Rapport HijackThis

[tornado]

Re vava,

 

 

 

 

J'ai eu la confirmation par MP d'un membre de l'équipe sécurité ... tu peux donc appliquer la manip ci dessus

 

 

 

A+

[Vava]

Voici le résultat de l'antivirus PANDA après avoir fait le modif de la base de registre :

 

Incident Statut Analyse

 

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\?\Cookies\?@bluestreak[1].txt

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\?\Cookies\?@fe.lea.lycos[1].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\?\Cookies\?@tradedoubler[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\?\Cookies\?@xiti[1].txt

 

 

J'ai aussi désinstallé mon antivirus Mc Afee car c'était une version "Entreprise" et apparemment, ce n'est pas terrible avec XP SP2 et je pense que c'est ça qui me faisait figer mes applis.

 

J'ai installé AVG Free et apparemment, mon micro est bien plus rapide et ne fige plus. Par contre, des petits soucis avec quelques applis après avoir fait toute les manips. Par exemple, MONEY qui ne fonctionnait plus et quelques soucis avec Acrobat, mais rien d'irréversible.

 

En tout cas, merci beaucoup pour ton aide

Modifié le 8 juin 2006 par Vava

[tornado]

Salut vava,

 

 

Très bien! Le fichier .reg a éliminé la trace de l'adware dans le registre

 

 

J'ai aussi désinstallé mon antivirus Mc Afee car c'était une version "Entreprise" et apparemment, ce n'est pas terrible avec XP SP2 et je pense que c'est ça qui me faisait figer mes applis.

 

Ok ... content tu ais trouvé la source du problème

 

 

J'ai installé AVG Free et apparemment, mon micro est bien plus rapide et ne fige plus. Par contre, des petits soucis avec quelques applis après avoir fait toute les manips. Par exemple, MONEY qui ne fonctionnait plus et quelques soucis avec Acrobat, mais rien d'irréversible.

Quels sont les problèmes que tu rencontres avec Microsoft Money et Acrobat ?

 

 

 

 

En attendant ta réponse , on va remettre certaines choses en place sur ton système, vu que tu n'as plus de problèmes d'infection, et on va un sécuriser ton système (mise en place d'un pare-feu notamment) :

 

 

 

I - Remise en place de certaines choses

 

 

* Je t'avais fait faire ceci pour avoir accès à tous les fichiers =>

Démarrer, Poste de travail / Menu Outils / Options des dossiers / onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Cliquer sur "Appliquer à tous les dossiers", puis OK

 

A présent, recache tous ces dossiers pour ne pas en effacer un par erreur !

 

 

 

* Ensuite, je t'avais fait utiliser et télécharger certains outils pour le procédure de désinfection :

• Les pages Web
  

Tu peux à présent les supprimer, car ils ne te seront plus utiles (et vide la corbeille)

 

Pour le reste des outils (Ewido, outils de nettoyage ...), je te conseille de les garder (voir partie sécurisation)

 

 

* Pour terminer, il te faut supprimer les points de restauration, car il se peut qu'elle soit infectée. Je te recommande de le faire, en la désactivant, puis en la réactivant, selon ce tuto --> http://www.libellules.ch/desactiver_restauration.php

 

 

II - Sécurisation

 

 

a) Installation d'un pare-feu

 

Tu possèdes déjà un antivirus (Avgfree), mais ce n'est pas suffisant pour ta sécurité.

Par ailleurs, le pare feu qui est installé sur ton système (celui d'xp) n'en est pas véritablement un. En effet, celui-ci ne filtre pas en sortie, cela signifie qu'un malware ayant infecté ton système peut se connecter au net sans problème.

Ainsi, it te faut installer un vrai pare-feu. Il en existe 2 firewalls simples à utiliser, gratuits et efficaces :

 

=> Kerio

 

- Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/82-kerio-...all-423912.html

- Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php

 

 

=> Zonealarm

 

- Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/58-zonealarm-61-fr.html

- Tu peux t'aider de ce tutorial --> http://speedweb1.free.fr/frames2.php?page=tuto1

Et le paramétrer selon cet autre tuto --> http://sitanibal.free.fr/zonealarm/ZoneAlarmHelp_Online.htm

 

b) Derniers conseils de sécurité : Outils et prévention

 

 

- Windows Update parfaitement à jour (catégories critique, Services Pack et Services Release)

- pare-feu bien paramétré

- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis /de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)

- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

Pour en savoir plus, consulte la page de ipl_001:

http://gerard.melone.free.fr/IT/IT-AM0.html

 

1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC :

 

=> Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe :

 

- Téléchargement : http://www.mozilla-europe.org/fr/products/firefox/

- Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628

 

 

Si tu veux toujours utiliser IE ! :

 

=> IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux)

Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg :

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !)

http://www.spywarewarrior.com/uiuc/resource.htm

 

=> ZebProtect (pour sécuriser les ports de ton PC, très simple)

 

- Tutorial : http://www.zebulon.fr/articles/zebprotect.php

- Téléchargement : http://telechargement.zebulon.fr/123.html

 

=> Si tu veux tester ton firewall : scanner les ports du PC :

 

http://www.pcflank.com/

 

 

=> SpywareBlaster :

 

http://www.javacoolsoftware.com/downloads.html

Son tuto :

http://www.ordi-netfr.org/tutorialspywareblaster.html

 

 

=> Ad-Aware SE de Lavasoft

 

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

http://tutopat.hostonet.org/viewtopic.php?t=207

 

=> SpyBot-Search & Destroy de Patrick Kolla

 

http://spybot.safer-networking.de/fr/download/index.html

Son tuto

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

 

=> Regprot (petit utilitaire très léger : 144ko !) pour protéger ta base de registre :

http://www.diamondcs.com.au/index.php?page=regprot

 

=> Ewido : http://download.ewido.net/ewido-setup.exe

c'est une version d'essai, qui perd certaines fonctions payantes, (pas de protection résidente)

mais il reste efficace ! Mets le à jour avant de scanner ton PC.

 

2)- Les utilitaires pour nettoyer le PC :

 

=> Clean Up 40 :

http://www.stevengould.org/software/cleanup/

- Ouvre CleanUp40 et vas sur "Clean up custom" et assure toi que seules ces cases sont cochées :

 

* Empty Recycle Bin

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

 

Puis lance le scan (cleanup)

 

- aide en image : (merci à Balltrap34)

http://pageperso.aol.fr/balltrap34/democleanup.htm

 

=> EasyCleaner de Toni Helenius (installe le dans son dossier)

http://personal.inet.fi/business/toniarts/files/EClea2_0.exe

Utiliser uniquement les fonctions "Inutile(s)" et "Registre". Ne pas toucher à la fonction "Doublons". Supprime tout ce qu'il propose.

 

http://personal.inet.fi/business/toniarts/ecleane.htm

Tutorial :

http://www.uptoopc.net/nettoyer/temporaires.php

http://www.uptoopc.net/nettoyer/registre.php

http://www.uptoopc.net/nettoyer/autresfonctions.php

 

 

 

=> ATF-cleaner par Atribune : http://www.atribune.org/public-beta/ATF-Cleaner.exe

C'est un nettoyeur très peu gourmand en ressources mais très efficace. Il te permet de nettoyer les différents fichiers temporaires sur ton pc, y compris ceux de ton naivigateur alternatif. En voici le mode d'emploi :

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

 

=> RegSeeker de Thibaud Djian : RegSeeker est un nettoyeur de base de registre puissant et simple d'utilisation. Ce logiciel permet également d'apporter de nombreuses améliorations à Windows (fonction "Tweaks").

Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème.

 

- Téléchargement : http://www.hoverdesk.net/freeware.htm

 

- Tutorial : http://www.zebulon.fr/articles/regseeker-1.php

 

=> JV16 PowerTools de Jouni Vuorio : Utilitaire très complet : il intègre les fonctions de Regcleaner.

A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant.

Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème.

 

 

- Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html

 

- Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

- Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware :

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

Plus d'info sur le topic d'ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

 

NB : Je vois que tu utilises déjà Firefox... si ce n'est pas déjà fait, pense à le configurer selon le tuto de Mégataupe

 

Parmi ces différents utilitaires, tu retrouves certains utilitaires qu'on a utilisé pendant la désinfection...

Tu peux donc tous les garder, en les utiliser régulièrement.

 

 

 

 

Du travail t'attend . Dis toi qu'un fois que cela sera fait, tu seras tranquille niveau sécurité normalement

 

J'aimerais pour finir que tu m'nevoie un nouveau rapport Hijackthis après avoir fait cela... au cas où la désinstallation de MCaffee ne se serait pas bien passée

 

 

A+

Modifié le 8 juin 2006 par tornado

[Vava]

Bonjour,

 

Je n'ai pas eu le temps de terminer le nettoyage et d'installer la protection que les enfants ce sont mis sur le poste et c'est encore pire qu'avant.

 

Il y a tout un tas de truc qui se sont installé et j'ai lancé EWIDO, il n'arrive meme pas à terminer le scan. L'appli se plante.

 

J'ai refait un rapport HIJACKTHIS

 

Logfile of HijackThis v1.99.1

Scan saved at 15:28:26, on 11/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\AOL\ACS\AOLAcsd.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\AOL\1149248640\ee\AOLSoftware.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\HbTools\Bin\4.7.7.0\HbtWeatherOnTray.exe

C:\Program Files\Fichiers communs\AOL\ACS\AOlDial.exe

C:\Program Files\a-squared\a2guard.exe

C:\Program Files\AOL 9.0\aoltray.exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Program Files\Palm\HOTSYNC.EXE

C:\WINDOWS\System32\alg.exe

C:\Program Files\AOL Compagnon\companion.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.251.162.101/~google/r.php# ATTENTION SITE INTERDIT AUX MINEURS cliquez sur OUI pour ENTRER ATTENTION SITE INTERDIT AUX MINEURS cliquez sur OUI pour ENTRER ATTENTION SITE INTERDIT AUX MINEURS cliquez sur OUI pour ENTRER ATTENTION SITE INTERDIT AUX MINEURS cliquez sur OUI pour ENTRER ATTENTION SITE INTERDIT AUX MINEURS cliquez sur OUI pour ENTRER ATTENTION SITE INTERDIT AUX MINEURS cliquez sur OUI pour ENTRER ATTENTION SITE INTERDIT AUX MINEURS cliquez sur OUI pour ENTRER ATTENTION SITE INTERDIT AUX MINEURS cliquez sur OUI pour ENTRER

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Servi...omeLeftPane.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.7.7.0\HbtHostIE.dll

O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.7.7.0\HbtHostIE.dll

O4 - HKLM\..\Run: [iPHSend] C:\Program Files\Fichiers communs\AOL\IPHSend\IPHSend.exe

O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1149248640\ee\AOLSoftware.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.7.7.0\HbtOEAddOn.exe

O4 - HKLM\..\Run: [quitdpxn] C:\WINDOWS\system32\plvakahv.exe

O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.7.7.0\HbtWeatherOnTray.exe

O4 - HKCU\..\Run: [AOL Dialer] C:\Program Files\Fichiers communs\AOL\ACS\AOlDial.exe

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe

O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe

O4 - Global Startup: BlueSoleil.lnk = ?

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3BCDF6E2-7776-46D0-9A76-F35400C95D41}: NameServer = 205.188.146.145

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online - C:\Program Files\Fichiers communs\AOL\ACS\AOLAcsd.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe

O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

 

 

Je suis vraiment désolée. Mais les enfants sont interdits d'ordinateur jusqu'à nouvel ordre.

[tornado]

Salut vava,

 

 

 

 

Et ben! Ils ont bien réinfecté ton système tes enfants

 

Je pense que le mieux serait que tu refasses la procédure de pré-nettoyage, en y incluant un scan Ewido (il risque moins de planter en mode sans échec), après le scan antivir.

 

 

Bonne chance

Modifié le 11 juin 2006 par tornado

[Vava]

Bonjour Tornado,

 

C'est ce que j'ai fait dès que j'ai vu ça. J'ai lancé une 1ere fois Ewido où j'avais 130 objets infectés.

 

Donc, J'ai refait toute la 1ère procédure. J'ai essayé de regarder dans le 1er rapport Hijackthis et supprimé tout ce qui me semblait suspect. Je crois que je vais devenir une vraie pro à force !

 

Alors, voici le 2ème rapport Ewido en mode sans echec :

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 07:27:40, 12/06/2006

+ Somme de contrôle: 94084B79

 

+ Résultats du scan:

 

HKLM\SOFTWARE\HbTools -> Adware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools\HbTools -> Adware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools\HbTools\Install -> Adware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools\HbTools\MachineInfo -> Adware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools\HbTools\Upgrade -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\Common -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\Common\Time -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\Common\Updates -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\HbTools -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\HbTools\dynamic -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\HbTools\dynamicFail -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\HbTools\EUI -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\HbTools\Install -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\HbTools\options -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\HbTools\UEUI -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\HbTools\updates -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\HbTools\UserInfo -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\Time -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\Time\HostIE -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\Time\HostIE\Updates -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\Time\HostOI -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\Time\HostOI\Updates -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\Time\HostOL -> Adware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-1677919750-791995059-2745134507-1006\Software\HbTools\Time\HostOL\Updates -> Adware.HotBar : Nettoyer et sauvegarder

 

Et maintenant le rapport Hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 08:21:04, on 12/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\AOL\ACS\AOLAcsd.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\Fichiers communs\AOL\1149248640\ee\AOLSoftware.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

C:\Program Files\a-squared\a2guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AOL 9.0\aoltray.exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Program Files\Palm\HOTSYNC.EXE

C:\WINDOWS\System32\alg.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe

C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\AOL Compagnon\companion.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file)

O3 - Toolbar: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file)

O4 - HKLM\..\Run: [iPHSend] C:\Program Files\Fichiers communs\AOL\IPHSend\IPHSend.exe

O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1149248640\ee\AOLSoftware.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [AOL Dialer] C:\Program Files\Fichiers communs\AOL\ACS\AOlDial.exe

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe

O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe

O4 - Global Startup: BlueSoleil.lnk = ?

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3BCDF6E2-7776-46D0-9A76-F35400C95D41}: NameServer = 205.188.146.145

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online - C:\Program Files\Fichiers communs\AOL\ACS\AOLAcsd.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe

O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

[tornado]

Re,

 

 

 

Beau boulot Vava , le nouveau lko Hijackthis est propre.

 

Et Ewido a abattu un travail colossal

 

 

J'aimerais quand même que tu fasses ceci :

 

1/ Déconnecte-toi du net

 

2/ Vérifie que C:\WINDOWS\system32\plvakahv.exe a bien disparu (avec l'affichage des fichiers cachés etc). Si il est toujours présent, supprime-le et vide la corbeille

 

 

3/ Lance Hijackthis , ferme toutes les fenêtres à part celle d'Hijackthis, et fixe ces lignes (restes de Hotbar):

 

O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file)

O3 - Toolbar: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file)

 

 

4/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

ATF-cleaner

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

 

Jv16 powertools

 

- Mettre le logiciel en français Preferences > Language > Français > OK.

 

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

 

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

 

- Cliquer sur "Continuer" puis sur "Démarrer".

 

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

 

5/ Fais le scan en ligne de panda => http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php

 

 

 

 

A la fin du scan, sauvegarde le rapport et met son contenu dans ton prochain post

Modifié le 12 juin 2006 par tornado

[Vava]

Voilà, j'ai tout nettoyer, mais apparemment, il y a encore des restes.

 

Voici le rapport PANDA

 

Incident Statut Analyse

 

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\?\Cookies\?@bluestreak[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\?\Cookies\?@xiti[1].txt

[tornado]

Re,

 

 

 

Nan ça ira, seulement des cookies ont été détectés par panda, donc rien d'inquiétant

 

Tu peux faire un dernier scan pour vérfier si des rootkits (malwares cachés) n'ont pas infecté ton système :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

 

 

A+

[Vava]

Voici le rapport

 

06/12/06 20:42:27 [info]: BlackLight Engine 1.0.37 initialized

06/12/06 20:42:27 [info]: OS: 5.1 build 2600 (Service Pack 2)

06/12/06 20:42:27 [Note]: 7019 4

06/12/06 20:42:27 [Note]: 7005 0

06/12/06 20:42:40 [Note]: 7006 0

06/12/06 20:42:40 [Note]: 7011 1672

06/12/06 20:42:40 [Note]: 7026 0

06/12/06 20:42:40 [Note]: 7026 0

06/12/06 20:42:44 [Note]: FSRAW library version 1.7.1015

06/12/06 20:48:20 [Note]: 2000 1006

 

Par contre, je à l'ouverture de blbeta.exe, je n'ai pas de menu me proposant [X]scan through Windows Explorer.

J'arrive tout de suite sur le scan

Modifié le 12 juin 2006 par Vava