resolu : rapport hijack this

[stratos]

j 'ai vu en effet que cette ligne etait restee alors que je l avais fixé

j ai remarqué que qd je lancais hijackthis en mode sans echec la ligne 08 ...

n apparaissait pas !

 

je suis acutelement chez moi sur un autre pc qui est lui aussi infecte

j ai mis un nouveau sujet dans le forum

demain je t'enverai le log du pc 1 apres la manipe que tu me sujere

 

merci

[stratos]

voila mon troisieme log

 

Logfile of HijackThis v1.99.1

Scan saved at 09:56:50, on 08/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Dantz\Retrospect\retrorun.exe

C:\Program Files\Spyware Doctor\sdhelp.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe

C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe

C:\Program Files\WinPortrait\wpctrl.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\MouseWare\system\em_exec.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Program Files\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE

C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE

C:\Compaq\EAKDRV\EAUSBKBD.EXE

C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe

C:\Program Files\WinPortrait\floater.exe

C:\Program Files\Telecom Italia France\Barre Magique 1.05.08.22\BBarHelpers.exe

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll

O3 - Toolbar: Barre &Magique - {01A7812B-59E8-4A4F-BFD6-EEE6D4CB6BA2} - C:\Program Files\Telecom Italia France\Barre Magique 1.05.08.22\Tiscali BBar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe

O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [PivotSoftware] "C:\Program Files\WinPortrait\wpctrl.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare Software\bin\EasyShare.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll

O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: Barre RoboForm &2 - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {041816FE-7869-4B5F-9BE4-FFF3B7368727} (IsHere Class) - http://barremagique.aliceadsl.fr/download/BarreMagique.cab

O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.mapguide.cimainfo.com/upload/mgaxctrl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/a...zylomloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9A4060A2-AB81-4E17-BFD0-AAE4F9ACE806}: NameServer = 194.2.0.20,194.2.0.50

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Program Files\Dantz\Retrospect\retrorun.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

[Anthony#10]

Bonjour a tous.

 

* Fais un scan en ligne avec Panda : http://www.pandasoftware.com/activescan/fr...n_principal.htm

 

Tutorial a suivre ( provenant du site a Malekal_Morte ) :

 

http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

* Apres, colle le rapport ici.

[stratos]

voila j ai scané avec panda

 

voila le log:

 

 

Incident Statut Analyse

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\biba\Cookies\biba@xiti[1].txt

Outil indésirable:Application/Need2Find No Désinfecté C:\Program Files\Mozilla Firefox\plugins\NPNd2fn.dll

Spyware:Cookie/RealMedia No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq17.tmp

Spyware:Cookie/2o7 No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq18.tmp

Spyware:Cookie/Falkag No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq18D.tmp

Spyware:Cookie/Adtech No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq19.tmp

Spyware:Cookie/Advertising No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq1A.tmp

Spyware:Cookie/Falkag No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq1B.tmp

Spyware:Cookie/Atlas DMT No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq1C.tmp

Spyware:Cookie/Bluestreak No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq1D.tmp

Spyware:Cookie/BurstNet No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq1E.tmp

Spyware:Cookie/Casalemedia No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq1F.tmp

Spyware:Cookie/Comclick No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq21.tmp

Spyware:Cookie/Doubleclick No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq22.tmp

Spyware:Cookie/FastClick No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq23.tmp

Spyware:Cookie/Mediaplex No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq24.tmp

Spyware:Cookie/MetriWeb No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq25.tmp

Spyware:Cookie/QuestionMarket No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq26.tmp

Spyware:Cookie/RealMedia No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq27.tmp

Spyware:Cookie/Advertising No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq28.tmp

Spyware:Cookie/Serving-sys No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq29.tmp

Spyware:Cookie/Tribalfusion No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq2B.tmp

Spyware:Cookie/Valueclick No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq2C.tmp

Spyware:Cookie/Weborama No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq2D.tmp

Spyware:Cookie/WebtrendsLive No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq2E.tmp

Spyware:Cookie/2o7 No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq30.tmp

Spyware:Cookie/Bluestreak No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq31.tmp

Spyware:Cookie/CentrPort No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq32.tmp

Spyware:Cookie/Advertising No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq34.tmp

Spyware:Cookie/Valueclick No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq35.tmp

Spyware:Cookie/Weborama No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq36.tmp

Spyware:Cookie/Serving-sys No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq37.tmp

Spyware:Cookie/Com.com No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq38.tmp

Spyware:Cookie/WebtrendsLive No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq39.tmp

Spyware:Cookie/Serving-sys No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq3A.tmp

Spyware:Cookie/bravenetA No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq60F.tmp

Outil indésirable:Application/P2PNetworking No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq61.tmp

Spyware:Cookie/Doubleclick No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq610.tmp

Spyware:Cookie/Serving-sys No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq611.tmp

Outil indésirable:Application/Need2Find No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq64.tmp\bar\1.bin\N2PLUGIN.DLL

Outil indésirable:Application/Need2Find No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq64.tmp\bar\1.bin\ND2FNBAR.DLL

Outil indésirable:Application/Need2Find No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq64.tmp\bar\1.bin\NPND2FN.DLL

Spyware:Spyware/RXToolbar No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq8.tmp\RXToolBar.exe

Outil indésirable:Application/Altnet No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq9D.tmp\mysearch.cab

Spyware:Cookie/RealMedia No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppqA0.tmp

Spyware:Cookie/Hitbox No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppqA4.tmp

[Anthony#10]

Re.

 

 

* S'assurer que tout les fichiers soient la :

 

Ouvre le poste de travail ou l'Explorateur Windows (ce que vous utilisez d'habitude pour visiter vos fichiers).

 

Menu "Outils" -> "Options des Dossiers..." -> Onglet "Affichage".

 

Vous trouverez ces réglages dans le cadre "Paramètres avancés" :

 

- Fichiers et dossiers cachés : cochez "Afficher les fichiers et dossiers cachés"

- Décochez "Masquer les extensions des fichiers dont le type est connu"

- Décochez "Masquer les fichiers protégés du système d'exploitation", à la demande de confirmation répondez "Oui"

 

 

* Fais ceci :

 

- Double clique sur Poste de travail

- Double clique sur Disque Local C:\

- Double clique sur Program Files

- Double clique sur Yahoo

- Double clique sur YSPR

- Double clique sur Quarantine

- Clique sur Edition / Selectionner tout / Supprimer

 

* Refais un scan en ligne avec Panda puis colle de nouveau le rapport.

[stratos]

operations effectuees

 

voila le deuxieme rapport du scan panda

 

 

Incident Statut Analyse

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\biba\Cookies\biba@xiti[1].txt

Outil indésirable:Application/Need2Find No Désinfecté C:\Program Files\Mozilla Firefox\plugins\NPNd2fn.dll

[Anthony#10]

Bonjour.

 

* Supprime le fichier en gras ci dessous :

 

C:\Program Files\Mozilla Firefox\plugins\ NPNd2fn.dll <= Le fichier

 

* Rencontres tu encore des disfonctionnements ??

[stratos]

hello

 

j ai efface le dernier fichier et tout semble bien fonctionné

 

par contre je recois tjrs une quantité de mail provenant de retour de mail (mailer daemon)

 

comme j utitlise deux pc je ne sais lequel provoque l'envoie de mails ou si c'est independant de mes

pc, dans le cas ou c un pc zombie qui a recupere mes donnes de messagerie, et arrose de spam en utilsant mon adresse ?

 

j ai mis sur le forum le log de mon deuxieme pc

 

en tout je te remercie deja de tout le temps passe et de ton aide

[Anthony#10]

Re.

 

* Pour les mails, il faut que tu mettes l'adresse qui t'envoit tout les mails dans la liste rouge pour ne plus en recevoir.

 

* Si ton probleme est resolu, n'oublies pas d'editer ton titre et de rajouter la mention [Resolu] devant.

 

Bonne journee.

[stratos]

ok

 

merci

 

bonne journee aussi