vérification du log hijack après prénettoyage... MERCI!

[bruce lee]

re,

 

Ptite question: entre Ewido et bit defender, lequel conseilleriez vous?

 

Les deux sont complementaire.

 

Je regarde ton nouveau rapport, retour dans 30 minutes

[bruce lee]

re,

 

 

Si tu n'as pas d'antivirus et si tu ne veux pas en acheter en voici un tres performant:

 

_avast que tu peux telecharger ici: http://www.01net.com/telecharger/windows/U...ches/25899.html

_sa clef (gratuite) a renouveler a peut pres tout les 12 mois (renouvelement gratuit aussi) que tu peux avoir ici: http://www.01net.com/telecharger/windows/U...ches/25899.html

 

Pour avast ne l'installe pas maintenant.

 

Pour la suppression des fichiers je te remets toutes les manip (au cas ou tu aurais tout retablis

comme avant)

 

 

1/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

2/

demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

 

WebS3

mcafee.com

 

si ces programmes sont presents desinstallent les.

 

3/fais:

demarer executer services.msc repere Local Network Service

 

Double clic dessus :dans le champs Statut du service met le sur arrêté

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

 

fais la meme manip avec:

 

fsecure 2006

K4NV

 

 

4/maintenant on supprimer le service:

 

demarrer/executer/ cmd

 

execute cette commande qui est en citation sans le mot citation:

 

sc delete algs

 

fais la meme manip avec:

 

fsecure

 

 

5/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

O4 - HKLM\..\Run: [iSPSERVICE] D:\Program Files\mcafee.com\Mcupda.exe

O4 - HKLM\..\Run: [_MCUpdate2Exe] D:\Program Files\WebS3\repcale.exe D:\Program Files\WebS3\snpvt2k.exe

O4 - HKLM\..\Run: [MCUpdate_Exe] D:\Program Files\WebS3\snpvt2k.exe

O4 - HKLM\..\Run: [DRam prosesor] juxelwo.exe

O4 - HKLM\..\Run: [WinReg32 service] zkvechsfowie.exe

O4 - HKLM\..\RunServices: [DRam prosesor] juxelwo.exe

O4 - HKLM\..\RunServices: [WinReg32 service] zkvechsfowie.exe

O4 - HKCU\..\Run: [Windows mplayercodex Services] MSPF.EXE

O4 - HKCU\..\Run: [TClock.exe] D:\Program Files\TClock\tclock_install.exe

 

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

6/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

7/supprime ce qui est en gras:

 

D:\Program Files\ mcafee.com<== tout le dossier

D:\Program Files\ WebS3<== tout le dossier

D:\WINDOWS\System32\ juxelwo.exe<== le fichier

D:\WINDOWS\System32\ zkvechsfowie.exe<== le fichier

 

8/

demarrer,rechercher,clique sur tous les fichiers et tout les dossiers, clique sur les deux petites fleches a cotes de options avancées

et coche rechercher dans les fichiers et dossiers cachés.

 

recherche (demarrer/rechercher) et supprime ce fichier si tu le trouves:

 

MSPF.EXE

 

 

9/redemarre en mode normal

 

10/poste un nouveau log hijackthis.

 

bon courage, et si tu as la moindre question n'hesite surtout pas

 

@+

[golem13]

Bonsoir à tous! Ciao Mr Lee!

 

Donc voilà ce que ça donne :

2/ demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

 

WebS3

 

Je l'ai pas trouvé...

 

mcafee.com

 

Celui-ci non plus

 

5/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

O4 - HKLM\..\Run: [iSPSERVICE] D:\Program Files\mcafee.com\Mcupda.exe

O4 - HKLM\..\Run: [_MCUpdate2Exe] D:\Program Files\WebS3\repcale.exe D:\Program Files\WebS3\snpvt2k.exe

O4 - HKLM\..\Run: [MCUpdate_Exe] D:\Program Files\WebS3\snpvt2k.exe

O4 - HKLM\..\Run: [DRam prosesor] juxelwo.exe

O4 - HKLM\..\Run: [WinReg32 service] zkvechsfowie.exe

O4 - HKLM\..\RunServices: [DRam prosesor] juxelwo.exe

O4 - HKLM\..\RunServices: [WinReg32 service] zkvechsfowie.exe

O4 - HKCU\..\Run: [Windows mplayercodex Services] MSPF.EXE

O4 - HKCU\..\Run: [TClock.exe] D:\Program Files\TClock\tclock_install.exe

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

Là par contre, ils y étaient tous...

7/supprime ce qui est en gras:

 

D:\Program Files\ mcafee.com<== tout le dossier

D:\Program Files\ WebS3<== tout le dossier

 

Ces deux là n'y étaient pas...

 

D:\WINDOWS\System32\ juxelwo.exe<== le fichier

D:\WINDOWS\System32\ zkvechsfowie.exe<== le fichier

 

Ces deux là y étaient !

 

8/recherche (demarrer/rechercher) et supprime ce fichier si tu le trouves:

MSPF.EXE

 

Je ne l'ai pas trouvé...

10/poste un nouveau log hijackthis.

 

Logfile of HijackThis v1.99.1

Scan saved at 20:08:08, on 08/06/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\SYSTEM32\Userinit.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\Logitech\iTouch\iTouch.exe

D:\Program Files\QuickTime\qttask.exe

D:\WINDOWS\System32\RUNDLL32.EXE

D:\Program Files\Softwin\BitDefender9\bdmcon.exe

D:\Program Files\Softwin\BitDefender9\bdswitch.exe

D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

D:\Program Files\Logitech\iTouch\kbdtray.exe

D:\Program Files\QuickTime\QTUIPanelControl.exe

D:\Program Files\ewido anti-malware\ewidoctrl.exe

D:\PROGRA~1\Iomega\System32\AppServices.exe

D:\WINDOWS\System32\nvsvc32.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

D:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

D:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

D:\Program Files\Softwin\BitDefender9\vsserv.exe

D:\Program Files\hijack this\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no file)

O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [bDMCon] "D:\Program Files\Softwin\BitDefender9\bdmcon.exe"

O4 - HKLM\..\Run: [bDSwitchAgent] "D:\Program Files\Softwin\BitDefender9\bdswitch.exe"

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Chercher avec Copernic Agent - res://D:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - D:\PROGRA~1\COPERN~1\COPERN~1.EXE (file missing)

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - D:\PROGRA~1\COPERN~1\COPERN~1.EXE (file missing)

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - D:\PROGRA~1\COPERN~1\COPERN~1.EXE (file missing)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Iomega App Services - Iomega Corporation - D:\PROGRA~1\Iomega\System32\AppServices.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - D:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - D:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - D:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

 

Bon ben j'y comprends toujours keudale ou presque... Les log hijack deviennent de plus en plus courts... C'est bon signe ça non?

 

Allez @+!

 

Et merci

[bruce lee]

re,

 

ton rapport est fin propre! beau travail

 

A mon avis il reste encore des bestioles donc fais:

 

un scan en ligne avec http://webscanner.kaspersky.fr/

 

Sous Démonstration en ligne , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner Exécuter l'analyse en ligne .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

 

Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme

 

décrit sur ce lien=> http://www.inoculer.com/activex.php3

 

Sinon, as tu encore des problemes avec ton PC?

[golem13]

Re re

 

S'il reste des problèmes ? ... à part ces deux dossiers dans program file:

Tclock

DNS

 

Je vois pas.

 

Le scan kasperky est en cours... y'en a encore pour 3/4 d'h

 

Sinon hier j'ai installé Bitdefender (en démo)... Histoire de protéger mon petitpoulet, d'ici à ce que j'ai résolu mon problème de firewall ( http://forum.zebulon.fr/index.php?showtopic=96854 )

 

Et depuis, bitdefender ne cesse de m'envoyer des alertes Adware.Agent.Y

Et ce en provenance de divers emplacements (freeplayer/quicktime/Windows update/internet temp/

-->Kezako?

 

a ciao & bonne soirée

[golem13]

Voilà le rapport du scan kasperky

 

Jeudi 8 juin 2006 22:29:52

 

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)

Version de Kaspersky On-line Scanner: 5.0.78.0

Dernière mise à jour de la base antivirus Kaspersky : 8/06/2006

Enregistrements dans la base antivirus Kaspersky : 187349

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie. vrai

Cible de l'analyse Poste de travail

A:\

C:\

D:\

E:\

F:\

H:\

Statistiques de l'analyse

Total d'objets analysés : 108662

Nombre de virus trouvés 1

Nombre d'objets infectés 1

Nombre d'objets suspects 0

Durée de l'analyse 01:13:54

 

Nom de l'objet infecté : D:\WINDOWS\system32\kwwufhww.exe

 

Nom du virus Infecté : Backdoor.Win32.Rbot.aoy

 

Dernière action : ignoré

 

@+

[golem13]

...

Modifié le 8 juin 2006 par golem13

[bruce lee]

bonjour,

 

tclock n'est pas une bestiole c'est un programme valide voici quelques infos sur lui

http://www.01net.com/telecharger/windows/P...iches/7085.html

 

Si tu veux l'enlever, passe par ajouts/suppressions de programmes.

 

 

tu parles d'un dossier qui se nomme DNS dans program files, peux tu me dire si il y a des

fichiers dans ce dossier; si il y en a note moi les noms de ces fichiers.

 

Le scan de kaspersky ne detecte qu'une bestiole, on l'enlevera apres.

 

@+

[golem13]

Salut!!!

 

1/ Tclock: pas moyen de l'envoyer... Et bitdefender me le reconnait comme un virus ou Ad.ware.

 

2/ Et voilà pour le fichier DNS qui contient:

 

Trois fichiers dat (type fichier lisible avec MPC)

- affid

-uid

-urls

 

Un fichier txt:

-version

 

Un fichier bitmap:

-x

 

@++

 

g.

[bruce lee]

salut,

 

1/ Tclock: pas moyen de l'envoyer... Et bitdefender me le reconnait comme un virus ou Ad.ware.

 

Si tu ne te sers pas de Tclock tu peux le desinstaller via ajouter ou supprimer des programmes

 

2/ Et voilà pour le fichier DNS qui contient:

 

Trois fichiers dat (type fichier lisible avec MPC)

- affid

-uid

-urls

 

 

rend toi sur ce site:

 

http://virusscan.jotti.org/ et fais analyser affid.dat sur ce site et poste le resultat.

 

@+