probleme resolu merci Analyse rapports HijackThis

regis56 · le 12 juillet 2006

Bonsoir gamins !

Bon un peu de nettoyage en perspective

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC.

Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware )

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,
Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

-Vérifier d'avoir accès à tous les fichiers :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

Maintenant on va supprimer manuellement les fichiers infectieux !

Avant de supprimer quelque chose toujours noter la date et l'heure de création et communiquer les informations lors de la prochaine réponse.

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge c:\program files\

Le dossier va s'ouvrir

Supprime le dossier indiqué en gras:

GotSmiley(clique droit /supprimer)

Répète l'opération pour celui là

c:\program files\fichiers communs\

ErrorSafe

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" -

"Browser Cookies" puis clique sur "Find".

Lorsque le scan est terminé,clique sur "Delete all".

Relancer Ewido

Clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

-Redémarrer en mode normal :

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Poster le rapport Ewido

-Indiquer si le Pc présente encore des dysfonctionnements

Après avoir posté ta réponse :

Peux-tu faire s'il te plait un scan en ligne?=>

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrives pas : tutorial

A plus et bon courage !

gamins · le 13 juillet 2006

voici les rapport la pc en lui meme magnifique rien a dire super cool d'apendre plein de truc comme ca

Logfile of HijackThis v1.99.1

Scan saved at 11:15:38, on 13/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ewido anti-malware\oldewido.exe

C:\Documents and Settings\Administrateur\Mes documents\nettoyage\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Barre d'outils de MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-be\msntb.dll

O3 - Toolbar: Barre d'outils de MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-be\msntb.dll

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O9 - Extra button: (no name) - {12345678-1234-1234-1234-1234567890AB} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/a...zylomloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

ewido anti-malware - Rapport de scan

---------------------------------------------------------

+ Créé le: 11:13:55, 13/07/2006

+ Somme de contrôle: E20E4D7C

+ Résultats du scan:

C:\Documents and Settings\user\Cookies\user@ads.pointroll[2].txt -> TrackingCookie.Pointroll : Nettoyer et sauvegarder

C:\Documents and Settings\user\Cookies\user@adtech[2].txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder

C:\Documents and Settings\user\Cookies\user@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\user\Cookies\user@casalemedia[1].txt -> TrackingCookie.Casalemedia : Nettoyer et sauvegarder

C:\Documents and Settings\user\Cookies\user@citi.bridgetrack[1].txt -> TrackingCookie.Bridgetrack : Nettoyer et sauvegarder

C:\Documents and Settings\user\Cookies\user@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\user\Cookies\user@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Nettoyer et sauvegarder

C:\Documents and Settings\user\Cookies\user@microsoftwga.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\user\Cookies\user@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\user\Cookies\user@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

C:\Documents and Settings\user\Cookies\user@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

::Fin du rapport

la scan en ligne

Incident Statut Analyse

Adware:adware/gator.gotsmiley No Désinfecté Registre Windows

Spyware:Cookie/Cgi-bin No Désinfecté C:\Documents and Settings\user\Cookies\user@cgi-bin[1].txt

Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\user\Cookies\user@metriweb[1].txt

regis56 · le 13 juillet 2006

Bonsoir gamins !

Bon il reste des traces dans le registre.

Voici ce que tu vas faire :

Suit ce tuto STP

http://www.zebulon.fr/articles/base-de-registre-1.php

Ensuite refais un scan panda pour vérifier.

A plus !

gamins · le 14 juillet 2006

je te remercie je ferais sa demain sa a lair d'etre long comme procedure

aujourd'hui sa a ete une journee famille sa a ete super coll on sais bien marer

a demain

gamins · le 15 juillet 2006

ouf pas evindent du tous faire sa j'espere ne pas metre tromper

voici le rapport du scan

Incident Statut Analyse

Adware:adware/gator.gotsmiley No Désinfecté Registre Windows

Adware:Adware/Gator No Désinfecté C:\Program Files\Global Fireworks Screensaver\GF1Helper.exe

Adware:Adware/Gator No Désinfecté C:\Program Files\Global Fireworks Screensaver\GF1Uninstaller.exe

Outil indésirable:Application/ErrorSafe No Désinfecté C:\RECYCLER\S-1-5-21-448539723-362288127-682003330-500\Dc2\PCheck.dll

Modifié le 15 juillet 2006 par gamins

regis56 · le 16 juillet 2006

Bonjour gamins !

Bon il ya encore du ménage à faire !

Voici ce que tu vas devoir faire STP

On va créer un outil pour modifier la base de registre pour éliminer les traces d'infections !

1/Faire une sauvegarde du registre

Cliquer sur démarrer/executer

Taper ou copier/coller :

regedit /e Sav.reg

Cliquer sur Ok

Le fichier de sauvegarde se trouve ici

C:\Documents and Settings\Le nom de ta session\Sav.reg

2/ Créer un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

REGEDIT4

[-HKEY_CLASSES_ROOT\CLSID\{309A4386-D229-42DD-BA17-983747DA35B0}]

[-HKEY_CLASSES_ROOT\Interface\{6DA65196-9CF9-48C9-9DB2-28742FCC56BE}]

[-HKEY_CLASSES_ROOT\TypeLib\{B699B1B8-ADD0-4835-8602-1548200FCDD5}]

[-HKEY_CLASSES_ROOT\GSYOutlookAddin.GSYAddinObj]

[-HKEY_CLASSES_ROOT\GSYOutlookAddin.GSYAddinObj.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\AppInfo\GotSmiley]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\GotSmiley]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\GotSmiley]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Addins\GSYOutlookAddin.GSYAddinObj]

[-HKEY_ALL_USERS\SOFTWARE\Gator.com\GotSmiley]

[-HKEY_ALL_USERS\SOFTWARE\Microsoft\Office\Outlook\Addins\GSYOutlookAddin.GSYAddinObj]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"GotSmiley" =-

-Enregistre ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

Sur le bureau tu dois avoir ce remove.

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC.

Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware )

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,
Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

- Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.

- Elimine le fichier reg.

-Vérifier d'avoir accès à tous les fichiers :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

Maintenant on va supprimer manuellement les fichiers infectieux !

Avant de supprimer quelque chose toujours noter la date et l'heure de création et communiquer les informations lors de la prochaine réponse.

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\Program Files\

Le dossier va s'ouvrir

Supprime le dossier indiqué en gras:

Global Fireworks Screensaver(clique droit /supprimer)

Vider la poubelle !

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" -

"Browser Cookies" puis clique sur "Find".

Lorsque le scan est terminé,clique sur "Delete all".

Relancer Ewido

Clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

-Redémarrer en mode normal :

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Poster le rapport Ewido

-Indiquer si le Pc présente encore des dysfonctionnements

Après avoir posté ta réponse :

Peux-tu faire s'il te plait un scan en ligne?=>

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrives pas : tutorial

A plus et bon courage !

gamins · le 16 juillet 2006

Explique moi stp

Quand tu demandes de tape regedit

----------------------------------------------

1/Faire une sauvegarde du registre

Cliquer sur démarrer/executer

Taper ou copier/coller :

regedit /e Sav.reg

Cliquer sur Ok

Le fichier de sauvegarde se trouve ici

C:\Documents and Settings\Le nom de ta session\Sav.reg

Doit t-il se passer quelque chose la quand je fait ok on vois qu’il cherche mais rien ne safiche

Par contre par le chemin d’accès que tu note je l’ai trouve lui j’en fait une sauvr-egarde au cas ou

(Juste au passage je vient de passer 4 heure à répare le pc de un ami qui n’avais plus accès a internet, sa été une prise de tête, mais bon mission accomplie après de mainte réflexion, et quelque manipulation) la j’ai les idée un peu confuse dsl

A+ merci

regis56 · le 16 juillet 2006

Re

C:\Documents and Settings\Le nom de ta session\Sav.reg

Si le fichier Sav.reg existe c'est que la manip à reussi !

Tu peut alors continuer la procédure.

A plus.

gamins · le 16 juillet 2006

re voici les rapport

easycleaner na pas pu suprimer ses fichier

Nom Taille Type Modifié Attr. Version du fichier Version du produit

C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5 0 13/07/2006 10:00:56 S

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5 0 13/07/2006 9:58:38 S

C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat 32768 16/07/2006 18:23:10 A

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat 32768 Fichier DAT 16/07/2006 18:23:10 A

rapport suivant