Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

F secure anti-virus

psychopathe

Par psychopathe
dans Analyses et éradication malwares

 Partager

Messages recommandés

psychopathe Power Member

psychopathe

Posté(e)
  • Auteur
Posté(e)

Voila j'ai commencer le nettoyage,j'ai pirs des notes marquées en rouge.

 

 

 

Etape 3 : Désinstallation (normale) des logiciels infectieux

 

Va dans démarrer > panneau de configuration > Ajouter ou supprimer des programmes. Sélectionne alors les programmes suivants, et désinstalle-les en cliquant sur supprimer :

 

- Messenger plus => à réinstaller sans les sponsors, qui contiennent l'adware Lop

- Flashget(pas trouvé) => inclut un adware pendant l'installation. Tu pourras éventuellement le remplacer par un autre gestionnaire de téléchargement, sans spyware/adware, comme Free Download Manager

- F-Secure Antivirus => si tu trouves (deja supr)

- ZoneAlarm => si tu trouves (deja supr)

 

 

Etape 4 : Désactivation / Suppression des services infectieux

 

* Désactivation

 

Va dans Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) recherche le service suivant:

 

System Startup Service (pas trouvé)

 

Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,

puis déroule le Type de Démarrage pour le modifier en Désactivé

Clique sur Appliquer puis OK

 

 

* Suppression

 

Lance Hijackthis, choisir Open the Misc.Tools section

la fenêtre "Configuration va s'ouvrir

clique sur Delete a NT service...

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entre dans la zone de dialogue :

 

SvcProc

 

Note : assure-toi de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.

Cliquer NO

 

J'ai une fenetre disant :service SvcProc was no found in the registry.

 

 

 

Etape 5 : Utilisation d'Hijackthis/Suppression des lignes infectieuses

 

- Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) :

 

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ycqfiqffzm.com/14/Am8mXZ3qqkNiJsY3s...to2IHRsEkA.html

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

 

O2 - BHO: (no name) - {2400C11F-2563-654B-B89C-064029CB173E} - (no file)

O2 - BHO: (no name) - {F5DE8ADB-4A69-4e56-96AB-823171C8E9D8} - (no file)

 

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: (no name) - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - (no file)

 

O4 - HKLM\..\Run: [Dinst] C:\WINDOWS\dinst.exe

O4 - HKLM\..\Run: [CASH PROGRAM SEEK AUDIO] C:\Documents and Settings\All Users\Application Data\inside more cash program\battons.exe

O4 - HKLM\..\Run: [pklkmhu] C:\WINDOWS\System32\kegfpfk.exe r

O4 - HKCU\..\Run: [bytestart] C:\DOCUME~1\Alexus\APPLIC~1\SENDSO~1\armycake.exe

 

O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm

 

O15 - Trusted Zone: http://secure.gestrip.com (HKLM)

O15 - Trusted Zone: http://update.randhi.com (HKLM)

 

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} - http://acces.blonde.com/package/op/PackageHtmlCab.CAB

O16 - DPF: {33331111-1111-1111-1111-611111193423} -

O16 - DPF: {33331111-1111-1111-1111-611111193429} -

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab

O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {43331111-1111-1111-1111-611111195622} -

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

 

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

 

 

 

- Clique sur le bouton "Fix checked"

 

 

Etape 6 : Modification de l'affichage des fichiers/dossiers

 

A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

CITATION

 

Activer le bouton radio : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

Etape 7 : Suppression des fichiers/dossiers infectieux

 

Depuis l'explorateur Windows :

 

=> Supprime les dossiers suivants (en gras) :

 

- C:\Documents and Settings\All Users\Application Data\inside more cash program(introuvable)- C:\Documents and Settings\Alexus\Application Data\SENDSO~1 (un dossier qui commence par Sendso[...])(introuvable)

 

- C:\Program Files\FlashGet(introuvable)

- C:\Program Files\F-Secure (si la suppression du dossier ne fonctionne toujours pas, ne t'en fais pas, on pourra le faire une fois le pc désinfecté)(deja supr)

 

=> Supprime les fichiers suivants, si ils existent encore (en gras) :

 

- C:\eied_s7.cab(introuvable)- C:\ex.cab(introuvable)- C:\WINDOWS\Nail.exe(introuvable)

- C:\WINDOWS\dinst.exe(introuvable)- C:\WINDOWS\SvcProc.exe(introuvable)

 

- C:\WINDOWS\System32\kegfpfk.exe(introuvable)

 

=> Vide la corbeille

 

 

 

Etape 8 : Utilisation du BFU + le script edgeaccess.bfu (echou,manque le dossier EGdacceSS.bfu)

 

je n'ai pas continué apres le dossier manquant de l'étape 8

Lien vers le commentaire
Partager sur d’autres sites
  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonjour psychopathe, :P

 

Tornado est actuellement en vacances. Je constate que tu as des soucis à appliquer la procédure.

 

Pour les fichiers que tu ne trouves pas, es-tu certain d'avoir changé les options d'affichage tel que te l'a indiqué Tornado à l'étape 6 ?

 

Concernant ton problème à l'étape 8, c'est sans doute que tu n'as pas bien compris le téléchargement de l'outil ; je te le remets avec les liens apparents.

=> Télécharge Brute Force Uninstaller (de Merijn). => http://www.merijn.org/files/bfu.zip

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI =>http://metallica.geekstogo.com/EGDACCESS.bfuet choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

Peux tu recommencer la procédure que t'a indiquée Tornado et poster les rapports demandés ? L'étape 8 et les étapes qui suivent sont importantes !

Lien vers le commentaire
Partager sur d’autres sites
psychopathe Power Member

psychopathe

Posté(e)
  • Auteur
Posté(e) (modifié)

Salut Gof,

 

Voici mes rapports :

 

Logfile of HijackThis v1.99.1

Scan saved at 00:31:47, on 06/08/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

D:\etc\pictures\fonds d'écran et diverses photos\tuning\securité\ZoneAlarm\zlclient.exe

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

D:\etc\pictures\fonds d'écran et diverses photos\tuning\Winamp\winampa.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\Program Files\Alwil Software\Avast4\ashServ.exe

D:\etc\pictures\fonds d'écran et diverses photos\tuning\securité\Nettoyage\Logiciel\Ewido anti-spyware\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\wanmpsvc.exe

c:\windows\system\WinVNC.exe

C:\Program Files\AOLbox\Gateway\wlancfg.exe

D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Zone Labs Client] "D:\etc\pictures\fonds d'écran et diverses photos\tuning\securité\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WinampAgent] D:\etc\pictures\fonds d'écran et diverses photos\tuning\Winamp\winampa.exe

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Bloc Notes - {AF4F850B-68FF-404C-8417-549F86B1E236} - notepad.exe (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: AOL Spyware Protection Service (AOLService) - America Online, Inc. - (no file)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Convar task manager (ctm) - Convar Deutschland GmbH - C:\Program Files\Convar\TaskManager\ctm.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\etc\pictures\fonds d'écran et diverses photos\tuning\securité\Nettoyage\Logiciel\Ewido anti-spyware\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

O23 - Service: VNC Server (winvnc) - Unknown owner - c:\windows\system\WinVNC.exe" -service (file missing)

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\AOLbox\Gateway\wlancfg.exe

 

 

et celui de Ewido :

 

 

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 00:20:57 06/08/2006

 

+ Scan result:

 

 

 

D:\etc\pictures\progz\kazaa_setup.exe -> Adware.Altnet : Cleaned with backup (quarantined).

C:\WINDOWS\smiley.exe -> Adware.BestOffers : Cleaned with backup (quarantined).

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\bsto-1 -> Adware.BetterInternet : Cleaned with backup (quarantined).

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{7FD44536-9DF0-4034-939F-5BD4D98E3187} -> Adware.Generic : Cleaned with backup (quarantined).

C:\WINDOWS\Downloaded Program Files\Install.dll -> Adware.SpywareStorm : Cleaned with backup (quarantined).

D:\etc\pictures\progz\MsgPlus-254.exe/sponsor.exe -> Downloader.Swizzor.ag : Cleaned with backup (quarantined).

C:\Documents and Settings\Admin\Cookies\admin@bestoffersnetworks[2].txt -> TrackingCookie.Bestoffersnetworks : Cleaned.

C:\Documents and Settings\Admin\Cookies\admin@cliks[2].txt -> TrackingCookie.Cliks : Cleaned.

 

 

::Report end

 

Voila sinon les fichiers introuvables sont belle et bien introuvable j'ai réessayer.

Modifié par psychopathe
Lien vers le commentaire
Partager sur d’autres sites
  • 3 semaines après...
tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Salut Gof, psychopathe,

 

 

 

Merci pour ton post, gof :P

 

 

Si j'ai bien compris psychopathe, tu as réussi à faire fonctionner à faire fonctionner Bfu et son script ?

 

Ton rapport Hijackthis est propre en tout cas, beau boulot ! :P

 

Mais ça m'étonnerait qu'on en ait terminé avec toutes ces infections, au vu du log d'Ewido et du fait que tu n'as pas trouvé la totalité des fichiers infectieux.

Tu vas donc, pour commencer, vider la quarantaine d'Ewido, et scanner ton pc avec d'autres outils :

 

======================================================================

 

 

1) Suppression des fichiers en quarantaine d'Ewido

 

- Lance ewido anti-spyware depuis le bureau

- Clique sur le bouton "Infections" dasn le menu du haut

- Clique sur l'onglet "Quarantine"

- Choisis "Select all" puis clique sur "Remove finally"

 

 

2) Scan Av en ligne : Panda Activescan

 

- Vérifie, pour commencer, qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie

Paramétrer Internet Explorer

 

- Commence par désactiver le bouclier Web d'avast ( clic droit sur pasdenom3io.jpg dans la barre des tâches => arrêter le service => bouclier web ) car l'activex de panda et avast entrent en conflit. Ne t'inquiète pas, tu ne risques rien

 

- Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html

 

- Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin)

- Réactive le bouclier Web d'avast

 

- Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_morte)

 

 

 

3) Scan anti-rootkit : Blacklight

 

Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) :

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

========================================================

 

N'oublie pas de mettre dans ta prochaine réponse :

 

- Le rapport de Panda (activescan.txt)

- Le rapport de Blacklight (sauvegardé dans le fichier fsbl.xxxxxxx.log sur le bureau )

 

 

 

 

 

A+ :P

Modifié par tornado
Lien vers le commentaire
Partager sur d’autres sites
psychopathe Power Member

psychopathe

Posté(e)
  • Auteur
Posté(e) (modifié)

SAlut Tornado,

 

Le scan Panda n'a pas fonctionné,pourtant Avast était bien désactivé.

J'ai toujours le deuxieme rapport qui me semble cour....

 

08/23/06 19:51:00 [info]: BlackLight Engine 1.0.46 initialized

08/23/06 19:51:00 [info]: OS: 5.1 build 2600 ()

08/23/06 19:51:00 [Note]: 7019 4

08/23/06 19:51:00 [Note]: 7005 0

08/23/06 19:52:19 [Note]: 7006 0

08/23/06 19:52:19 [Note]: 7011 1732

08/23/06 19:52:19 [Note]: 7026 0

08/23/06 19:52:19 [Note]: 7026 0

08/23/06 19:52:30 [Note]: FSRAW library version 1.7.1019

08/23/06 20:00:55 [Note]: 7007 0

 

Voila !

 

Sinon je poste un rapport hijackthis au cas ou !

 

Logfile of HijackThis v1.99.1

Scan saved at 20:10:34, on 23/08/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\oodag.exe

C:\WINDOWS\wanmpsvc.exe

c:\windows\system\WinVNC.exe

C:\Program Files\AOLbox\Gateway\wlancfg.exe

C:\WINDOWS\Explorer.EXE

D:\etc\pictures\fonds d'écran et diverses photos\tuning\securité\ZoneAlarm\zlclient.exe

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

D:\Program Files\qttask.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

D:\etc\pictures\fonds d'écran et diverses photos\tuning\Winamp\winampa.exe

C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

C:\program files\steam\steam.exe

D:\etc\pictures\fonds d'écran et diverses photos\tuning\Winamp\winamp.exe

C:\WINDOWS\System32\svchost.exe

D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Zone Labs Client] "D:\etc\pictures\fonds d'écran et diverses photos\tuning\securité\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [WinampAgent] D:\etc\pictures\fonds d'écran et diverses photos\tuning\Winamp\winampa.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [steam] "c:\program files\steam\steam.exe" -silent

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Bloc Notes - {AF4F850B-68FF-404C-8417-549F86B1E236} - notepad.exe (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: AOL Spyware Protection Service (AOLService) - America Online, Inc. - (no file)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Convar task manager (ctm) - Convar Deutschland GmbH - C:\Program Files\Convar\TaskManager\ctm.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\etc\pictures\fonds d'écran et diverses photos\tuning\securité\Nettoyage\Logiciel\Ewido anti-spyware\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

O23 - Service: VNC Server (winvnc) - Unknown owner - c:\windows\system\WinVNC.exe" -service (file missing)

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\AOLbox\Gateway\wlancfg.exe

 

Apres autant d'effort :P mon PC rame encore (sa fait lontemp) plusieurs minutes pour qu'il se revielle completement.J'ai déjà fait plusieurs défragmentations et nettoyage que tu m'a proposé qui ont fait des mervielles au niveau "propreté" du PC.Mais j'ajoute qui va plus vite au redémarrage apres ce nettoyage,mais il reste encore lent

 

merci.

Modifié par psychopathe
Lien vers le commentaire
Partager sur d’autres sites
tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Bonjour psychopathe,

 

 

Je suis désolé du retard, le topic m'avait échappé :P

 

Le scan Panda n'a pas fonctionné,pourtant Avast était bien désactivé.

 

Essaie de le faire avec un scan différent de panda, celui de Kaspersky :

 

- Pour cela, rend toi sur cette page => http://webscanner.kaspersky.fr/

- Et clique sur l'image suivante pour lancer l'outil :

11d105e522a4d72254b76463d151.jpg

- A la fin du scan, n'oublie pas de sauvegarder le rapport (que tu devras copier/coller dans ta prochaine réponse)

 

- Pour utiliser ce scan en ligne, tu peux suivre ces instructions => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566 (merci à Malekal_morte)

 

______________________________________________________________

 

Sinon, le scan de blacklight n'a rien donné. On va donc tenter un autre scan, pour vérifier si des applications ne se lancent pas en silence au démarrage :

- Télécharge silentrunners et dézippe-le dans un répertoire dédié ---> http://www.silentrunners.org/Silent%20Runners.zip

- Déconnecte-toi du net et ferme toutes les applications en cours

- Lance le fichier .vbs

- Une fenêtre s'affiche, clique sur yes

- Le scan est alors démarré, patiente quelques secondes

- Un message t'informe de la fin du scan

- Un fichier .txt est alors créé dans le même dossier que silentrunners

- Copie l'intégralité de son contenu, puis poste-le

 

 

 

 

mon PC rame encore (sa fait lontemp) plusieurs minutes pour qu'il se revielle completement.J'ai déjà fait plusieurs défragmentations et nettoyage que tu m'a proposé qui ont fait des mervielles au niveau "propreté" du PC.Mais j'ajoute qui va plus vite au redémarrage apres ce nettoyage,mais il reste encore lent

 

Ce problème de lenteur existe-t-il depuis l'installation d'un programme, d'une mise à jour ?

Si les 2 scans ne donnent rien, on pourra conclure que le problème n'est pas d'origine infectieuse.

 

 

 

A+ :P

Modifié par tornado
Lien vers le commentaire
Partager sur d’autres sites
psychopathe Power Member

psychopathe

Posté(e)
  • Auteur
Posté(e)

re,

 

voila le rapport kaspersky.

 

KASPERSKY ON-LINE SCANNER REPORT

Saturday, August 26, 2006 1:19:20 PM

Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 26/08/2006

Enregistrements dans la base antivirus Kaspersky : 205546

 

 

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

 

Cible de l'analyse Poste de travail

A:\

C:\

D:\

E:\

 

Statistiques de l'analyse

Total d'objets analysés 58142

Nombre de virus trouvés 1

Nombre d'objets infectés 2 / 0

Nombre d'objets suspects 0

Durée de l'analyse 01:07:28

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\Alexus\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Alexus\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Alexus\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\Alexus\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Alexus\Local Settings\Historique\History.IE5\MSHist012006082620060827\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Alexus\ntuser.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Alexus\NTUSER.DAT.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\ntuser.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Program Files\Steam\Steam.log L'objet est verrouillé ignoré

 

C:\Program Files\Steam\SteamApps\base source engine 2.gcf L'objet est verrouillé ignoré

 

C:\Program Files\Steam\SteamApps\counter-strike source client.gcf L'objet est verrouillé ignoré

 

C:\Program Files\Steam\SteamApps\counter-strike source shared.gcf L'objet est verrouillé ignoré

 

C:\Program Files\Steam\SteamApps\counter-strike source_french.gcf L'objet est verrouillé ignoré

 

C:\Program Files\Steam\SteamApps\source engine.gcf L'objet est verrouillé ignoré

 

C:\Program Files\Steam\SteamApps\source materials.gcf L'objet est verrouillé ignoré

 

C:\Program Files\Steam\SteamApps\source models.gcf L'objet est verrouillé ignoré

 

C:\Program Files\Steam\SteamApps\source sounds.gcf L'objet est verrouillé ignoré

 

C:\Program Files\Steam\SteamApps\sourceinit.gcf L'objet est verrouillé ignoré

 

C:\Program Files\Steam\SteamApps\winui.gcf L'objet est verrouillé ignoré

 

C:\Program Files\Steam\SteamLogs\SteamStats.log L'objet est verrouillé ignoré

 

C:\System Volume Information\_restore{1C122962-E936-4A02-A1ED-F318FEEF5C9F}\RP132\change.log L'objet est verrouillé ignoré

 

C:\WINDOWS\CSC\00000001 L'objet est verrouillé ignoré

 

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré

 

C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré

 

C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

 

C:\WINDOWS\Internet Logs\LEX-56SYEMQ6OR4.ldb L'objet est verrouillé ignoré

 

C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

 

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

 

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

 

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

 

C:\WINDOWS\Temp\Perflib_Perfdata_130.dat L'objet est verrouillé ignoré

 

C:\WINDOWS\Temp\ZLT01fec.TMP L'objet est verrouillé ignoré

 

C:\WINDOWS\Temp\ZLT01ff5.TMP L'objet est verrouillé ignoré

 

C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

 

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

 

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

 

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

 

D:\etc\beruriers 1984 10.wma Infecté : Trojan-Downloader.WMA.Wimad.d ignoré

 

D:\etc\les garçons bouchers 14.wma Infecté : Trojan-Downloader.WMA.Wimad.d ignoré

 

D:\etc\pictures\fonds d'écran et diverses photos\tuning\Temp\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

D:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

 

D:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

 

D:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int L'objet est verrouillé ignoré

 

D:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

 

D:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

 

D:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

 

D:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

 

D:\System Volume Information\_restore{1C122962-E936-4A02-A1ED-F318FEEF5C9F}\RP132\change.log L'objet est verrouillé ignoré

 

Analyse terminée.

 

2 objet infecté apparament

Lien vers le commentaire
Partager sur d’autres sites
tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Re,

 

 

 

En effet, 2 fichiers infectés, mais ignorés. Le reste étant des fichiers légitimes.

 

Il se pourrait qu'ils soient infectieux, des fichiers audio dans /etc (ce sont des fichiers audio ; Windows Media Audio ). Est-ce toi qui a dépclacé le dossier /etc vers la partition D: ?

 

Tu vas quand même scanner ces 2 fichiers :

 

D:\etc\beruriers 1984 10.wma

D:\etc\les garçons bouchers 14.wma

 

... à partir de ces 2 sites :

 

=> http://virusscan.jotti.org/

-- Clique sur Parcourir , sélectionne D:\etc\beruriers 1984 10.wma, clique sur Ouvrir, puis sur Submit. Une fois l'envoie terminé, tu obtiens un rapport. Copie/colle-le dans ta prochaine réponse.

-- Clique sur Parcourir , sélectionne D:\etc\les garçons bouchers 14.wma, clique sur Ouvrir, puis sur Submit. Une fois l'envoie terminé, tu obtiens un rapport. Copie/colle-le dans ta prochaine réponse.

 

=> http://www.virustotal.com/en/indexf.html

-- Clique sur Parcourir , sélectionne D:\etc\beruriers 1984 10.wma, clique sur Ouvrir, puis sur Send. Une fois l'envoie terminé, tu obtiens un rapport. Copie/colle-le dans ta prochaine réponse.

-- Clique sur Parcourir , sélectionne D:\etc\les garçons bouchers 14.wma, clique sur Ouvrir, puis sur Send. Une fois l'envoie terminé, tu obtiens un rapport. Copie/colle-le dans ta prochaine réponse.

 

_____________________________________________________________________

 

Au total, 4 rapports que tu dois mettre dans ta prochaine réponse.

 

 

Bonne chance :P

Modifié par tornado
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...