[RESOLU] rapport

[Sousou]

Salut Kevin,

 

 

Il n'y a plus de dysfonctionnements à part qu'il est toujours aussi lent et qu'il y a toujours cette pub DOCTOR 2006 qui s'affiche tout le temps. A si sur msn le fond d'écrand qui c'est installé n'est tooujours pas parti.

 

Et pour le fichier Defy Blue.exe je sais pas si je l'est suprimé

[Sousou]

Je ne crois pas que cela à marché :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:11:19, on 24/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Désinfection\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Désinfection\ewido anti-spyware 4.0\ewido.exe

C:\Program Files\Sitecom\Wireless Network USB Adapter 54G WL-113_002\Installer\WLANUTL.EXE

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr5.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [bonelitebirdknob] C:\Documents and Settings\All Users\Application Data\INTERNETROADBONELITE\multibits.exe

O4 - HKLM\..\Run: [!ewido] "C:\Désinfection\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - Startup: desktop(2).ini

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Sitecom Wireless Utility.lnk = C:\Program Files\Sitecom\Wireless Network USB Adapter 54G WL-113_002\Installer\WLANUTL.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar3.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Désinfection\ewido anti-spyware 4.0\guard.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

Je pense avoir tout bien appliqué

 

En meme temps y a t-il un logiciel qui permet de bloquer les pages publicitaires???

[kevin76]

Re sousou,

 

As-tu reussi à appliquer la procédure de Microsoft ?

 

Redémarre en mode sans echec

 

#1 Suppression des lignes Hijacthis néfastes*

Lancer Hijackthis et cliquer sur Do a system scan only puis cocher les lignes suivantes (beaucoup d'entres elles ne devraient plus être présentes) :

O4 - HKLM\..\Run: [Bonelitebirdknob] C:\Documents and Settings\All Users\Application Data\INTERNETROADBONELITE\multibits.exe
O4 - Startup: desktop(2).ini

Puis fermer toutes les fenêtres sauf celle d'Hijackthis et "fix checked"

 

 

#2 Suppression des dossiers néfastes

 

Supprimer le dossier suivant (en gras) :

C:\Documents and Settings\All Users\Application Data\INTERNETROADBONELITE => le dossier

 

Puis vider la corbeille.

 

 

#Scan antivirus OnLine

 

Faire un scan en ligne avec http://webscanner.kaspersky.fr/

 

Sous Démonstration en ligne , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner Exécuter l'analyse en ligne .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme

 

décrit sur ce lien=> http://www.inoculer.com/activex.php3

 

Dans le cas ou tu aurait reussi à supprimer desktop(2).ini, peut joindre un log Hijackthis s'il te plait.

 

@+

[Sousou]

J'ai Kaspersky comme antivirus je voudrais savoir si je pouvais faire une analyse avec mon scan au lieu de celui d'internet????

[kevin76]

L'avantage du scan OnLine est que la base virale est toujours à jour. Je pense qu'il serait préférable de faire le scan OnLine.

 

@+

[Sousou]

re,

 

 

J'ai un probléme avec le scan en ligne sur Kaspersky, je n'arrive pas à télécharger contôle active x.

Quand je click dessus une page s'ouvre sa ne se passe pas comme dans l'example , je ne peux pas le télécharger .

 

 

Merci d'avance a+

[Sousou]

re,

 

 

 

En faite les problèmes n'ont pas disparus, les dysfonctionnement sont toujours la.

 

 

Et pour Kaspersky j'aimerais bien avoir une reponse SVP

 

 

 

Merci pour votre aide

[kevin76]

re,

 

C'est pas grave pour Kaspersky,

 

1/ Faire un csan chez Panda http://www.pandasoftware.fr/Activescan/Activescan.html

Clique sue "Analisez votre PC" et accepte le contrôle activX.

 

2/ Navigue dans chacun de ces trois répertoires :

 

C:\Documents and Settings\All Users\Menu Démarrer

C:\Documents and Settings\All Users\Menu Démarrer\Programmes

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

 

3/ Cherche le fichier nommé desktop.ini et double clic dessus pour l'ouvrir.

 

4/ Vérifie que cette ligne est présente :

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

 

Puis supprime le fichier desktop.ini : clique droit sur "Supprimer" et vide la corbeille après.

 

5/ Redémarre le PC

 

6/ Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

 

Utilisation ----- option 1 - Recherche :

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

 

7/ Poster le rapport sur le forum, ainsi que le rapport d'Hijackthis demander précedement.

 

@+

Modifié le 26 juillet 2006 par kevin76

[Sousou]

re,

 

 

 

J'ai reussit a faire le scan Panda, voici le rapport (je voudrais savoir comment on fait pour supprimer les resultats) :

 

 

Incident Statut Analyse

 

Adware:adware/cws No Désinfecté Registre Windows

Outil indésirable:application/regfreeze No Désinfecté hkey_current_user\software\actualresearch\RegistryFreeze

Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@2o7[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bluestreak[1].txt

Spyware:Cookie/cs.sexcounter No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@cs.sexcounter[2].txt

Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@stats1.reliablestats[1].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@tradedoubler[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@weborama[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@xiti[1].txt

Spyware:Cookie/Zedo No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@zedo[2].txt

 

 

 

Et voici le rapport que tu ma demandé :

 

 

SmitFraudFix v2.74

 

Rapport fait à 13:54:36,51, 26/07/2006

Executé à partir de C:\D‚sinfection\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Encore merci pour votre patiense

 

 

 

a+

[kevin76]

Re,

 

Pour supprimer les résultat, il suffit de supprimer les cookies pour ca :

 

Télécharge ATF Cleaner par Atribune.

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

Ensuite regarde dans ajout/suppression de programes si RegFreeze est présent. Si c'est la cas désinstale le.

 

Nous allons aussi vérifier si un rootkit n'est pas présents (de plus en plus fréquent) :

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

Tu ne m'as pas dit si tu avait reussi a supprimer desktop(2).ini, et tu as ommis de joindre un nouveau rapport Hijackthis effectuer en mode normale.

 

 

@+