Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

analyse fichiers

araouane

Par araouane
dans Analyses et éradication malwares

 Partager

Messages recommandés

araouane Junior Member

araouane

Posté(e)
Posté(e)

Ai fait un scan avec Hijackthis , voir ci-dessous : quelles sont les lignes suspectes ? (je n'ai plus de barre des tâches, plus d'internet, de panneau de configuration, et le fonctionnement est très, très ralenti..

Merci à ceux qui se seront penchés sur mes malheurs !

 

 

Logfile of HijackThis v1.99.1

Scan saved at 15:28:28, on 15/06/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ntvdm.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\necmfk\necmfk.exe

C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe

C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe

C:\WINDOWS\System32\net.exe

C:\WINDOWS\System32\net1.exe

C:\WINDOWS\System32\net.exe

C:\WINDOWS\System32\net1.exe

C:\WINDOWS\System32\net.exe

C:\WINDOWS\System32\net1.exe

C:\WINDOWS\System32\net.exe

C:\WINDOWS\System32\net1.exe

C:\WINDOWS\System32\net.exe

C:\WINDOWS\System32\net1.exe

C:\WINDOWS\System32\net.exe

C:\WINDOWS\System32\net1.exe

C:\WINDOWS\System32\net.exe

C:\WINDOWS\System32\net1.exe

C:\WINDOWS\System32\net.exe

C:\WINDOWS\System32\net1.exe

C:\WINDOWS\System32\net.exe

C:\WINDOWS\System32\net1.exe

C:\WINDOWS\System32\net.exe

C:\WINDOWS\System32\net1.exe

C:\WINDOWS\System32\net.exe

C:\WINDOWS\System32\net1.exe

D:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.1

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F3 - REG:win.ini: run=lxdboxcp.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [NECMFK] C:\Program Files\necmfk\necmfk.exe

O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"

O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [QCDriverInstaller] C:\Program Files\Fichiers communs\Logitech\QCDriver\QDRVINS.EXE /addrun /l 1033 /LaunchAtStart

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup

O4 - HKCU\..\Run: [spyware Cleaner] "C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot

O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} - http://www.spywarestormer.com/files2/Install.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A9B6EB09-86B5-4BA5-A4B4-605C563E99A0}: NameServer = 194.117.200.10,194.117.200.15

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

Lien vers le commentaire
Partager sur d’autres sites

regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Bonjour araouane et bienvenue sur le forum zeb-sécu !

 

Peut tu essayer ceci STP ?

 

- Tu vas dans le menu "Démarrer" et tu fais "Exécuter".

- Dans la fenêtre, tu tapes "service.msc" et tu cliques sur OK.

- Il faut vérifier que le service intitulé "Configuration automatique sans fil" soit démarré. S'il ne l'est pas, démarre-le et change le "Type de démarrage" en "Automatique".

- Tu vérifieras aussi que le service intitulé "Service de découverte SSDP" soit démarré. S'il ne l'est pas, démarre-le et change le "Type de démarrage" en "Automatique".

 

Pour démarrer un service et/ou changer son type, tu fais un double-clic dessus. Ces 2 options sont disponibles dans le premier onglet via une liste déroulante (Type de démarrage) et un bouton (Démarrer).

 

Apparement le problème vient d'une mauvaise détection au niveau de la carte Wifi et Windows cherche à intervale régulier de faire une détection correcte en lançant ces deux petits programmes (net.exe et net1.exe).

 

Pendant ce temps je regarde ton Log !

 

A plus !

Lien vers le commentaire
Partager sur d’autres sites
regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Re

 

Voici ce que tu peut faire !

 

Essai de récupérer ce programme Zeb-restore ici (sur clé USB par exemple) et installe le sur le PC malade !

http://telechargement.zebulon.fr/233-zeb-restore.html

 

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC.

Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

 

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware )

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

 

 

 

-Maintenant on va modifier la base de registres pour éliminer les lignes liées a l'infection !

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

 

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} - http://www.spywarestormer.com/files2/Install.cab

 

 

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

 

 

Lancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer

(avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher

"Effectuer cette action avec toutes les infections".

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

Lancer Zeb-restore : Clique sur

- Gestionnaire des tâches : réactive le gestionnaire des tâches

- Panneau de configuration : réactive le Panneau de configuration

- Bureau : réactive le bureau

- Réparation IE : répare Internet Exploreur (pages de recherche)

Clique sur restaurer

 

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Poster le rapport Ewido

-Indiquer si le Pc présente encore des dysfonctionnements

 

Après avoir posté ta réponse :

 

Peux-tu faire s'il te plait un scan en ligne si posssible=>

Fais un scan chez panda:

Panda et Avast entrent en conflit, pour pouvoir faire le scan chez Panda tu vas devoir télécharger un petit programme installactivescan.exe

Télécharge le ici :

http://acs.pandasoftware.com/marketing/installactivescan.exe

 

Attention !! lors de l'installation cocher seulement raccouci sur le bureau (desktop )

tuto30sf.th.jpg

 

Avant de cliquer sur le raccouci il faut désactiver le bouclier web d'Avast le temps du scan.

tuto0qs.th.jpg

 

Ensuite clique sur le raccouci sur le bureau

Panda ActiveScan

 

Tu arrive sur la page web clique sur;

 

Scan your Pc

tuto24dx.th.jpg

 

Ensuite suit les instructions :

si tu n'y arrives pas suit ce tuto:

http://www.malekal.com/scan_Av_en_ligne.html

Coller le rapport sur le forum.

 

Ps : le scan ne marche que si vous avez conservé IE

 

A plus et bon courage ! :P

Lien vers le commentaire
Partager sur d’autres sites
araouane Junior Member

araouane

Posté(e)
  • Auteur
Posté(e)

Bonjour, et grand merci à regis56 …

J’ai suivi tout le topo envoyé, avec les remarques suivantes :

• La commande « service.msc » a été refusée ; par ailleurs, impossible désinstaller le driver wifi , parce « pb sur windows » ;

• J’ai enlevé la ligne 016 – DPF :{205FF…. ;

• D’autre part : plus de driver ethernet, de modem, de réseau en général, d’imprimante, de copié-collé ; démarrage extrêmement long (+/- 10 mn ?), nombreuses commandes refusées…

• Les scan Spybot et Ewido ont relevé et supprimé quelques spyware ; pas encore fait scan avec Panda, car pb d’ADSL (je suis pile en train de changer d’abonnement !), et me connecte sur modem 56 K.

 

[/b]Tu peux me contacter sur tél au cours de ce jour : ** ** ** ** ** (environ de Grenoble).

Merci encore, BB

 

 

Logfile of HijackThis v1.99.1

Scan saved at 00:20:46, on 18/06/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ntvdm.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\necmfk\necmfk.exe

C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe

C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\WINDOWS\System32\net.exe

C:\WINDOWS\System32\net1.exe

D:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.1

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F3 - REG:win.ini: run=lxdboxcp.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [NECMFK] C:\Program Files\necmfk\necmfk.exe

O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"

O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [QCDriverInstaller] C:\Program Files\Fichiers communs\Logitech\QCDriver\QDRVINS.EXE /addrun /l 1033 /LaunchAtStart

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup

O4 - HKCU\..\Run: [spyware Cleaner] "C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot

O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A9B6EB09-86B5-4BA5-A4B4-605C563E99A0}: NameServer = 194.117.200.10,194.117.200.15

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

 

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 01:27:28, 17/06/2006

+ Somme de contrôle: 2D5CFED5

 

+ Résultats du scan:

 

C:\System Volume Information\_restore{CCC2E4E1-EFD1-4C56-A2FB-823D9F3AE93E}\RP137\A0039695.exe -> Adware.NewDotNet : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

edit: Pas de numéro de téléphone sur un forum ni sur internet en général. C'est un excellent moyen de subir des plaisanteries plus ou moin drôle. Ce genre de communication se font par MP. Merci

Lien vers le commentaire
Partager sur d’autres sites
regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Re

Surtout ne met jamais d'information personnelle sur un forum !!

Encore moins un numéro de téléphone !!

Si tu veut envoyer ce genre d'information envoi les par MP !

 

On va vérifier si newdotnet est bien désinstallé !

 

1. Télécharger LSPfix:

http://www.cexx.org/lspfix.htm

 

2. Cliquer sur Démarrer> Panneau de configuration> Ajout/Suppression de programmes

 

Désinstaller:

 

NewNet, NewDotNet, tout ce qui a trait à ce domaine.

 

Si non trouvé dans Ajout/Suppression de programmes, suivre la procédure 4 de cette page:

http://www.newdotnet.com/removal.html

 

Si au cours de la manipulation , perte l'accès à l'internet:

démarrer LSPfix, cocher "I know what I'm doing" puis cliquer sur "Finish".

 

3. Redémarrer et poster un nouveau log HijackThis.

 

Si tu as toujours de gros soucis avec le PC je te conseil de suivre se tuto :

http://www.informatruc.com/reparer_2.php

 

 

Bon courage !

Lien vers le commentaire
Partager sur d’autres sites
big tom Mega Power Member

big tom

Posté(e)
Posté(e)

ahah ahahahah, :P

sacré arouane qui envoi son numéro de téléphone. :P

ceci dit quand on se bat contre un ordi malade, c'est sur qu'on a envi d'avoir toute l'aide possible.

par contre je me demande dans quel mesure on pourra réparer son ordi si il a perdu beaucoup de donnée necessaire au fonctionnement de windows.

allé courage et bonne fete des père :-P

Lien vers le commentaire
Partager sur d’autres sites
araouane Junior Member

araouane

Posté(e)
  • Auteur
Posté(e)

Re

Surtout ne met jamais d'information personnelle sur un forum !!

Encore moins un numéro de téléphone !!

Si tu veut envoyer ce genre d'information envoi les par MP !

 

On va vérifier si newdotnet est bien désinstallé !

 

1. Télécharger LSPfix:

http://www.cexx.org/lspfix.htm

 

2. Cliquer sur Démarrer> Panneau de configuration> Ajout/Suppression de programmes

 

Désinstaller:

 

NewNet, NewDotNet, tout ce qui a trait à ce domaine.

 

Si non trouvé dans Ajout/Suppression de programmes, suivre la procédure 4 de cette page:

http://www.newdotnet.com/removal.html

 

Si au cours de la manipulation , perte l'accès à l'internet:

démarrer LSPfix, cocher "I know what I'm doing" puis cliquer sur "Finish".

 

3. Redémarrer et poster un nouveau log HijackThis.

 

Si tu as toujours de gros soucis avec le PC je te conseil de suivre se tuto :

http://www.informatruc.com/reparer_2.php

Bon courage !

 

 

 

Bon, je vois que les emmerdes des uns, font marrer quelques autres (cf Big Tom.., bien lourd).

 

Voilà où j'en suis : j'ai réinstallé Windows avec les master d'origine, bien sûr perte des données (que j'avais sauvegardées). Pas trouvé de trace de NewDotNet... Tout à l'air de remarcher, même internet qui était planté mais à cause de changements de paramètres du FAI, lequel ne m'avait pas prévenu...

J'ai à peu près remis les logiciels dont je me sers et pratiquement pas de données...

Puis scan avec Hijackthis, et Ewido, dont je te passe les résultats (c'était en mode normal) ; Ewido a détecté 12 fichirs malveillants dont j'ai demandé la destruction.

 

Merci d'avance pour ta sagacité...

 

BB

 

Logfile of HijackThis v1.99.1

Scan saved at 23:23:01, on 19/06/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\necmfk\necmfk.exe

C:\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

D:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.packardbell.fr/center

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [NECMFK] C:\Program Files\necmfk\necmfk.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O14 - IERESET.INF: START_PAGE_URL=www.packardbell.fr/center

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

 

 

 

Et Ewido :

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 23:42:58, 19/06/2006

+ Somme de contrôle: AFFF42BA

 

+ Résultats du scan:

 

C:\Documents and Settings\Bernard\Cookies\bernard@2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\Bernard\Cookies\[email protected][2].txt -> TrackingCookie.Pointroll : Nettoyer et sauvegarder

C:\Documents and Settings\Bernard\Cookies\bernard@advertising[1].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

C:\Documents and Settings\Bernard\Cookies\bernard@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\Bernard\Cookies\bernard@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\Bernard\Cookies\[email protected][1].txt -> TrackingCookie.Coremetrics : Nettoyer et sauvegarder

C:\Documents and Settings\Bernard\Cookies\bernard@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\Bernard\Cookies\bernard@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\Bernard\Cookies\bernard@weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Bernard\Cookies\[email protected][1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\Bernard\Local Settings\Temporary Internet Files\Content.IE5\FIW3J3D2\NNuninstall[1].exe -> Adware.NewDotNet : Nettoyer et sauvegarder

C:\System Volume Information\_restore{B46577CD-7C8A-4C70-8D11-D248BABA9E3F}\RP1\A0000260.EXE -> Not-A-Virus.NetTool.Win32.PsKill : Nettoyer et sauvegarder

 

 

::Fin du rapport

Lien vers le commentaire
Partager sur d’autres sites
regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Bonsoir araouane !

 

Il va falloir que tu installe maintenant tout les correctifs windows jusqu'au SP2 et ensuite installer un parefeu !

 

Mais avant tu peut faire ceci STP ?

 

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

 

Ensuite suit ces conseils !

 

Quelques conseils :

HijackThis tu n'en a plus besoin sauf si tu veut le garder ! sinon

D:\HijackThis\ <= supprime le dossier !

Ewido tu n'en as plus besoin sauf si tu veut le garder ! il reste très efficace même après les 14 jours il perd juste la protection résidente !

 

 

-Rétablir l'affichage :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Options des dossiers, onglet Affichage :

Activer l'option : Ne pas afficher les fichiers et dossiers cachés

Activer l'option : Masquer les fichiers protégés du système d'exploitation

Laisser désactivé : Masquer les extensions des fichiers dont le type est connu

 

-Créer un point de restauration et supprimer les anciens !: (aide visuelle http://assiste.free.fr/p/comment/activer_d...estauration.php )

Cliquer avec le bouton droit sur l'icône Poste de travail, puis cliquer sur Propriétés.

Cliquer sur l'onglet «Restauration du système».

Sélectionner «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquer sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquer sur Oui.

Cliquer sur OK, redémarrer le PC. Faire l'opération inverse, et réactiver la restauration:un nouveau point sera automatiquement créé.

 

1/ La mise à jour du système :

Je te conseille vivement de mettre à jour ton système !

(Démarrer/Windows Update)

Le fait de mettre ton système à jour corrigera toutes les failles de sécurité utilisées par les virus et autres malwares !

Pour mettre en automatique faire ceci :

 

Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

Mises à jour automatiques

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Démarrer,

puis dérouler le Type de Démarrage pour le modifier en Automatique

Cliquer sur Appliquer puis OK

 

 

2/ L'antivirus :

Installer un antivirus plus efficace que morton tel que AVAST ou Antivir

Un antivirus est un logiciel censé protéger un micro-ordinateur contre les programmes néfastes appelés virus, vers, macrovirus, etc.

 

Les principaux antivirus du marché se fondent sur des fichiers de signatures et comparent alors la signature génétique du virus aux codes à vérifier. Certains programmes appliquent également la méthode dite heuristique tendant à découvrir un code malveillant par son comportement. Autre méthode, l'analyse de forme repose sur du filtrage basé entre des règles regexp ou autres, mises dans un fichier junk. Cette dernière méthode peut être très efficace pour les serveurs de courriels supportant les regexp type postfix puisqu'elle ne repose pas sur un fichier de signatures.

 

Lire l'article dans le prochain lien qui donne en autres toutes les informations pour trouver et télécharger un antivirus et les adresses pour scanner en lignes !

http://forum.zebulon.fr/index.php?act=ST&f...t=0&do=findComment&comment=487252

 

 

3/ le pare-feu :

Installer un firewall autre que celui proposé par XP Choisir kério avec Avast et Zone Alarme pour Antivir (C'est des exemples tu peut choisir ce que tu veut ! Mais éviter l'association Avast avec Zone alarme)

En informatique, un pare-feu est un dispositif logiciel ou matériel qui filtre le flux de données sur un réseau informatique. Il est parfois appelé coupe-feu ou encore firewall.

 

-pour télécharger zone alarm:

http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

-son tutorial:

http://www.zebulon.fr/articles/configurationZA_1.php

 

-pour télécharger JETICO:

http://www.trad-fr.com/Fiches/fiche_Jetico.htm

-à parcourrir

http://www.open-files.com/article0386.html

-son tutorial:

http://www.open-files.com/forum/index.php?showtopic=29277

 

4/ Le navigateur internet :

Utiliser un navigateur sécurisé tel que FIRE FOX drapeaufirefox9px.gif

http://telechargement.zebulon.fr/license-1-100.html

 

Et le sécuriser encore plus en allant voir le lien ici:

http://forum.zebulon.fr/index.php?showtopic=69628

 

Si jamais Internet Explorer est gardé

 

Utiliser IE-SPYAD:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

Pour Internet Explorer uniquement ! ( Une fois l'utilitaire dé-zippé dans son dossier, cliquer sur le fichier ie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! )

http://www.spywarewarrior.com/uiuc/resource.htm

Un conseil important:

Dans Internet Explorer, il faut mieux gérer les contrôles ActiveX:

Ce qu'ils sont: http://assiste.free.fr/p/internet_attaques/activex.php

S'en protéger: http://assiste.free.fr/p/internet_contre_m...nti_activex.php

 

Un conseil:

Il faudrait modifier la gestion des cookies, et ne plus accepter n'importe quoi.

Dans Firefox, Outils--->Options, Menu Vie privée, Onglet Cookies, si "Autoriser les sites à créer des cookies" est coché, cocher la case devant "pour le site Web d'origine seulement".

Dans IE, Outils--->Options internet, Onglet Confidentialité, Bouton Avancé dans le paragraphe Paramètres. Cocher "Ignorer la gestion automatique des cookies", cocher "Demander" pour les cookies internes, et cocher "Refuser" pour les Cookies tierce partie.

 

Un conseil:

Installer Java de Sun.

http://assiste.free.fr/p/internet_contre_m...s/anti_java.php

Version actuelle: JRE 5.0 Update 6

http://java.sun.com/j2se/1.5.0/download.jsp

 

5/ Les systèmes de protections annexes :

 

Télécharger et installer Zeb'Protect dans son répertoire

(Programme fermant certains ports sensibles aux attaques venant d'Internet.)

http://telechargement.zebulon.fr/license-1-123.html

Un tutorial sur lutilisation de Zeb Protect est disponible ici:

http://www.zebulon.fr/articles/zebprotect.php

 

télécharger Ad-Aware SE Personal et installer dans son répertoire

(Programme faisant partie des anti-malwares )

http://telechargement.zebulon.fr/license-1-36.html

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

 

télécharger Spybot - Search & Destroy et installer dans son répertoire

(Programme faisant partie des anti-malwares )

http://telechargement.zebulon.fr/license-1-79.html

Pour une utilisation approfondie de ce logiciel, consulter l'article Configurer Spybot-Search & Destroy.

http://www.zebulon.fr/articles/spybot_1.php

 

6/ Le comportement :

Avoir une attitude responsable devant l'outil Internet

(Eviter les sources d'infections telle que sites XXX/warez et les logiciels de p2p)

 

7/ La maintenance :

Faire la maintenance de son Pc

-Une fois par semaine Scanner avec Ewido ou ad-aware ou Spybot et Nettoyer avec Easycleaner(sans toucher à la fonction doublon).

(En suivant les instructions données précédemment)

-Une fois par mois défragmenter les Disques Durs.

-Une fois par mois Scanner avec un antivirus en ligne.

 

8/ La prévention :

Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware :

 

Malware Complaints est une coopération entre beaucoup dassistants anti-malware et dexperts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que

les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

Plus d'info sur le topic d'ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

Si tu pense que ton problème est résolu peut tu marquer résolu devant le titre de ton sujet ?

 

Tu va sur ton premier message ici

http://forum.zebulon.fr/index.php?s=&showt...ndpost&p=759011

 

Tu clic sur le bouton en bas à droite Editer tu choisi Edition complète et tu pourra changer le titre

 

Au revoir et à bientôt sur zéb !!

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...