Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

salut,

 

Voilà MON rapport hitjackthis, et non celui de mon amie (un autre sujet sur le même forum pour une amie à mon pseudo !!!) :P

 

 

mon pc rame, je pense à un virus, mais pas certaine, un petit coup de main serait le bienvenu.

d'avance merci

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:18:29, on 20/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX14.906\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: LXCFCustomerConnect - Unknown owner - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFserv.exe

O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Posté(e) (modifié)

Bonsoir,

 

Si tu penses etre infecté, applique la procédure préliminaire :

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com . Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) : http://speedweb1.free.fr/frames2.php?page=tuto5

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

- Redémarrer le PC en mode normal

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

 

auteur : megataupe

 

 

 

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX14.906\HijackThis.exe

Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.

Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe.

Si tu le laisses tel qu'il est actuellement, tu ne pourras pas conserver les sauvegardes des lignes fixées!

 

Je ne ferais pas l analyse de ton rapport. Je laisse le soin a mes collegues de t aider. Bonne soirée

Modifié par Jack_Burton
Posté(e) (modifié)

Bonsoir chanoly3, Jack,

 

 

Voilà pourquoi ton rapport Hijackthis n'est pas Ok :

 

 

Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.

Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe.

Si tu le laisses tel qu'il est actuellement, tu ne pourras pas conserver les sauvegardes des lignes fixées!

 

Je ne ferais pas l analyse de ton rapport. Je laisse le soin a mes collegues de t aider. Bonne soirée

 

 

Or tu as mis Hijackthis dans un répertoire temporaire :

 

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX14.906\HijackThis.exe

 

 

Et comme te l'a indiqué Jack_burton, applique la procédure préliminaire, car tu penses être infecté.

Tu remarqueras que, pendant cette procédure, on te demandera de mettre Hijackthis dans un réperoire dédié :P

 

 

A+ :P

Modifié par tornado
Posté(e)

bonjoure,

 

 

voilà j'ai refait mon hitjackthis mais pour ce qui est du rappoert de scan antivi impossible, arrive pas à le télécharger !!!

 

Logfile of HijackThis v1.99.1

Scan saved at 06:21:31, on 29/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\eoRezo\EoEngine.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX05.985\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\eoRezo\EoEngine.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

 

 

merci

Posté(e)

Salut chanoly3, bruce lee (pas de problèmes pour l'incruste :-P ),

 

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX05.985\HijackThis.exe

 

Tu n'as toujours pas déplacé Hijackthis.exe dans un repertoire dédié ... or c'est nécessaire pour pouvoir conserver les sauvegardes en cas de problème.

Par exemple, coupe Hijackthis.exe, crée un dossier au nom d'Hijackthis dans C:\Program files et colles-y Hijackthis.exe

 

Bon sinon ton rapport n'indique pas grand chose.

Il faudrait juste désinstaller Eorezo, car il fait afficher des popups dans le navigateurs.

On va aussi scanner ton système avec Ewido (nouvelle version), en mode sans échec, car Hijackthis ne détecte pas tout.

 

 

Voilà ce que tu vas pouvoir faire :

 

Re,

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver :-(

 

 

Autre solution : Tu peux également copier la procédure dans un fichier texte (avec la visiblité en moins), ou bien même l'imprimer (si tu as de l'encre à "gaspiller" :P )

 

======================================================================

 

 

Etape 1 : Téléchargement / installation des outils nécessaires

 

=> Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a)

 

- Ewido anti-malware --> http://www.ewido.net/en/download/

-- Avant toute chose, désinstalle l'ancienne version du logiciel, qui est installée sur ton système(démarrer > panneau de configuration > Ajouter ou supprimer des programmes)

-- Installe Ewido en suivant les instructions données par le logiciel

-- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

-- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

-- Ferme Ewido. Ne pas le lancer tout de suite.

- Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html

 

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page)

 

sauf si il y en a que tu possèdes déjà

 

 

Etape 2 : Redémarrage en mode sans échec

 

On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication :

 

- Redémarre l'ordinateur normalement pour commencer. Ensuite, au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite :P ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

- Le tuto si tu bloques sur quelque chose => http://www.informatruc.com/mode_sans_echec.php

 

 

Etape 3 : Désinstallation (normale) d'eoRezo

 

Va dans démarrer > panneau de configuration > Ajouter ou supprimer des programmes. Sélectionne alors les programmes suivants, et désinstalle-les en cliquant sur supprimer :

 

- eoRezo

 

 

Etape 4 : Utilisation d'Hijackthis/Suppression des lignes d'eoRezo

 

- Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) :

 

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL

 

O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\eoRezo\EoEngine.exe"

 

 

- Clique sur le bouton "Fix checked"

 

 

 

Etape 5 : Suppression du dossier d'eoRezo

 

Depuis l'explorateur Windows :

 

=> Supprime le dossiers suivant (en gras) :

 

C:\Program Files\eoRezo

 

=> Vide la corbeille

 

 

 

Etape 6 : Scan avec Ewido

 

On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis :

  • Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
     
  • Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
     
  • Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Etape 7 : Nettoyage des fichiers temporaires + registre

 

On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires :

 

=> Avec Easycleaner (pour les fichiers temporaires et le registre)

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

=> Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement)

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

  • Clique Firefox au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

  • Clique Opera au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

=> Jv16 powertools (pour le nettoyage du registre uniquement)

 

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

(si il ya quelque chose qui t'échappe, sers toi du tuto de la page web :P )

 

 

Etape 8 : Redémarrage en mode normal

 

- Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5)

 

 

Etape 9 : Nouveau rapport Hijackthis

 

 

Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse

 

======================================================================

 

Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse :

 

- Le rapport d'Ewido

- Le nouveau rapport Hijackthis (généré en mode normal)

 

 

A+ :P

Posté(e)

re,

 

avant de lancer le scan ewido et hijackthis, j'aimerai comprendre ce que j'ai fait de traver.

en fait j'ai télécharger hijak j'ai ensuite créé un nouveau dossier sur mon bureau que j'ai nommé "sécurité" , ai placé hijak dedans et ai mis le tout dans "mes documents".

c'est pas la bonne procédure d'après ce que j'ai pu comprendre !

 

 

pour eorezo je n'arrive pas à le désinstaller, il s'incruste :P Rien à faire, j'ai essayé à maintes reprises et rien à faire !!

 

merci.

 

 

(je m'occuperai dès rapports que tu m'as demandé dès demain car là il est l'heure du dodo ! :P )

Posté(e)

salut,

 

 

le week-end commence mal : il pleut. :P J'ai donc eu le temps de faire tout ce que tu m'as demandé, mise à part Easy cleaner qui ne fonctionne pas !!!

 

alors voilà les rapports :

 

 

1/ ewido :

 

 

 

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 09:02:32 22/07/2006

 

+ Scan result:

 

 

 

:mozilla.33:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Esomniture : Cleaned.

:mozilla.46:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Estat : Cleaned.

:mozilla.212:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Itrack : Cleaned.

:mozilla.213:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Itrack : Cleaned.

:mozilla.190:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Onestat : Cleaned.

:mozilla.191:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Onestat : Cleaned.

:mozilla.48:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.

:mozilla.49:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.

:mozilla.50:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.

:mozilla.51:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.

C:\Documents and Settings\Administrateur\Cookies\administrateur@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.196:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Statcounter : Cleaned.

:mozilla.197:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Statcounter : Cleaned.

:mozilla.68:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.

:mozilla.69:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.

:mozilla.70:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.

C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> TrackingCookie.Weborama : Cleaned.

:mozilla.243:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.

:mozilla.244:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\y5rcgw4r.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.

 

 

::Report end

 

 

 

 

 

2/ hijackthis mode normal :

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 09:34:01, on 22/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.281\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

 

 

 

Voilà je te souhaite bon courage pour l'étude et te remercie de ton aide. :P

Posté(e) (modifié)

Re,

 

avant de lancer le scan ewido et hijackthis, j'aimerai comprendre ce que j'ai fait de traver.

en fait j'ai télécharger hijak j'ai ensuite créé un nouveau dossier sur mon bureau que j'ai nommé "sécurité" , ai placé hijak dedans et ai mis le tout dans "mes documents".

c'est pas la bonne procédure d'après ce que j'ai pu comprendre !

 

Ce n'est pourtant pas le cas quand on regarde ton dernier log:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.281\HijackThis.exe

 

Ton Hijackthis.exe est mal placé (répertoire temporaire).

 

Ce que tu peux faire, c'est supprimer :

 

C:\Documents and Settings\Administateur\Local S\Temp\Rar$EX01.281\HijackThis.exe

 

Ensuite, tu crées un dossier Hijackthis (dans tes documents par exemple, du moment que ce n'est pas un répertoire temporaire), et tu retélécharges Hijackthis.exe en l'enregistrant directement dans le dossier Hijackthis préaalablement créé.

 

 

Bon sinon, ton nouveau rapport Hijackthis est propre, plus de traces d'eoRezo :P

Et Ewido n'a trouvé que des cookies...

 

Tu vas quand même faire ces 2 scans, pour vérifier que ton système est sain (même si je pense de moins en moins à la piste de l'infection, il vaut mieux être prudent) :

 

===============================================================

 

* Scan Av en ligne : Panda Activescan

 

- Commence par désactiver le bouclier Web d'avast ( clic droit sur pasdenom3io.jpg dans la barre des tâches => arrêter le service => bouclier web ) car l'activex de panda et avast entrent en conflit. Ne t'inquiète pas, tu ne risques rien

 

- Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html

 

- Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin)

- Réactive le bouclier Web d'avast

 

* Scan anti-rootkit : Blacklight

 

Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) :

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

========================================================

 

N'oublie pas de mettre dans ta prochaine réponse :

 

- Le rapport de Panda (activescan.txt)

- Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt)

 

 

A+ :P

 

 

 

PS: Tu peux remplacer Easycleaner par CCleaner. Voici son mode d'emploi :

 

Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

  • Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
  • Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
  • Clique sur Analyse
  • Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
  • Une fois le scan terminé, clique sur Lancer le Nettoyage

-=Suppression des incohérence du registre=-

  • Clique sur l'icône Erreurs situé dans la marge à gauche.
  • Puis clique sur Analyser les erreurs
  • Patiente pendant que CCleaner scanne ton registre.
  • Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
  • Tu peux cliquer ensuite sur Corriger les erreurs.
  • Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

Modifié par tornado

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...