log HighjackThis / winfixer

moebuis · le 8 juillet 2006

Bonjour,

Mon PC a été infecté par winfixer

j'ai suivi la procedure préliminaire

que dois je faire maintenant ?

Merci!

Logfile of HijackThis v1.99.1

Scan saved at 10:21:47 PM, on 7/8/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\NETGEAR\WG311v3\wlancfg5.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\PROGRA~1\COMMON~1\SYMANT~1\SECURI~1\NSCSRVCE.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\HijackThis\HijackThis.exe

C:\WINDOWS\System32\msiexec.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

O4 - HKLM\..\Run: [sideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] "C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ocdbnwa] c:\windows\system32\ocdbnwa.exe ocdbnwa

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: HP Image Zone Fast Start.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ?

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...?p=ZSYYYYYYYYFR

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .goa: C:\Program Files\Internet Explorer\Plugins\nppmp.dll

O12 - Plugin for .goac: C:\Program Files\Internet Explorer\Plugins\npchatg.dll

O12 - Plugin for .gob: C:\Program Files\Internet Explorer\Plugins\nppmp2.dll

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/f...tup1.0.0.15.cab

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

tornado · le 8 juillet 2006

Bonsoir moebuis,

Ton rapport montre pas mal d'infections... mais on va y remédier.

Cependant, je ne vois pas de traces de Winfixer... je vais quand même tenir compte du fait qu'il est toujours installé sur ton système dans la procédure.

Je prépare une procédure, réponse dans 15 min environ.

A+

Modifié le 8 juillet 2006 par tornado

tornado · le 8 juillet 2006

Re,

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver :-P

Autre solution : Tu peux également copier la procédure dans un fichier texte (avec la visiblité en moins), ou bien même l'imprimer (si tu as de l'encre à "gaspiller" )

======================================================================

Etape 1 : Téléchargement / installation des outils nécessaires

=> Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a)

- Ewido anti-malware --> http://www.ewido.net/en/download/

-- Pour commencer, installe Ewido en suivant les instructions données par le logiciel

-- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

-- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

-- Ferme Ewido. Ne pas le lancer tout de suite.

Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://personal.inet.fi/business/toniarts/files/EClea2_0.exe

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page)

**************************

=> Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

Etape 2 : Redémarrage en mode sans échec

On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication :

- Redémarre l'ordinateur normalement pour commencer. Ensuite, pendant le redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

- Le tuto si tu bloques sur quelque chose => http://www.informatruc.com/mode_sans_echec.php

Etape 3 : Désinstallation (normale) des logiciels infectieux

Va dans démarrer > panneau de configuration > Ajouter ou supprimer des programmes. Sélectionne alors le programmes suivant, et désinstalle-le en cliquant sur supprimer :

- Mywebsearch

- Winfixer (si tu trouves)

Etape 4 : Utilisation d'Hijackthis/Suppression des lignes infectieuses

- Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) :

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

O4 - HKLM\..\Run: [ocdbnwa] c:\windows\system32\ocdbnwa.exe ocdbnwa

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...?p=ZSYYYYYYYYFR

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/f...tup1.0.0.15.cab

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab

- Clique sur le bouton "Fix checked"

Etape 5 : Modification de l'affichage des fichiers/dossiers

A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher :

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer le bouton radio : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

Et clique sur Ok

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

Etape 6 : Suppression des fichiers/dossiers infectieux

Depuis l'explorateur Windows :

=> Supprime le dossiers suivants (en gras) :

- C:\Program Files\MyWebSearch

- C:\Program Files\Winfixer (si tu trouves)

- C:\Program Files\Winfixer 2005 (si tu trouves)

=> Supprime le fichier suivant, si il existe encore (en gras) :

- C:\Windows\system32\ocdbnwa.exe

=> Vide la corbeille

Etape 7 : Utilisation du BFU & edgeaccess.bfu

Grâce à Hijackthis, on a supprimé en partie le malware edgeaccess, mais il est fort probable qu'il ait encore laissé des traces sur ton système. On va utiliser le Brute Force Uninstaller, et le script edgeaccess.bfu (précédemment téléchargés) pour que 'loon soit définitivement débarassé de l'infection :

- Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

Etape 8 : Nettoyage des fichiers temporaires + registre

On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires :

=> Avec Easycleaner (pour les fichiers temporaires et le registre)

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

=> Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement)

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

=> Jv16 powertools (pour le nettoyage du registre uniquement)

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

(si il ya quelque chose qui t'échappe, sers toi du tuto de la page web :-( )

Etape 9 : Scan avec Ewido

On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis :

Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Etape 10 : Nettoyage du registre

On va à nouveau nettoyer ton registre avec Jv16, car la suppression des fichiers détectés par Ewido y a probablement laissé des traces :

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

Etape 11 : Redémarrage en mode normal

- Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5)

Etape 12 : Scan Panda + Scan Blacklight

* Scan Panda

Ne pouvant être effectué en mode sans échec, on va compléter le scan Ewido par un scan antivirus en ligne , celui de panda => http://www.pandasoftware.fr/Activescan/Activescan.html

- Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin)

Le tuto si tu bloques sur quelque chose --> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

* Scan Blacklight

Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) :

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans Un fichier texte (mets le sur le bureau par exemple). NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Etape 13 : Nouveau rapport Hijackthis

Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse

=======================================================================

Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse :

- Le rapport d'Ewido

- Le rapport de Panda (activescan.txt)

- Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt)

- Le nouveau rapport Hijackthis (généré en mode normal)

Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

A+

PS : Je ne serais sûrement pas là quand tu auras répondu (je pars en vacances). Il se peut donc qu'un autre membre te réponde :-P

Modifié le 8 juillet 2006 par tornado

moebuis · le 10 juillet 2006

Merci Tornado!

L'organisation pour produire une procedure precise si rapidement m'impressionne.

J'essaye ce soir

Bonne vacances..

Modifié le 10 juillet 2006 par moebuis

moebuis · le 13 juillet 2006

Bonjour,

Bon j'ai fini par arriver au bon. Je ne sais pas pourquoi mais ActiveScan se platait avant d'arriver au bout et je n'ai pas bien vu pourquoi car je ne restais pas devans le PC. D plus j'ai du aller un peu trop fort dans le clean de la registery car j'au re-installer mon interface wifi.

Il y a eu des connections internet dans la famille donc qq cookie sont revenues malgres une purge la veille.

Il a t il d'autres choses à faire ?

Merci pour l'aide en tout cas !

Moebuis

Ewido

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

+ Created at: 07:10:30 11/07/2006

+ Scan result:

C:\System Volume Information\_restore{A6DDFDFE-2041-4BCB-9FD1-ACCE6230D7AC}\RP313\A0174934.dll -> Dialer.EGroup.1021 : Cleaned with backup (quarantined).

C:\System Volume Information\_restore{A6DDFDFE-2041-4BCB-9FD1-ACCE6230D7AC}\RP313\A0174935.dll -> Dialer.EGroup.1025 : Cleaned with backup (quarantined).

C:\System Volume Information\_restore{A6DDFDFE-2041-4BCB-9FD1-ACCE6230D7AC}\RP315\A0176134.DLL -> Downloader.IstBar : Cleaned with backup (quarantined).

C:\Documents and Settings\Yse\Cookies\yse@247realmedia[1].txt -> TrackingCookie.247realmedia : Cleaned.

C:\Documents and Settings\Armand\Cookies\armand@2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\Armand\Cookies\armand@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\Mona\Cookies\mona@maxis.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\Mona\Cookies\mona@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@maxis.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.

C:\Documents and Settings\Armand\Cookies\armand@adtech[2].txt -> TrackingCookie.Adtech : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@adtech[2].txt -> TrackingCookie.Adtech : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@advertising[2].txt -> TrackingCookie.Advertising : Cleaned.

C:\Documents and Settings\Mona\Cookies\mona@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@atdmt[1].txt -> TrackingCookie.Atdmt : Cleaned.

C:\Documents and Settings\Armand\Cookies\armand@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned.

C:\Documents and Settings\Mona\Cookies\mona@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@bluestreak[2].txt -> TrackingCookie.Bluestreak : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@casalemedia[2].txt -> TrackingCookie.Casalemedia : Cleaned.

C:\Documents and Settings\Armand\Cookies\armand@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned.

C:\Documents and Settings\Mona\Cookies\mona@estat[1].txt -> TrackingCookie.Estat : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@estat[1].txt -> TrackingCookie.Estat : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@fastclick[2].txt -> TrackingCookie.Fastclick : Cleaned.

C:\Documents and Settings\Armand\Cookies\armand@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@overture[1].txt -> TrackingCookie.Overture : Cleaned.

C:\Documents and Settings\Armand\Cookies\armand@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Cleaned.

C:\Documents and Settings\Mona\Cookies\mona@revenue[1].txt -> TrackingCookie.Revenue : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@serving-sys[2].txt -> TrackingCookie.Serving-sys : Cleaned.

C:\Documents and Settings\Armand\Cookies\armand@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@tribalfusion[2].txt -> TrackingCookie.Tribalfusion : Cleaned.

C:\Documents and Settings\Mona\Cookies\mona@weborama[1].txt -> TrackingCookie.Weborama : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@weborama[2].txt -> TrackingCookie.Weborama : Cleaned.

C:\Documents and Settings\Yse\Cookies\yse@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Cleaned.

::Report end

ACtiveScan

Logfile of HijackThis v1.99.1

Scan saved at 21:30:54, on 13/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\NETGEAR\WG311v3\wlancfg5.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\PROGRA~1\COMMON~1\SYMANT~1\SECURI~1\NSCSRVCE.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =