Un interprète pour cet hijackthis? Résolu/Fermé

Question

Bonjour,

Mon ordi est d'apparence saine, aussi j'aimerais savoir si il n'y traîne pas une quelconque anomalie. Si quelqu'un peut me l'interpréter, ça me ferait plaisir

Merci

Jean claude 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:34:04, on 16/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\FreezeScreenSaver.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Jean Claude\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lci.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [MsgCenterExe] "C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe"  -osboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\system32\FreezeScreenSaver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

anthony5151 · Accepted Answer

Bonjour,



"Mon ordi est d'apparence saine"

==> Alors il l'est seulement en apparence, puisque le rapport montre la présence de freezscreensaver.exe, qui est apparemment un adware...


• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes

• Poste le rapport de scan après la suppression ici

Mots croisés · Answer

Bonjour Anthony

Tout d'abord merci pour tes explications simples et compréhensibles sur la démarche à suivre. Ne connaissant pas tous les rouages de l'informatique, c'est appréciable.
Aussi voici le rapport de MBAM.
Comme tu me l'as conseillé, j'ai "supprimé" la sélection. Cependant, me diras-tu si les objets infectés sont toujours dans mon ordi? Si je dois faire des suppressions manuelles, peux-tu me diriger? Si ces infections sont gravissimes ou sans conséquence etc...
Et aussi me dire  à quel rythme je dois scanner, (à la semaine? au mois?). Pour info, je pense que "screensaver" s'est introduit lorsque j'ai téléchargé des écrans de veille (au conditionnel).
Auras-tu la patience de me dire si je dois oeuvrer une nouvelle fois pour faire d'autres analyses? Je ne connaissais pas MBAM, un bien bel interface.

Merci

Jean claude

"""""""""""""""""""""""


Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1668
Windows 5.1.2600 Service Pack 3

19/01/2009 18:43:42
mbam-log-2009-01-19 (18-43-42).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 115629
Temps écoulé: 33 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{d49e9d35-254c-4c6a-9d17-95018d228ff5} (Adware.Starware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webmediaplayer (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\WebMediaPlayer (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\resources (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\skins (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\updates (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\Jean Claude\Local Settings\Application Data\jdacqtpd_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jean Claude\Local Settings\Application Data\jdacqtpd_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jean Claude\Local Settings\Application Data\jdacqtpd.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\sqlite3.dll (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\uninst.exe (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\resources\wmp_translation_file.xml (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\skins\classic.skn (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> Quarantined and deleted successfully.

anthony5151 · Answer

Pas de problème, je vais t'aider jusqu'au bout, si tu as la patience de revenir à chaque fois (je dis ça parce que les 3/4 des internautes disparaissent ne reviennent pas jusqu'au bout...)

Tu avais le logiciel "WebMediaPlayer", qui est connu pour installer l'infection navilog, qui affiche des fenêtres de publicité. Je te propose de t'en débarrasser :


Télécharge maintenant Navilog1 (de IL-MAFIOSO) depuis-ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

• Enregistrer la cible (du lien) sous... et enregistre-le sur ton Bureau. 
• Ensuite double clique sur navilog1.exe pour lancer l'installation. 
• Une fois l'installation terminée, lance Navilog depuis le raccourci présent sur le Bureau

• Au menu principal, choisis "désinfection manuelle par saisie nom adware" (option 4)
• Tape ceci : jdacqtpd 
• Laisse toi guider et patiente. 
• Patiente jusqu'au message : "Analyse Termine le..."
• Appuie sur une touche, le bloc note va s'ouvrir. 
• Copie-colle l'intégralité du rapport ici.

Mots croisés · Answer

Bjr Anthony

Un plaisir que suivre tes conseils. J'avoue que lorsque je me suis retrouvé (après avoir ouvert Navilog) dans cet écran bleu m'informant des risques de défaillances éventuelles, j'ai pris un peu peur. Et puis je suis partie sur la confiance (sourire))))). Je pensais "webmediaplayer supprimé après le scann effectué avec MBAM qui me disait ceci :

""
C:\Program Files\WebMediaPlayer\sqlite3.dll (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\uninst.exe (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayeresources\wmp_translation_file.xml (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\skins\classic.skn (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
""

Il est vrai que je recevais (pas trop) des fenêtres de pub. Aussi sache que j'aurai la patience de continuer à suivre tes directives Anthony car j'aime assez aller voir (avec fort peu de connaissance) dans le système (BDR par exemple). A chaque fois que je désinstalle quelque chose, je le fais aussi manuellement dans la BDR. Avec prudence bien sûr.

Aussi pour t'éviter un maximum d'explications, sache que pour installer et désinstaller des logiciels, les retrouver dans l'explorateur et les désinstaller je sais faire. Je suis toujours dans l'explorateur, je connais assez bien son fonctionnement je pense. Bref après tous ces bavardages, voici le rapport de Navilog.
Et sois remercié pour ton aide précieuse.
Pour info, je réside sur Annecy et aujourd'hui grisaille en plaine.

Jean claude

PS : Dois-je de temps en temps lancer Navilog, ou bien je n'y touche plus et je le mets de côté? 


""""""""""""""""""""""""""""""""

Clean Navipromo version 3.7.1 commencé le 21/01/2009 à 10:43:37.75

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Jean Claude" 

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3200+ )
BIOS : Award Modular BIOS v6.00PG
USER : Jean Claude ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1296 [VPS 090120-0] 4.8.1296 (Activated)


C:\ (Local Disk) - NTFS - Total:232 Go (Free:213 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)



Mode suppression par méthode manuelle

Nom du fichier saisi : jdacqtpd 

Nettoyage exécuté au redémarrage de l'ordinateur

*** Recherche, création sauvegardes et suppression ***

* Suppression dans "C:\WINDOWS\system32" *


* Suppression dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" * 



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\locals~1\menudm~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\locals~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Jean Claude\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Jean Claude\locals~1\menudm~1" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Jean Claude\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 21/01/2009 à 10:48:36.93 ***

anthony5151 · Answer

Parfait, l'infection navipromo semble avoir été supprimée, on va vérifier avec RSIT (qui propose un rapport un peu plus complet que hijackthis)


• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaitre. Poste le contenu de log.txt

Mots croisés · Answer

Bonsoir Anthony.

A vrai dire ce n'est pas déplaisant toutes ces manip'.
Si ton temps n'est pas trop compté, tu peux me faire faire toutes les vérifications possibles, je suis partant.

Aussi, dis moi si mon antivirus (avast) + spyware terminator + MBAM + ad-aware c'est suffisant comme protection. A quel rythme je dois effectuer ces scannes. Et me donner ton avis sur Avast, sachant qu'il est intéressant par sa gratuité bien sûr. Mais aussi qu'à chaque visite sur un site, je prends le risque à nouveau d'être infecté par les éléments que tu m'as fait supprimer? Saurais tu me dire si il y a des sites plus à risque que d'autres?

Voici bien des questions posées

Merci

JC



"""""""""""""""""

Logfile of random's system information tool 1.05 (written by random/random)
Run by Jean Claude at 2009-01-21 20:44:47
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 219 GB (92%) free of 238 GB
Total RAM: 959 MB (51% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:44:53, on 21/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\FreezeScreenSaver.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jean Claude\Local Settings\Marie bis\Fichiers reçus\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Jean Claude.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lci.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\system32\FreezeScreenSaver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

anthony5151 · Answer

Tant mieux si tu aimes ça, parce qu'on n'a pas tout à fait terminé ;)

Il reste une manip' à faire, et ensuite je te donnerai les conseils habituels de sécurité et de prévention, qui répondront à toutes tes questions :)


• Télécharge OTMoveIt3 (de OldTimer) sur ton Bureau : http://oldtimer.geekstogo.com/OTMoveIt3.exe
• Double-clique sur OTMoveIt3.exe afin de le lancer. 
• Copie/colle le texte suivant dans le cadre « Paste Instructions for Items to be Moved » et clique sur Moveit : 

:processes 
explorer.exe 

:files 
C:\WINDOWS\system32\FreezeScreenSaver.exe

:commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot]  

• Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES. 

• Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles 
Le nom du rapport correspond au moment de sa création : date_heure.log 



Fais ensuite ceci pour arrêter le service correspondant :

• Menu démarrer --> exécuter --> tape services.msc

• Fais un clic-droit sur "FreezeScreenSaver" --> Propriétés

• Clique sur arrêter et place "type de démarrage" sur Désactivé.

Mots croisés · Answer

Bjr Anthony

J'ai rencontré un problème à partir du menu "exécuter". Windows a refusé de m'ouvrir "msc". Alors j'y suis allé de mes petites bidouilles et j'ai fait une recherche de "msc". Et j'ai ainsi trouvé l'application qui correspnd à "msc" à savoir "services.msc". Je me suis déjà promené par là (sourire))))))). Et ensuite j'ai appliqué tes directives concernant "FreezeScreenSaver".
Pour info et tu ne l'ignores pas. C'est en visitant et téléchargeant récemment des écrans de veille que j'ai remarqué "FreezeScreensaver".
Bien pris pour ce qui concerne tes conseils utltérieurs sur la sécurtié et autres.
J'émettrais une petite requête Anthony, c'est que (pour mon instruction personnelle) tu me dises à quoi correspond les manip's que tu me fais faire, et la raison de suppression de fichiers (leur côté néfaste voir dangereux). Et aussi, l'utilité de chaque logiciel que tu me fais télécharger )))). Ainsi, je peux ensuite peut-être aider quelqu'un dans mon entourage.

Merci pour ton aide précieuse et ta compétence

JC



""""""""""""""""""

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\WINDOWS\system32\FreezeScreenSaver.exe moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_118.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_5f0.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01222009_123329

Files moved on Reboot...
File move failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File C:\WINDOWS	emp\Perflib_Perfdata_118.dat not found!
File C:\WINDOWS	emp\Perflib_Perfdata_5f0.dat not found!

anthony5151 · Answer

Alors les explications de ce que je t'ai fait faire :

• Hijackthis et RSIT sont des logiciels de diagnostic, qui m'ont permis de voir que ton ordinateur était infecté et d'identifier l'infection.

• MalwareBytes est un anti-malware généraliste performant, qui supprime toute sorte d'infection.
Je te l'ai fait utiliser pour voir s'il détectait FreezeScreenSaver (il ne l'a pas fait), mais il a détecté et supprimé en partie 2 autres infections.

• Navilog a servi a supprimer l'infection navipromo, supprimée en partie seulement par MalwareBytes.

• OTMoveIt est un programme qui sert à supprimer les fichiers ou les clés du registre qu'on lui demande de supprimer. Je te l'ai proposé pour supprimer FreezeScreenSaver, ce qu'il a fait ;)

• Enfin, la manipulation dans services.msc a permis d'arrêter le service correspondant à ce fichier, qui aurait continué d'essayer de se lancer après la disparition du fichier.



Tu as raison de t'intéresser à tout ça, mais si tu dois proposer ton aide à ton entourage, je te conseille d'être prudent, et de ne pas hésiter à poser tes questions ici.
En effet, certains programmes que nous avons utilisé sont dangereux (OTMoveIt pour lequel il faut écrire un script... qui peut supprimer des fichiers importants s'il est mal fait / hijackthis qui peut empêcher le fonctionnement de l'ordinateur si des lignes légitimes sont fixées à tord), d'autres ne doivent s'utiliser que dans des cas particulier (navilog ne supprime que l'infection navipromo, qu'il faut reconnaitre dans le rapport hiackthis... etc)



Pour finir, j'aurai besoin d'un nouveau rapport hijackthis pour te donner les conseils de sécurité tant attendus ;)

Mots croisés · Answer

Bjr Anthony

Je constate après tes explications qu'il ne faut pas que je tente les manip's que tu m'as recommandé. Effectivement trop hasardeux. Par exemple, pour le code Navilog il est peut-être différent à chaque scan' et différent sur d'autre ordis. 
Pour mes demandes sur la sécurité ou autres, je précise qu'elles sont multiples. Elles donneront sur la quantité de logiciels sécurité, sur internet, sur la BDR, et d'autres questions que je n'ai pas en tête présentement. Aussi, je peux avoir une question à poser lorsqu'elle me vient, dans une semaine, dans un mois, etc... Dois-je continuer à afficher mes post ici?
Dis moi Anthony, c'est la première fois que j'échange ainsi sur un forum. Y a t'il des règles à respecter? Je veux dire par là, est-ce que je peux me permettre de rédiger comme je le fais présentement? Quelques jours plus tôt, je me suis permis de dire que je résidais sur annecy. Est-ce permis?

Merci

JC


"""""""""""""""""""""""""

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:59:03, on 23/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\cidaemon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lci.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

anthony5151 · Answer

Pour être clair, je précise que lorsque je t'ai averti des risques, je ne voulais surtout pas te décourager à t'intéresser à la sécurité informatique, ni faire croire que c'est quelque chose de très complexe et passer pour un "expert" (je ne connaissais rien à ce domaine il y a un an, et on n'a jamais fini d'apprendre des choses dans ce domaine).
Simplement d'être vigilant, et de ne pas tenter de manip' hasardeuses ;)


Tu peux poster ce que tu veux ici, du moment que tu respectes la charte du forum (il y a un lien en haut de la page vers cette charte).
Tu peux dire ce que tu veux pour sur ta vie privée, c'est à toi de voir ;)  Mais rappelle toi que tout le monde peut lire ce que tu écris ici, et évite juste de donner des infos telles que ton adresse e-mail, qui pourraient être récupérées par des robots pour t'envoyer de la publicité.


Concernant tes questions, tu peux les poster dans ce sujet si elles concernent le domaine de la sécurité, et tu peux revenir dans un an pour en poster une nouvelle si tu le souhaites ;)
Pour le reste, il est préférable que tu les postes dans la partie correspondante du forum (si tu n'obtient pas de réponse, tu peux aussi me contacter par message privé, j'essayerai, dans la mesure du possible, de répondre).


Je vais regarder ton dernier rapport et te donner les conseils de fin de désinfection dans un prochain message ;)

anthony5151 · Answer

[suite]


Très bien, ton ordinateur n'est plus infecté !

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;)  Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur 

• Anti-virus : 
Avast était un antivirus convenable il y a quelques années, mais il est dépassé aujourd'hui. Il existe d'autres antivirus gratuits plus efficaces (Antivir ou AVG)
Désinstalle Avast : Commence par supprimer ce qu'il y a en quarantaine, puis fais clic droit sur l'icone d'Avast près de l'horloge --> désactive la protection résidente.
Puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle Avast. 
Si ça ne fonctionne pas, consulte ce lien : Désinstallation d'Avast

Si tu choisis Antivir pour le remplacer, télécharge le ici.

• Pare-feu :
Tu n’as apparemment aucun pare-feu (sauf peut-être celui de Windows ?) : si tu le souhaites, tu peux en télécharger un vrai, plus efficace. Parmi les gratuits, celui qui me paraît le plus simple est PC Tools Firewall. Tu peux t'aider du tuto suivant pour l'utiliser : Tutoriel PcTools

Note : si un message comme celui-ci apparaît lors de l'installation, clique sur Continuer.

• Anti-spyware :
* Ad-Aware est un logiciel inutile : il ne te protège pas, puisque la version gratuite ne permet que des scans à la demande, et ces scans sont inefficaces (ils sont justes bon à supprimer des cookies...) Malgré cela, Ad-Aware consomme en permanence de la mémoire ! Je te conseille vivement de le désinstaller !
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection ») 
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox 3 avec deux extensions :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.



2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) : 

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)    
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install    
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE    
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime    
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"    
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe    
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')    
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')    
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')    
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')    
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked" 



3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe CCleaner  (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection). 

• Fais un clic droit sur poste de travail (qui est sur ton Bureau ou dans le menu démarrer), puis propriétés. 
• Sélectionne l'onglet restauration du système 
• Coche l'option Désactiver la restauration du système sur tous les lecteurs 
• Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système. 



6) Je t'invite à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet



7) Enfin, je t'invite à cliquer ici pour déposer un témoignage sur MalwareComplaints, dans le but de faire réagir les autorités face aux infections virales (ça prend 5 minutes).
Le lien que je t'ai donné pointe directement sur la partie consacrée à l'infection infection navipromo (qui était responsable de l'affichage des publicités).





Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Mots croisés · Answer

Bjr Anthony

Désinstallation d'avast et installation d'anti vir ; ok

Concernant PC tolls, téléchargement ; ok mais ouverture impossible. Après avoir cliqué sur "ouvrir", j'attends plusieurs minutes pour recevoir à l'écran un petit message me disant ceci : - erreur (0x6b5) lors de l'envoi d'un message à l'application CPCToolsFirewallPlus -. Dans l'attente (non urgente) d'aide qui puisse me faire installer PC Tolls, j'ai remis le pare feu windows. 

Désinstallation de Ad-Aware ; ok.
Désinstallation de Spyware terminator ; ok

Installation de Spyware Blaster ; ok
Nouveau scan Hijackthis effectué puis suppression des lignes inscrites.

J'ai téléchargé Firefox 3, et après un rapide aperçu, il me semble moins pratique que IE 7. Mais bon je vais travailler dessus, possible que ça ne soit qu'une impression dû à la nouveauté.

L'opération ToolsCleaner a été réalisée

Quant à CCleaner j'aimerais (avant de lancer l'opération, que tu me dises précisément quelles coches doivent être cochées ou non cochées dans l'onglet "avancé" (hormis la décoche "Effacer uniquement les fichiers, du dossier temp de windows, plus vieux de 48h00"). Cette question parce que après avoir "lancer le nettoyage", j'ai remarqué quantité de MAJ de windows. Aussi dois-je peut-être comprendre que ne seront supprimés que les fichiers anciens?
Et puis lorsque je clique sur l'onglet "Nettoyeur", tout est coché, est-ce normal? Il faut dire que la liste à supprimer est impressionnante, d'où cette confirmation (sourire)))))). Taille totale des fichiers (31.2MB).

Concernant la restauration je n'ai pas pris soin de te lire voici pourquoi. Lorsque j'ai fait monter mon PC (entre un an ou deux, je ne sais plus exactement. J'ai fait remettre mon XP de mon ancien ordi (ne voulant pas de vista). Hors le monteur m'a dit, qu'en revanche je ne pouvais plus faire de restauration. Je ne me suis pas posé de question sur ce sujet. Alors tu me diras probablement si c'est une vérité. Si il y a problème à ne pas pouvoir faire un nouveau point de restauration. Et quel problème je peux rencontrer à ne plus pouvoir faire de restauration.

Et puis une question qui me vient : Pourquoi existe t'il dans tout anti-virus cette case qu'est la quarantaine? Pourquoi ne supprime t'on pas purement et simplement un fichier infecté?

Si tu as plusieurs correspondants aussi curieux que moi, tu ne dois pas dormir beaucoup )))))).

Merci 

JC 

PS : Ecrire sur ta boite privée c'est cliquer sur "Répondre à Anthony" qui se trouve en bas à gauche des messages, et non sur le gros bouton bleu en bas à droite des messages?

anthony5151 · Answer

"J'ai téléchargé Firefox 3, et après un rapide aperçu, il me semble moins pratique que IE 7"

==> Qu'est-ce qui te semble moins pratique ?


Pour CCleaner, tu peux cocher également "vieilles données du prefetch" et lancer le nettoyage.
Ce que tu as vu dans la liste correspond à des sauvegardes avant les mises à jour : si tu n'as pas de problème avec ton ordinateur, tu peux les supprimer sans problème.
Si c'est la première fois que tu utilises CCleaner, c'est normal qu'il trouve beaucoup de fichiers à supprimer ;)


Je ne comprends pas pourquoi tu n'as pas accès à la restauration du système... as-tu essayé ?
Attention, je précise à nouveau que je ne voulais pas que tu restaures ton ordinateur, ni que tu fasses un nouveau point de restauration : ce que je voulais, c'est que tu la désactives pour supprimer les archives des fichiers infectés (et la réactiver ensuite).


La présence de Quarantaine est très importante, et il ne faut jamais choisir "Supprimer" directement !
En cas d'erreur, de "faux-positif" (ça arrive assez souvent...) tu seras bien content de retrouver le fichier à restaurer dans la quarantaine quand tu t'apercevras que certaines choses ne fonctionnent plus.


Le bouton "Répondre à Anthony" permet de placer ton message en dessous du mien.
Pour m'envoyer un message privé, il faut cliquer sur mon pseudo qui se trouve au dessus de chacun de mes messages ;)


"Si tu as plusieurs correspondants aussi curieux que moi, tu ne dois pas dormir beaucoup"
==> Ne t'inquiète pas pour ça, mes nuits sont souvent mauvaises de toute façon ;)
Et si je suis ici, c'est parce que j'aime répondre aux questions et rendre service, donc pose toutes les questions que tu veux :)

Mots croisés · Answer

Anthony Dans "ajout suppresion de programmes" , j'aimerais que tu me dises à quoi correspond ces éléments et si je peux supprimer ou pas ""Microsoft. NET Framework 2.0 Service Pack.1"" ""Microsoft. NET Framework 2.0 Service Pack 1 Language Pack. FRA"" ""Microsoft. NET Framework 3.0 Service Pack 1"" ""Microsoft. NET Framework 3.0 Service Pack 1 Language Pack . FRA"" ""Microsoft. NET Framework 3.5"" Je remarque aussi plusieurs logiciels "Java". Des MAJ java j'imagine ""(TM) Update 11"" ""(TM) Update 5"" ""(TM) Update 7"" Suis-je tenu à les garder toute? Merci JC

anthony5151 · Answer

La dernière version de Java est la version 6 Update 11
Il faut que tu désinstalles toutes les autres.


Microsoft. NET Framework est une plateforme qui est nécessaire pour faire fonctionner d'autres logiciels, garde le.



@+

Mots croisés · Answer

Anthony, tu n'as pas dû remarquer ma question concernant l'installation impossible de PC Tools. Pourrais tu me dire si tu une idée sur ce problème? Le téléchargement se fait, mais impossible à exécuter. L'exécution me renvoi à ce message : ""erreur (0x6b5) lors de l'envoi d'un message à l'application CPCToolsFirewallPlus"".
Si tu ne trouves pas, que me conseilles-tu d'autre? ZA peut-être?
Réponse non urgente

Merci

JC

Mots croisés · Answer

Bjr Anthony.

Ne t'excuse pas pour si peu.
Ok pour PC Tolls.

Je dispose d'un modem simple ""Netgear DG834G"". J'avance timidement sur l'évolution des modems car j'ai eu connaissance de problèmes rencontrés par ces modems qui te permettent l'accès à la télé, au temps illimité du tél fixe etc... C'est la raison pour laquelle je n'ai que ce modem de base. Je retiendrai les renseignements que tu m'adresseras concernant ces modems.

Dis moi Anthony, depuis hier, j'ai très souvent des pages de pub qui me sautent au visage ; est-ce un paramétrage à effectuer sur SpywareBlaster"? Sachant que j'utilise Firefox et que j'ai encore IE7.
Et comment procéder pour faire une analyse avec SpywareBlaster sachant que l'anglais et moi ça fait 2. 
A ce sujet puis-je supprimer IE7? sachant que jusqu'à hier, les mails msn ne s'ouvraient qu'avec IE et non avec Firefox. J'ai lu sur un forum qu'il fallait installer ""SP3.5.590.exe" pour que ces mails soient redirigés sur Firefox. J'ai procédé ainsi et ça fonctionne. Donc puis-je supprimer IE7?
En attendant tes réponses, je me penche sur le paramètrage de Firefox pour peut-être comprendre le pourquoi de ces pubs indésirables.

Merci

JC

anthony5151 · Answer

Bon, je vais commencer par répondre à l'urgence du moment (les pubs).
Ne lance pas la suppression avec MalwareBytes, on va réutiliser navilog qui est spécialisé sur cette infection :


Télécharge maintenant Navilog1 (de IL-MAFIOSO) depuis-ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

• Enregistrer la cible (du lien) sous... et enregistre-le sur ton Bureau. 
• Ensuite double clique sur navilog1.exe pour lancer l'installation. 
• Une fois l'installation terminée, lance Navilog depuis le raccourci présent sur le Bureau

• Au menu principal, Fais le choix 1 
• Laisse toi guider et patiente. 
• Patiente jusqu'au message : "Analyse Termine le..."
• Appuie sur une touche, le bloc note va s'ouvrir. 
• Copie-colle l'intégralité du rapport ici.



Est-ce que tu as téléchargé/installé un programme hier ?
Y a t il d'autres personnes qui ont utilisé cet ordinateur ?
Est-ce que tu as bien installé WOT, l'extension que je t'ai conseillé pour Firefox ?

Mots croisés · Answer

1) Aucun programme téléchargé
2) Je suis seul à utiliser cet ordinateur
3 ) WOT est bien installé sur firefox (bien agréable que cette option).

Peut-on stopper la venue de "navipromo"?

En fait avec IE7, j'avais autant de pub's mais je je ne les voyais pas car IE7 les bloquait à chaque fois, il m'en informait par un message en haut de page.

Pour les questions posées antérieurement, je ne les poserai plus, tu sauras y revenir lorsque tu l'estimeras possible.

Merci

JC


"""""""""""""""""""

Search Navipromo version 3.7.1 commencé le 27/01/2009 à 17:44:23.60

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3200+ )
BIOS : Award Modular BIOS v6.00PG
USER : Jean Claude ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)


C:\ (Local Disk) - NTFS - Total:232 Go (Free:213 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)


Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\locals~1\menudm~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\locals~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Jean Claude\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Jean Claude\locals~1\menudm~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"difjf"="\"c:\documents and settings\jean claude\local settings\application data\difjf.exe\" difjf"


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" : 

difjf.exe trouvé !
difjf.dat trouvé !
difjf_nav.dat trouvé !
difjf_navps.dat trouvé !

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 27/01/2009 à 17:52:59.82 ***

anthony5151 · Answer

Le rapport indique :

*** Recherche Programmes installés ***

Favorit 


C'est ce programme qui est responsable de l'infection.



Rappel :

Si tu as le logiciel Spybot, il faut désactiver le TeaTimer avant d'utiliser navilog (et autoriser toutes les modifications au moment de la réactivation... si tu le réactives) :

Lance Spybot --> clique sur Mode => coche Mode avancé => Outils => Résident => décoche la case Résident Tea Timer



• Relance Navilog à l'aide du raccourci navilog1 présent sur le Bureau et laisse-toi guider. 

• Au menu principal, choisis 2 et valide. 
• Le fix va t'informer qu'il va alors redémarrer ton PC 
• Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts 
• Appuie sur une touche comme demandé (si ton Pc ne redémarre pas automatiquement, fais le toi même) 
• Au redémarrage de ton PC, choisis ta session habituelle. 

• Patiente jusqu'au message : "Nettoyage terminé le..." 

• Le bloc note va s'ouvrir, copie/colle ici le rapport, comme tu l’as fait pour l’autre. 



P.S : Je reviendrai ensuite sur tes autres questions (pense à me le rappeler), quand nous aurons supprimé cette infection.

Mots croisés · Answer

Manip' navilog terminée.

Pour info, je n'ai pas Spybot. En fait (sur tes conseils), j'ai Avira antivir, MBAM, Spyware Blaster et mon pare-feu XP (dans l'attente ultérieure de PC Tools, et CCleaner si besoin. 
Je n'ai absolument rien d'autre en ce qui concerne les différents logiciels de sécurité.

Dis moi ; y a t'il une solution pour ne pas être infecté par navipromo?

Sur un message précédent tu me demandais des précisions sur ma connexion internet, je t'ai déposé ce message : ""Je dispose d'un modem simple ""Netgear DG834G"". J'avance timidement sur l'évolution des modems car j'ai eu connaissance de problèmes rencontrés par ces modems qui te permettent l'accès à la télé, au temps illimité du tél fixe etc... C'est la raison pour laquelle je n'ai que ce modem de base. Je retiendrai les renseignements que tu m'adresseras concernant ces modems.
Et concernant ce modem, il ne dispose pas d'un commutateur marche/arrêt. ça veut dire que je suis connecté 24h sur 24? 

Une question subsidiaire Anthony. Y a t'il possibilité de faire en sorte que les fichiers temps de windows et de temporary internet soient vidés à l'ouverture ou fermeture de cession windows. Ces fichiers sont bien à supprimer de temps en temps il me semble.


Merci

JC


"""""""""""""""""""""

Clean Navipromo version 3.7.1 commencé le 29/01/2009 à 21:11:41.89

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3200+ )
BIOS : Award Modular BIOS v6.00PG
USER : Jean Claude ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)


C:\ (Local Disk) - NTFS - Total:232 Go (Free:213 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)


Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 

* Suppression dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" * 


*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\locals~1\menudm~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\locals~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Jean Claude\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Jean Claude\locals~1\menudm~1" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Jean Claude\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *



* Dans "C:\Documents and Settings\Jean Claude\locals~1\applic~1" * 


difjf.exe trouvé ! 
Copie difjf.exe réalisée avec succès !
difjf.exe supprimé !

difjf.dat trouvé ! 
Copie difjf.dat réalisée avec succès !
difjf.dat supprimé !

difjf_nav.dat trouvé ! 
Copie difjf_nav.dat réalisée avec succès !
difjf_nav.dat supprimé !

difjf_navps.dat trouvé ! 
Copie difjf_navps.dat réalisée avec succès !
difjf_navps.dat supprimé !


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 



* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" * 



*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 29/01/2009 à 21:15:02.65 ***

anthony5151 · Answer

Désolé.


L'infection semble avoir été supprimée, est-ce que tu as eu à nouveau des publicités ?

Est-ce que tu avais fait une restauration du système avant d'avoir à nouveau cette infection (ça peut aussi venir de là) ?

Je répondrai à tes autres questions dès que tu m'auras confirmé que les publicités ont cessé de s'afficher.

Mots croisés · Answer

tout est parfait Anthony, aucun problème

Merci

PS : "je touche du bois, pourvu que ça dure""

anthony5151 · Answer

Ok, peux-tu refaire les étapes 3, 4 et 5 (toolscleaner, nettoyage avec CCleaner et suppression des sauvegardes de la restauration système) du message 13 stp ?



"Dis moi ; y a t'il une solution pour ne pas être infecté par navipromo?"

==> La seule provenance de cette infection, ce sont les programmes piégés qui l'installent :
 • go-astro
 • GoRecord
 • HotTVPlayer / HotTVPlayer & Paris Hilton
 • Live-Player
 • MailSkinner
 • Messenger Skinner
 • Instant Access
 • InternetGameBox
 • Officiale eMule (Version d'eMule modifiée)
 • Sudoplanet
 • Webmediaplayer

L'extension WOT de Firefox devrait t'y aider, puisqu'elle bloque normalement les sites où tu peux télécharger ces logiciels.



"Y a t'il possibilité de faire en sorte que les fichiers temps de windows et de temporary internet soient vidés à l'ouverture ou fermeture de cession windows. Ces fichiers sont bien à supprimer de temps en temps il me semble."

==> Tu peux automatiser le nettoyage de CCleaner qui s'en chargera ;)
Pour ça lance CCleaner --> Options --> Propriétés --> coche "nettoyer automatiquement l'ordinateur au démarrage"
Si tu fais ça, je te conseille d'aller dans "Avancé" et de recocher "Effacer uniquement les fichiers plus vieux que 48h". Ca évitera que ces fichiers ne soient effacés trop vite.



"Et comment procéder pour faire une analyse avec SpywareBlaster sachant que l'anglais et moi ça fait 2."

==> SpywareBlaster ne fait pas d'analyses, seulement des vaccinations de tes navigateurs pour bloquer certaines infections. Il est très simple à utiliser :
Tous les 15 jours environ, lance le, clique sur "Updates" puis "check for updates".
Puis retourne sur "Protection Status" et clique sur "Enable all protection" pour activer toutes les protections. 



"A ce sujet puis-je supprimer IE7?"

==> IE te sera toujours utile pour les mises à jour de Windows, tu dois le garder ;)
De toute façon, il fait partie de Windows, je ne crois pas qu'on puisse s'en séparer.




"J'avance timidement sur l'évolution des modems car j'ai eu connaissance de problèmes rencontrés par ces modems qui te permettent l'accès à la télé, au temps illimité du tél fixe etc... C'est la raison pour laquelle je n'ai que ce modem de base. Je retiendrai les renseignements que tu m'adresseras concernant ces modems."

==> Des problèmes, tu peux en avoir quel que soit ton moyen de connection ;)
Je ne sais pas à quelle offre tu pourrais avoir accès, ça dépend de l'endroit où tu habites et de la longueur de la ligne. Tu peux faire un test sur https://www.degrouptest.com/ pour voir à quoi tu peux avoir accès.
Quel est ton fournisseur d'accès à internet (FAI) ?


"Et concernant ce modem, il ne dispose pas d'un commutateur marche/arrêt. ça veut dire que je suis connecté 24h sur 24?"

==> Bonne question ;)
Il doit y avoir des voyants sur ce modem qui t'indiquent s'il est connecté ou non ?

Mots croisés · Answer

- Pc Tools ne s'initialise pas, en revanche il est installé, mais démarrage impossible
- La manip' CCleaner a été effectuée
- J'utilise au maximum la fonction WOT
- J'ai paramétré CCleaner pour suppression des fichiers "temp" au démarrage windows
- ok pour Spyware Blaster
- ok pour IE7
- Mon FAI est wanadoo (orange) -1024-. A ce sujet j'ai réinstallé il y a quelques jours, mon ancien kit wanadoo en lieu et place d'un modem "Netgear DG834G". ça fonctionne très bien. J'avais fait l'acquisition de ce Netgear pour connecter 2 ordi à mon appartement. En fait je n'ai rien compris (sourire))))))). Et avec ce modem, souvent l'impossibilité de connection, deux diodes clignotaient presque de façon permanente, alors que lorsque ça fonctionne normalement, ces deux  diodes ne clignotent pas. ça m'a énervé j'ai remis l'ancien. Et ce Netgear (comme je te l'ai dit) n'a pas de commutateur marche/arrêt.

Pour l'heure je te remercie pour ce temps dont tu m'as gratifié Anthony.

J'aurai probablement d'autres questions à venir

Bonne continuation

anthony5151 · Answer

"Pc Tools ne s'initialise pas, en revanche il est installé, mais démarrage impossible"

Ca arrive parfois... Est-ce que ça se rétablit après un redémarrage de l'ordinateur ?



"J'aurai probablement d'autres questions à venir"

Pas de problème, je serai là pour essayer d'y répondre ;)


@+

Mots croisés · Answer

Bjr Anthony

Pour PC Tools, j'essaierai de l'ouvrir de temps. Il est déjà téléchargé sur l'ordi.

Questions, car je ne comprends pas bien le principe des réceptions de mail : Lorsque je reçois un mail, celui-ci est déjà sur mon ordi ou bien est-il sur une messagerie "style tel portable" jusqu'à ce que je l'ouvre? Et puis lorsque j'ouvre une pièce jointe, celle-ci est-elle systématiquement contrôlée par l'anti-virus? par MBAM et SB?

Merci

anthony5151 · Answer

Un e-mail ne représente un danger que lorsqu'il est ouvert, pas avant ;)

Si tu ouvres une pièce jointe, ton antivirus l'analysera automatiquement (il analyse tous les fichiers qui sont lus ou écrits sur le disque dur)


@+

Mots croisés · Answer

Dis moi.

J'aime à ce que mon ordi soit le plus épuré possible, c'est la raison pourquoi lorsque je désinstalle un logiciel, je recherche partout pour ôter le maximum de fichiers le concernant. "ajout / sup de programmes" - "rechercher" et puis aussi dans "regedit". Tout ça pour dire que j'aimerais également ôter tout ce qui ne me sert pas dans le "gestionnaire des taches",  et désactiver les applications non nécessaires au démarrage de windows dans "l'utilitaire de configuration système". 

D'où ma question. 
Comment savoir à quoi correspondent les termes affichés à ces deux endroits cités en supra? 

Et cette autre question. 
Puis-je te faire un listing de ces applications, ou bien peux-tu les visualiser en me faisant exécuter une manip'? 

Et cette dernière question.
Lorsque tu es intervenu avec Navilog la première fois, tu me l'as fait désinstaller après les maninp'. Lors de la deuxième manip' tu ne l'as pas fait. Puis-je, et dois-je le désinstaller par "ajout / sup"?
Merci

anthony5151 · Answer

Bonjour ;)


Le rapport hijackthis montrait toutes les applications qui se lancent automatiquement au démarrage de Windows (les lignes commençant par 04), et je t'ai déjà fait supprimer celles qui sont toujours inutiles. Il y en a éventuellement d'autres que tu pourrais désactiver, mais tout dépend de l'utilisation que tu fais de ton ordinateur...


Lorsque tu dis "ce qui ne me sert pas dans le gestionnaire des taches", je suppose que tu parles de certains processus ?  Si oui, ça rejoint ce que je t'ai dit au dessus, ainsi que (éventuellement) la désactivation de certains services Windows. Pour ça, je te conseille de regarder sur cette page la partie "III) Désactiver les services inutiles"


Pour navilog tu as raison, c'est un oubli de ma part. Tu peux le désinstaller par Ajout/suppression de programmes, mais il laisse un dossier avec les sauvegardes (il faudra alors que tu le supprimes manuellement).
Sinon, tu peux réutiliser Toolscleaner comme la première fois, qui supprimera toutes les traces des programmes que je t'ai fait utiliser.

Mots croisés · Answer

Merci pour le lien, très intéressant concernant les applications inutiles au démarrage.

Aussi, je rencontre un léger souci concernant une MAJ de sécurité pour Flash Player (KB9237899). Elle ne s'installe pas. A plusieurs reprises je l'ai téléchargée en vain. Je me suis rendu sur différent forum et je constate qu'un grand nombre rencontre ce même problème. Après lecture de plusieurs messages, je n'ai pas eu satisfaction. J'ai la version 10.0.12.36 de Adobe Flash Player, la dernière me semble t-il.
D'où cet appel au secours sans gravité. Peux-tu me dire comment procéder pour l'installer ou bien, ne pas l'installer et faire en sorte qu'elle ne soit plus qu'un souvenir.

Merci

anthony5151 · Answer

"J'ai la version 10.0.12.36 de Adobe Flash Player, la dernière me semble t-il"

Oui c'est bien la dernière version, je viens de faire la mise à jour...

Personnellement, j'ai simplement désinstallé la version que j'avais dans Ajout/suppression de programmes, puis j'ai téléchargé et installé la nouvelle version sur le site d'Adobe (il est préférable de fermer le navigateur pendant la désinstallation et pendant l'installation)

Mots croisés · Answer

Bonjour Anthony

Manip' effectuée concernant Adobe.

Aussi, j'ai 3 programmes Adobe différents sur mon ordi :

- Adobe Flash Player 10 Plugin
- Adobe Flash Player ActiveX
- Adobe Reader 9 - Français

Est-ce 3 Adobe différents et nécessaires 3?

Merci

anthony5151 · Answer

Bonjour :)


Adobe c'est la marque du logiciel, mais ce sont deux logiciels différents : Reader sert à lire des fichiers PDF et FlashPlayer sert à afficher des animations.


Il y a toujours ces deux lignes pour FlashPlayer, et les deux sont nécessaires.

Mots croisés · Answer

Bjr Anthony

Au sujet de "Spyware Blaster". J'ai utilisé Spyware comme tu me l'as préconisé. "Check for Updates" puis retour "Enable All Protection". Et ça me donne quoi d'avoir fait cette manip'? Je ne comprends pas bien. Rien ne s'affiche comme quoi il y a eu une analyse. Je suis un peu perdu là (sourire)))))

JC

Mots croisés · Answer

Anthony

Je fais un scanne avec MBAM et voici le rapport qui s'en suit :

""""""

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1668
Windows 5.1.2600 Service Pack 3

14/02/2009 23:18:37
mbam-log-2009-02-14 (23-18-37).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 114370
Temps écoulé: 35 minute(s), 59 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
C:\WINDOWS\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\winlogon.exe (Trojan.Agent) -> Delete on reboot.

""""""""""""

On fait quelque chose?

Merci

JC

anthony5151 · Answer

J'ai fait une notice complète à propos de SpywareBlaster, je peux te l'envoyer si tu veux. Pour ça, il me faut ton adresse e-mail (donne la moi par message privé pour éviter qu'elle ne soit récupérée pour t'envoyer de la pub)

Sinon, juste une explication rapide ici : ce programme ne fait pas de scan, c'est un programme qui ne fait que de la protection : il vaccine ton ordinateur en bloquant l'accès à des sites infectés, en empêchant certains fichiers de s'enregistrer etc...



Pour le fichier détecté, on va voir ça... Est-ce qu'il est dans la quarantaine de MalwareBytes ?


Poste un rapport RSIT stp. Tu es familier de tout ça maintenant, mais au cas où, je te rappelle comment faire :

• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaitre. Poste le contenu de log.txt

Mots croisés · Answer

Bjr Anthony

- Oui, ce fichier est en quarantaine et je lis : référence 45756. Je ne sais si ça peut te renseigner.

- Je te fais suivre mon adresse pour la notice SB

Merci

""""""""""

Logfile of random's system information tool 1.05 (written by random/random)
Run by Jean Claude at 2009-02-15 09:36:36
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 218 GB (91%) free of 238 GB
Total RAM: 959 MB (57% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:36:59, on 15/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32
vsvc32.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Jean Claude\Local Settings\Marie bis\Dossiers téléchargés\RSIT.exe
C:\Program Files	rend micro\Jean Claude.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.postarticles.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Window  UDP Control Servic] winlogon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC4B47E0-6060-42BE-A32E-BE6A88B33899}: NameServer = 80.10.246.1 81.253.149.2
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

anthony5151 · Answer

Est-ce que tu utilises windows live messenger (msn) ?  La ligne suivante me fait penser à un ver msn :

O4 - HKLM\..\Run: [Window UDP Control Servic] winlogon.exe 



Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

• Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. 
• Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur, puis tapote sur la touche F8 (F5 sur certains PC) juste avant l’apparition du logo Windows. Un menu va apparaître, tu devra choisir de démarrer en mode sans échec. Ouvre ensuite ta session habituelle (si nécessaire) et ne t'inquiète pas si les couleurs et la taille des icônes changent par rapport à d'habitude.

• Puis, ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script et laisse toi guider. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Le rapport SDFix s'ouvrira alors à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

Mots croisés · Answer

- Oui, j'utilise régulièrement MSN

A ce sujet je me suis rendu sur une page "myspace" il y 3 jours et j'ai rencontré ensuite des problèmes sur msn. La fenêtre sur laquelle nous échangeons disparaissait après quelques minutes d'utilisation. Alors j'ai fait un scanne anti virus, puis un scanne avec MBAM. C'est à la suite de ce dernier scanne que j'ai vu "trojan agent".

- Sur l'écran bleu de SDFIX, 3 lettres m'ont été proposées. J'ai coché "N" pour commencer, ensuite "A" pour terminer avec "Y". J'espère qu'il n'y a pas eu gravité dans le fait de ne pas avoir ouvert de suite avec "Y".

Dis moi. J'ai 15 fichiers en quarantaine dans MBAM. Puis-je et dois-je les supprimer?

Merci

Rapports SDFIX et Hijackthis


""""""""""""""""""""""



[b]SDFix: Version 1.240 /b
Run by Jean Claude on 16/02/2009 at 09:22

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files /b: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check /b:
 


                                 [b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-16 09:37:35
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Microsoft Games\Age of Empires II\age2_x1\age2_x1.icd"="C:\Program Files\Microsoft Games\Age of Empires II\age2_x1\age2_x1.icd:*:Enabled:Age of Empires II Expansion"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Documents and Settings\Jean Claude\Local Settings\Temp\IXP000.TMP\SMPCSetup.exe"="C:\Documents and Settings\Jean Claude\Local Settings\Temp\IXP000.TMP\SMPCSetup.exe:*:Enabled:SMPCSetup"
"C:\Documents and Settings\Jean Claude\Local Settings\Temp\IXP000.TMP\smwinvnc.exe"="C:\Documents and Settings\Jean Claude\Local Settings\Temp\IXP000.TMP\smwinvnc.exe:*:Enabled:TightVNC Win32 Server"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files /b:



[b]Files with Hidden Attributes /b:

Thu  8 Mar 2007     5,355,320 A..HR --- "C:\Program Files\Picasa2\setup.exe"
Wed  9 Jan 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

[b]Finished!/b


""""""""""""""""""


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:18:44, on 16/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32
vsvc32.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Jean Claude\Local Settings\Marie bis\Fichiers reçus\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.postarticles.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Window  UDP Control Servic] winlogon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3ADC868-DDF6-46BD-9722-10230F5C332D}: NameServer = 81.253.149.9 80.10.246.132
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

anthony5151 · Answer

Ok, alors c'est probablement un vers msn... Est-ce que dernièrement, tu as reçu un message un peu étrange d'un de tes contacts avec un lien pour télécharger un fichier (généralement de soi-disant "photos") que tu n'as pas pu ouvrir ?

Malheureusement, SDFix ne l'a pas détecté... Tu peux vider la quarantaine de MalwareBytes, oui.



• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\WINDOWS\system32\winlogon.exe 
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport entier sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

Mots croisés · Answer

Bonjour

J'ai répondu au message 47, et je ne vois cette réponse ici même. L'as tu reçu Anthony? 

Merci

anthony5151 · Answer

Re,


Non je ne l'ai pas reçu, et il n'y a pas de message 48 dans ce sujet... Il a dû être bloqué par les filtres automatiques de CCM. Envoie le moi par message privé stp

anthony5151 · Answer

Re,


Le rapport VirusTotal n'est pas lisible, peux-tu me l'envoyer par message privé stp ?


"Au sujet de msn, j'ai cette anecdote à te raconter. Il y a quelques jours, je papote sur un site de rencontre, lorsque je reçois de la correspondante du moment, une longue adresse d'un site ""http:\myspace etc... etc..."" "

Oui, comme je le pensais le winlogon était (je ne le vois plus sur les rapports) une infection MSN.
Ce lien ne t'a pas été envoyé par ta correspondante, c'est l'infection qui l'a fait à son insu. Tu as sans doute envoyé à ton tour ces liens infectés à ton insu après avoir cliqué sur ce lien.

Quand tu reçois des liens bizarres ou inattendus sur MSN, ne clique pas dessus, et demande confirmation à ta contact. Il risque fort de t'indiquer qu'il n'a rien envoyé...

anthony5151 · Answer

Ok, poste un nouveau rapport hijackthis stp

Mots croisés · Answer

Bjr

J'ai envoyé ce rapport sur ton adresse comme tu me l'as recommandé, (c'est bien l'adresse qui figure en début de message à gauche, là ou parait une icone).
Il est illisible car je fais un "copier - coller" du rapport, ce qui a pour cause d'afficher celui-ci sans forme, les lignes à la suite des autres. Pour qu'il soit lisible (ce que j'ai cru), j'ai fait quantité de "copier - coller" du rapport en mettant chaque ligne correctement, ça m'a pris un temps fou. Résultat, il ne t'est pas parvenu. Si tu peux te passer de ce rapport, il est inutile que je recommence, ça ne reproduira rien apparemment.

De plus je te posais cette autre question, à savoir : Est-ce dans tes compétences de me guider sur l'installation de 2 ordis au sein de la cellule familiale avec une connexion internet? Ou bien dois-je me rendre sur d'autres forums? Car sur les questions de connexions, (wi fi, sans fil etc...), je ne comprends absolument rien )))))). A lire des réponses à des questions posées sur les forums, je me rends compte que j'ai eu cette chance que mon premier message fut lu par toi.

J'allais oublier. Concernant "winlogon" de msn. Penses-tu que l'ordi de mon amie (sur lequel nous avons rencontré des problèmes) est infecté lui-aussi? Possible que son antivirus l'ait placé en quarantaine0

Hier samedi, un scanne de antivir m'a bloqué 2 "Dropper.Gen". Ils sont en quarantaine. 

Merci

Mots croisés · Answer

Bonjour Anthony

Depuis plusieurs jours, lorsque j'ouvre mon yahoo, un message volant de la taille d'une petite boite d'allumettes vient s'afficher ainsi : """"Galiote souhaite vous inviter dans sa liste de contact en ligne""". J'ai le choix d'accepter ou de refuser. Bien évidemment je clique sur "refuser" à plusieurs reprises, rien n'y fait. Alors je clique sur "Accepter". Rien n'y fait non plus. Et à chaque ouverture yahoo, j'ai droit à ce message. J'ai recherché "galiote" sur le disque dur (on sait jamais), il n'y a rien. Même recherche sur "regedit". Toujours rien. J'ai fait un scanne de MBAM hier samedi. Aucune infection. Antivir scanne chaque jour à 12h00 et n'a rien donné. Alors mon dernier espoir s'appelle Anthony ))))))))).

PS : Si tu le désires, je peux faire une capture d'écran de mon yahoo avec ce message présent, et te l'adresser sur ta messagerie perso.

Merci

JC

anthony5151 · Answer

Bonsoir,

Je veux bien la capture d'écran stp, pour mieux me rendre compte.

Mots croisés · Answer

Anthony

Mon problème est résolu. Après avoir fait quelques recherches, j'ai appris qu'il y a un messenger sur yahoo. J'ai désactivé celui-ci et je n'ai plus de problème.

Merci

JC

anthony5151 · Answer

Je ne vois pas d'infection sur ce rapport, tu peux faire un scan de vérification avec MalwareBytes si tu veux :

• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes

• Poste le rapport de scan après la suppression ici

anthony5151 · Answer

Ok, fais un scan en ligne Kaspersky pour confirmer :

• Désactive ton antivirus

• Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (avec Internet Explorer uniquement)

• En bas à droite clique sur Démarrer Online-scanner

• Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

• Accepte les Contrôle ActiveX

• Choisis Poste de travail pour le scan.

• Celui-ci terminé, sauvegarde (choisis fichier texte) et poste le rapport. 

• Pour t'aider à utiliser le scan en ligne : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

anthony5151 · Answer

Ok, l'ordinateur n'est pas infecté.

Il faudrait peut-être voir à formater le disque dur pour repartir à neuf ?  Généralement c'est ce que tout le monde fait en récupérant un ordinateur d'occasion ;)

anthony5151 · Answer

Bonjour ;)


Ceci correspond à des restes d'un ver MSN :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Window UDP Control Servic (Malware.Trace)

Ce n'est plus dangereux :)



@+

Un interprète pour cet hijackthis?

54 réponses

Discussions similaires