[Epinglé] Virus Alert !

[Gonzo Bonzo]

Bonsoir,

 

J'ai chopé cette saloperie. Je me suis un peu renseigné avant, j'ai téléchargé pas mal des applis mentionnées pour solutionner le problème, j'ai lancé un scan HijackThis, mais bien sûr, je ne sais pas quoi virer dessus. Est-ce qu'une bonne âme pourrait m'aider SVP :

 

Logfile of HijackThis v1.99.1

Scan saved at 23:08:43, on 12/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\Eric\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~2\fdcatch.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\PROGRA~1\FRESHD~1\FRESHD~2\fdiebar.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe

O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copie 1)" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32 /S CTASIO.DLL

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [setDefaultMIDI] MIDIDef.exe

O4 - HKCU\..\Run: [AutoEA] C:\Program Files\Creative\SBLive\AudioHQ\ahqrun.exe "C:\Program Files\Creative\ShareDLL\AHQ\CTAutoEA.ahq" 0

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Startup: EverNote.lnk = C:\Program Files\EverNote\EverNote\EverNote.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DataViz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll

O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll

O9 - Extra button: FreshDownload - {C3E8E900-F967-44BF-A26B-2966C49FDDAA} - C:\Program Files\FreshDevices\FreshDownload\fd.exe

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\system32\mzoeut.dll

O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\acer\Acer eConsole\MediaServerService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing)

 

Merci d'avance,

 

G.B

Modifié le 14 juillet 2006 par Gonzo Bonzo

[regis56]

Bonsoir Gonzo Bonzo et bienvenue sur le forum zeb-sécu !

 

Voici ce que tu vas devoir faire :

 

1ére étape :

 

Télécharger la version d'évaluation Ewido anti-spyware

1. Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
    
   
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
    
   
3. Ferme Ewido. Ne pas le lancer tout de suite.
   

Télécharger ATF Cleaner par Atribune.

http://www.atribune.org/ccount/click.php?id=1

 

Télécharger SmitfraudFix de S!Ri sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

-Son tutorial

http://siri.urz.free.fr/Fix/SmitfraudFix.php

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

Utilisation ----- option 1 - Recherche :

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

 

Poster le rapport sur le forum et continuer la procédure.

 

2éme étape : Le nettoyage !

 

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage

ou tuto Symantec).

http://service1.symantec.com/support/inter...020905112131924

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

 

Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

Ensuite double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran

et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention : l'option 2 de l'outil supprime le fond d'écran !

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

Relancer Ewido

• Cliquer sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
   
  
• Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
   
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre le rapport de Smitfraudfix

-Mettre un nouveau rapport HijackThis

-Poster le rapport Ewido

-Indiquer si le Pc présente encore des dysfonctionnements

 

A plus et bon courage !

[Gonzo Bonzo]

Bon... ben je sais ce que je fais ce soir...

 

Merci en tout cas. Je te teins au jus.

 

G.B

[regis56]

Ok à ce soir alors

[Gonzo Bonzo]

Bonsoir regis56,

 

Bon, désolé je suis rentré tard.

 

Comme demandé voici le rapport SmitFraudFix.

 

Je retourne à ma tambouille.

 

SmitFraudFix v2.70

 

Rapport fait à 22:49:38,75, 13/07/2006

Executé à partir de C:\Documents and Settings\Eric\Bureau

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\dxole32.exe PRESENT !

C:\WINDOWS\system32\ld???.tmp PRESENT !

C:\WINDOWS\system32\ld????.tmp PRESENT !

C:\WINDOWS\system32\mzoeut.dll PRESENT !

C:\WINDOWS\system32\ot.ico PRESENT !

C:\WINDOWS\system32\regperf.exe PRESENT !

C:\WINDOWS\system32\1024\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Eric\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ERIC\FAVORIS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

A+

 

G.B

[regis56]

Bonsoir Gonzo Bonzo !

 

Ok le premier rapport montre les fichiers infectieux !

 

Tu peut continuer la procédure sans problème.

 

A plus.

[Gonzo Bonzo]

Alors... Il semblerait bien que tout marche normalement. En tout cas je n'ai plus le pop up.

 

Voilà les rapports finaux.

 

Logfile of HijackThis v1.99.1

Scan saved at 00:16:47, on 14/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\acer\Acer eConsole\MediaServerService.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Acer\eRecovery\Monitor.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Acer\Acer eMode Management\AspireService.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Acer\Acer eConsole\MediaSync.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\system32\CTXFIHLP.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\DvzCommon\DvzMsgr.exe

C:\Program Files\EverNote\EverNote\EverNote.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\Documents and Settings\Eric\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~2\fdcatch.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\PROGRA~1\FRESHD~1\FRESHD~2\fdiebar.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe

O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copie 1)" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32 /S CTASIO.DLL

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [setDefaultMIDI] MIDIDef.exe

O4 - HKCU\..\Run: [AutoEA] C:\Program Files\Creative\SBLive\AudioHQ\ahqrun.exe "C:\Program Files\Creative\ShareDLL\AHQ\CTAutoEA.ahq" 0

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Startup: EverNote.lnk = C:\Program Files\EverNote\EverNote\EverNote.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DataViz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll

O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll

O9 - Extra button: FreshDownload - {C3E8E900-F967-44BF-A26B-2966C49FDDAA} - C:\Program Files\FreshDevices\FreshDownload\fd.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{ADCFB472-AF95-42B0-B080-69F2F9674656}: NameServer = 80.10.246.1 80.10.246.132

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\acer\Acer eConsole\MediaServerService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing)

 

 

SmitFraudFix v2.70

 

Rapport fait à 22:58:37,81, 13/07/2006

Executé à partir de C:\Documents and Settings\Eric\Bureau

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\system32\dxole32.exe supprimé

C:\WINDOWS\system32\ld???.tmp supprimé

C:\WINDOWS\system32\mzoeut.dll supprimé

C:\WINDOWS\system32\ot.ico supprimé

C:\WINDOWS\system32\regperf.exe supprimé

C:\WINDOWS\system32\1024\ supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 00:07:33 14/07/2006

 

+ Scan result:

 

 

 

C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBugTransporter.dll -> Adware.Minibug : Cleaned with backup (quarantined).

:mozilla.140:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.

:mozilla.141:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.

:mozilla.142:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.

:mozilla.143:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.

:mozilla.144:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.

:mozilla.145:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.

:mozilla.146:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.

:mozilla.138:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.139:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.147:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.148:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.149:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.150:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.151:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.152:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.153:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.154:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.155:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.156:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.423:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.537:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Adserver : Cleaned.

:mozilla.538:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Adserver : Cleaned.

:mozilla.162:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Adtech : Cleaned.

:mozilla.163:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Adtech : Cleaned.

:mozilla.597:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Bluestreak : Cleaned.

:mozilla.583:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Comclick : Cleaned.

:mozilla.584:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Comclick : Cleaned.

:mozilla.585:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Comclick : Cleaned.

:mozilla.39:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned.

:mozilla.276:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Estat : Cleaned.

C:\Documents and Settings\Flo\Cookies\flo@estat[1].txt -> TrackingCookie.Estat : Cleaned.

:mozilla.18:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.20:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.21:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.24:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.25:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.28:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.40:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Falkag : Cleaned.

:mozilla.697:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Googleadservices : Cleaned.

:mozilla.430:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Overture : Cleaned.

:mozilla.431:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Overture : Cleaned.

:mozilla.439:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Overture : Cleaned.

:mozilla.447:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Qksrv : Cleaned.

:mozilla.448:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Qksrv : Cleaned.

:mozilla.449:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Questionmarket : Cleaned.

:mozilla.641:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Realtracker : Cleaned.

:mozilla.207:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.

:mozilla.473:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.

:mozilla.474:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.

:mozilla.475:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.

:mozilla.476:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.

:mozilla.594:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Sitestat : Cleaned.

:mozilla.19:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.22:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.23:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.26:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.158:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Specificclick : Cleaned.

:mozilla.492:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Tacoda : Cleaned.

:mozilla.493:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Tacoda : Cleaned.

:mozilla.503:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.

:mozilla.504:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.

:mozilla.505:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.

:mozilla.506:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.

:mozilla.507:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.

:mozilla.508:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.

:mozilla.509:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.

:mozilla.517:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.

:mozilla.518:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.

:mozilla.519:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.

:mozilla.552:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned.

:mozilla.539:C:\Documents and Settings\Flo\Application Data\Mozilla\Firefox\Profiles\5fqfdk49.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.

 

 

::Report end

 

Dernière petite question, qu'est-ce que je fais avec Ewido. Je l'achète ? je le désinstalle ?

 

En tout cas merci,

 

G.B

[regis56]

Bonjour Gonzo Bonzo !

 

Bien on va continuer comme ceci

 

Peut tu faire un scan en ligne ici STP ?

http://www.kaspersky.com/virusscanner

tuto d'aide ici

http://www.malekal.com/scan_Av_en_ligne.html

 

A plus.

[Gonzo Bonzo]

Salut regis56,

 

Voilà le rapport Kapersky

 

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER REPORT

Friday, July 14, 2006 10:09:54 AM

Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.83.0

Kaspersky Anti-Virus database last update: 14/07/2006

Kaspersky Anti-Virus database records: 194846

-------------------------------------------------------------------------------

 

Scan Settings:

Scan using the following antivirus database: standard

Scan Archives: true

Scan Mail Bases: true

 

Scan Target - Folders:

C:\

D:\

 

Scan Statistics:

Total number of scanned objects: 83222

Number of viruses found: 4

Number of infected objects: 16 / 0

Number of suspicious objects: 0

Duration of the scan process: 00:37:34

 

Infected Object Name / Virus Name / Last Action

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\SYSTEM Object is locked skipped

C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped

C:\WINDOWS\system32\config\DEFAULT Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped

C:\WINDOWS\Temp\JET67C2.tmp Object is locked skipped

C:\WINDOWS\Temp\Perflib_Perfdata_51c.dat Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Eric\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Eric\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Eric\Local Settings\Temp\JET7DA.tmp Object is locked skipped

C:\Documents and Settings\Eric\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Eric\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Eric\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Eric\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Eric\Local Settings\Application Data\Mozilla\Firefox\Profiles\kj82wprw.default\Cache\_CACHE_MAP_ Object is locked skipped

C:\Documents and Settings\Eric\Local Settings\Application Data\Mozilla\Firefox\Profiles\kj82wprw.default\Cache\_CACHE_001_ Object is locked skipped

C:\Documents and Settings\Eric\Local Settings\Application Data\Mozilla\Firefox\Profiles\kj82wprw.default\Cache\_CACHE_002_ Object is locked skipped

C:\Documents and Settings\Eric\Local Settings\Application Data\Mozilla\Firefox\Profiles\kj82wprw.default\Cache\_CACHE_003_ Object is locked skipped

C:\Documents and Settings\Eric\Mes documents\My EverNote Files\DataBases\EverNote.enb Object is locked skipped

C:\Documents and Settings\Eric\Mes documents\My EverNote Files\DataBases\EverNote.enl Object is locked skipped

C:\Documents and Settings\Eric\Mes documents\My EverNote Files\DataBases\EverNote.enr Object is locked skipped

C:\Documents and Settings\Eric\Mes documents\My EverNote Files\DataBases\EverNote.eni Object is locked skipped

C:\Documents and Settings\Eric\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Eric\Application Data\Mozilla\Firefox\Profiles\kj82wprw.default\history.dat Object is locked skipped

C:\Documents and Settings\Eric\Application Data\Mozilla\Firefox\Profiles\kj82wprw.default\cert8.db Object is locked skipped

C:\Documents and Settings\Eric\Application Data\Mozilla\Firefox\Profiles\kj82wprw.default\key3.db Object is locked skipped

C:\Documents and Settings\Eric\Application Data\Mozilla\Firefox\Profiles\kj82wprw.default\parent.lock Object is locked skipped

C:\Documents and Settings\Eric\Application Data\Mozilla\Firefox\Profiles\kj82wprw.default\formhistory.dat Object is locked skipped

C:\Documents and Settings\Eric\Application Data\Thunderbird\Profiles\xk7nmg92.default\Mail\pop.wanadoo.fr\Inbox/[From =?iso-8859-1?Q?Le_Service_Messages_Ind=E9sirables_Wanadoo?= <messagesindesirables@wanadoo.fr>][Date Sun, 18 Dec 2005 06:23:35 +0100 (CET)]/html/[From "Ericholms" <ericholms@cox.net>][Date Fri, 16 Jun 2006 13:38:00 +0000]/UNNAMED/UNNAMED/15-06-2006.exe Infected: Email-Worm.Win32.Bagle.gh skipped

C:\Documents and Settings\Eric\Application Data\Thunderbird\Profiles\xk7nmg92.default\Mail\pop.wanadoo.fr\Inbox/[From =?iso-8859-1?Q?Le_Service_Messages_Ind=E9sirables_Wanadoo?= <messagesindesirables@wanadoo.fr>][Date Sun, 18 Dec 2005 06:23:35 +0100 (CET)]/html/[From "Ericholms" <ericholms@cox.net>][Date Fri, 16 Jun 2006 13:38:00 +0000]/UNNAMED/UNNAMED Infected: Email-Worm.Win32.Bagle.gh skipped

C:\Documents and Settings\Eric\Application Data\Thunderbird\Profiles\xk7nmg92.default\Mail\pop.wanadoo.fr\Inbox/[From =?iso-8859-1?Q?Le_Service_Messages_Ind=E9sirables_Wanadoo?= <messagesindesirables@wanadoo.fr>][Date Sun, 18 Dec 2005 06:23:35 +0100 (CET)]/html/[From "Ericholms" <ericholms@cox.net>][Date Fri, 16 Jun 2006 13:38:00 +0000]/UNNAMED Infected: Email-Worm.Win32.Bagle.gh skipped

C:\Documents and Settings\Eric\Application Data\Thunderbird\Profiles\xk7nmg92.default\Mail\pop.wanadoo.fr\Inbox/[From =?iso-8859-1?Q?Le_Service_Messages_Ind=E9sirables_Wanadoo?= <messagesindesirables@wanadoo.fr>][Date Sun, 18 Dec 2005 06:23:35 +0100 (CET)]/html Infected: Email-Worm.Win32.Bagle.gh skipped

C:\Documents and Settings\Eric\Application Data\Thunderbird\Profiles\xk7nmg92.default\Mail\pop.wanadoo.fr\Inbox Mail Berkeley mbox: infected - 4 skipped

C:\Documents and Settings\Eric\Application Data\Thunderbird\Profiles\xk7nmg92.default\Mail\pop.wanadoo.fr\Trash/[From "Erland Lariviere" <erlano@cbschweitzer.com>][Date Sun, 2 Jul 2006 00:59:00 -0700]/UNNAMED/[From AK <Arkady_Knight@yahoo.fr>][Date Sun, 02 Jul 2006 11:48:36 +0200]/UNNAMED/[From MidAmerica Bank <aw-conf@midamerica.com>][Date Mon, 03 Jul 2006 10:15:49 -0500]/html Infected: Trojan-Spy.HTML.Bankfraud.pd skipped

C:\Documents and Settings\Eric\Application Data\Thunderbird\Profiles\xk7nmg92.default\Mail\pop.wanadoo.fr\Trash/[From "Erland Lariviere" <erlano@cbschweitzer.com>][Date Sun, 2 Jul 2006 00:59:00 -0700]/UNNAMED/[From AK <Arkady_Knight@yahoo.fr>][Date Sun, 02 Jul 2006 11:48:36 +0200]/UNNAMED Infected: Trojan-Spy.HTML.Bankfraud.pd skipped

C:\Documents and Settings\Eric\Application Data\Thunderbird\Profiles\xk7nmg92.default\Mail\pop.wanadoo.fr\Trash/[From "Erland Lariviere" <erlano@cbschweitzer.com>][Date Sun, 2 Jul 2006 00:59:00 -0700]/UNNAMED Infected: Trojan-Spy.HTML.Bankfraud.pd skipped

C:\Documents and Settings\Eric\Application Data\Thunderbird\Profiles\xk7nmg92.default\Mail\pop.wanadoo.fr\Trash Mail Berkeley mbox: infected - 3 skipped

C:\Program Files\acer\Acer eConsole\AcerDB.mdb Object is locked skipped

C:\Program Files\acer\Acer eConsole\AcerDB.ldb Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\debug.log Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\debug.log.idx Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\error.log Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\error.log.idx Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\hips.log Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\hips.log.idx Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\ids.log Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\ids.log.idx Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\network.log Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\network.log.idx Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\system.log Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\system.log.idx Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\warning.log Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\warning.log.idx Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\web.log Object is locked skipped

C:\Program Files\Sunbelt Software\Personal Firewall 4\logs\web.log.idx Object is locked skipped

C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP243\A0058886.exe/data0007 Infected: Trojan-Downloader.Win32.Zlob.yg skipped

C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP243\A0058886.exe/data0008 Infected: Trojan-Downloader.Win32.Zlob.yg skipped

C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP243\A0058886.exe NSIS: infected - 2 skipped

C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP243\A0058886.exe UPX: infected - 2 skipped

C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP243\A0058886.exe PE_Patch.UPX: infected - 2 skipped

C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP243\A0059111.dll Infected: not-virus:Hoax.Win32.Renos.dw skipped

C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP243\A0059113.exe Infected: Trojan-Downloader.Win32.Zlob.yg skipped

C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP243\change.log Object is locked skipped

 

Scan process completed.

 

Marrant qu'li ait trouvé des trucs, alors que j'ai lancé un scan avec Avast avant hier, et qu'il n'a rien trouvé.

 

A+

 

G.B

Modifié le 14 juillet 2006 par Gonzo Bonzo

[regis56]

bonsoir Gonzo Bonzo !

 

Bon tu as un peu de ménage à faire dans tes Emails !

 

Sauvegarde tout les mails importants et dont tu est sur à 100% !

Supprime tout les autres !

 

Le reste montre que c'est ta restauration systeme qui est infecté on va s'en occuper plus tard !

 

Ton systeme une fois tes mails supprimés sera propre bravo tu as bien travaillé !

 

Quelques conseils :

 

Avant tout supprimer les outils qui nous ont servit pendant la désinfection !

 

HijackThis tu n'en a plus besoin sauf si tu veut le garder ! sinon

C:\Documents and Settings\Eric\Bureau\HijackThis.exe <= supprime le !

Ewido tu n'en as plus besoin sauf si tu veut le garder ! il reste très efficace même après les 14 jours il perd juste la protection résidente !

ATFCleaner tu n'en as plus besoin sauf si tu veut le garder !

Smitfraudfix tu n'en a plus besoin !

 

 

-Rétablir l'affichage :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Options des dossiers, onglet Affichage :

Activer l'option : Ne pas afficher les fichiers et dossiers cachés

Activer l'option : Masquer les fichiers protégés du système d'exploitation

Laisser désactivé : Masquer les extensions des fichiers dont le type est connu

 

-Créer un point de restauration et supprimer les anciens !: (aide visuelle http://assiste.free.fr/p/comment/activer_d...estauration.php )

Cliquer avec le bouton droit sur l'icône Poste de travail, puis cliquer sur Propriétés.

Cliquer sur l'onglet «Restauration du système».

Sélectionner «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquer sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquer sur Oui.

Cliquer sur OK, redémarrer le PC. Faire l'opération inverse, et réactiver la restauration:un nouveau point sera automatiquement créé.

 

1/ La mise à jour du système :

Je te conseille vivement de mettre à jour ton système !

(Démarrer/Windows Update)

Le fait de mettre ton système à jour corrigera toutes les failles de sécurité utilisées par les virus et autres malwares !

Pour mettre en automatique faire ceci :

 

Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

Mises à jour automatiques

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Démarrer,

puis dérouler le Type de Démarrage pour le modifier en Automatique

Cliquer sur Appliquer puis OK

 

 

2/ L'antivirus :

Installer un antivirus plus efficace que morton tel que AVAST ou Antivir

Un antivirus est un logiciel censé protéger un micro-ordinateur contre les programmes néfastes appelés virus, vers, macrovirus, etc.

 

Les principaux antivirus du marché se fondent sur des fichiers de signatures et comparent alors la signature génétique du virus aux codes à vérifier. Certains programmes appliquent également la méthode dite heuristique tendant à découvrir un code malveillant par son comportement. Autre méthode, l'analyse de forme repose sur du filtrage basé entre des règles regexp ou autres, mises dans un fichier junk. Cette dernière méthode peut être très efficace pour les serveurs de courriels supportant les regexp type postfix puisqu'elle ne repose pas sur un fichier de signatures.

 

Lire l'article dans le prochain lien qui donne en autres toutes les informations pour trouver et télécharger un antivirus et les adresses pour scanner en lignes !

http://forum.zebulon.fr/index.php?act=ST&a...t=0#entry487252

 

 

3/ le pare-feu :

Installer un firewall autre que celui proposé par XP Choisir kério avec Avast et Zone Alarme pour Antivir (C'est des exemples tu peut choisir ce que tu veut ! Mais éviter l'association Avast avec Zone alarme)

En informatique, un pare-feu est un dispositif logiciel ou matériel qui filtre le flux de données sur un réseau informatique. Il est parfois appelé coupe-feu ou encore firewall.

 

-pour télécharger zone alarm:

http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

-son tutorial:

http://www.zebulon.fr/articles/configurationZA_1.php

 

-pour télécharger JETICO:

http://www.trad-fr.com/Fiches/fiche_Jetico.htm

-à parcourrir

http://www.open-files.com/article0386.html

-son tutorial:

http://www.open-files.com/forum/index.php?showtopic=29277

 

4/ Le navigateur internet :

Utiliser un navigateur sécurisé tel que FIRE FOX

http://telechargement.zebulon.fr/license-1-100.html

 

Et le sécuriser encore plus en allant voir le lien ici:

http://forum.zebulon.fr/index.php?showtopic=69628

 

Si jamais Internet Explorer est gardé

 

Utiliser IE-SPYAD:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

Pour Internet Explorer uniquement ! ( Une fois l'utilitaire dé-zippé dans son dossier, cliquer sur le fichier ie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! )

http://www.spywarewarrior.com/uiuc/resource.htm

Un conseil important:

Dans Internet Explorer, il faut mieux gérer les contrôles ActiveX:

Ce qu'ils sont: http://assiste.free.fr/p/internet_attaques/activex.php

S'en protéger: http://assiste.free.fr/p/internet_contre_m...nti_activex.php

 

Un conseil:

Il faudrait modifier la gestion des cookies, et ne plus accepter n'importe quoi.

Dans Firefox, Outils--->Options, Menu Vie privée, Onglet Cookies, si "Autoriser les sites à créer des cookies" est coché, cocher la case devant "pour le site Web d'origine seulement".

Dans IE, Outils--->Options internet, Onglet Confidentialité, Bouton Avancé dans le paragraphe Paramètres. Cocher "Ignorer la gestion automatique des cookies", cocher "Demander" pour les cookies internes, et cocher "Refuser" pour les Cookies tierce partie.

 

Un conseil:

Installer Java de Sun.

http://assiste.free.fr/p/internet_contre_m...s/anti_java.php

Version actuelle: JRE 5.0 Update 6

http://java.sun.com/j2se/1.5.0/download.jsp

 

5/ Les systèmes de protections annexes :

 

Télécharger et installer Zeb'Protect dans son répertoire

(Programme fermant certains ports sensibles aux attaques venant d'Internet.)

http://telechargement.zebulon.fr/license-1-123.html

Un tutorial sur l’utilisation de Zeb Protect est disponible ici:

http://www.zebulon.fr/articles/zebprotect.php

 

télécharger Ad-Aware SE Personal et installer dans son répertoire

(Programme faisant partie des anti-malwares )

http://telechargement.zebulon.fr/license-1-36.html

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

 

télécharger Spybot - Search & Destroy et installer dans son répertoire

(Programme faisant partie des anti-malwares )

http://telechargement.zebulon.fr/license-1-79.html

Pour une utilisation approfondie de ce logiciel, consulter l'article Configurer Spybot-Search & Destroy.

http://www.zebulon.fr/articles/spybot_1.php

 

6/ Le comportement :

Avoir une attitude responsable devant l'outil Internet

(Eviter les sources d'infections telle que sites XXX/warez et les logiciels de p2p)

 

7/ La maintenance :

Faire la maintenance de son Pc

-Une fois par semaine Scanner avec Ewido ou ad-aware ou Spybot et Nettoyer avec Easycleaner(sans toucher à la fonction doublon).

(En suivant les instructions données précédemment)

-Une fois par mois défragmenter les Disques Durs.

-Une fois par mois Scanner avec un antivirus en ligne.

 

8/ La prévention :

Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware :

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que

les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

Plus d'info sur le topic d'ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

Si tu pense que ton problème est résolu peut tu marquer résolu devant le titre de ton sujet ?

 

Tu va sur ton premier message ici

http://forum.zebulon.fr/index.php?s=&s...st&p=775684

 

Tu clic sur le bouton en bas à droite Editer tu choisi Edition complète et tu pourra changer le titre

 

Au revoir et à bientôt sur zéb !!