files\Trend Micro\PC-cillin 2003\pccguide.exe

C:\Program Files\Trend Micro\PC-cillin 2003\PCCClient.exe

C:\Program Files\Trend Micro\PC-cillin 2003\PccPfw.exe

C:\Program Files\Trend Micro\PC-cillin 2003\Pop3trap.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\Spyware Doctor\swdoctor.exe

C:\Documents and Settings\Stéphane\Mes documents\Nettoyage PC\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll