[trojans] Infecté par spywares avec rootkit
vincent
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour
Pourriez vous m'aider et m’informer au sujet des trojanss malware, spyware detecté sur mon ordi. Infecté (peut etre après le téléchargement de skype).
Pour le CoolWebSearch détecté
Après recherche sur internet avec la ligne typelib\{110fa82f-db6c-3c24-8929-60961d10c56e}
la description complete est inquietante … trojan et possibilités de Hacker possible y compris avec recherche de données confidentielles et meme bancaires…
Comment se debarraser d’un malware invisible avec La technologie Rootkit ?
Comment estimer les dégats et vols de données? Peut on analyser les données et flux sortants ? En remettant l’adressse de DNS Suspecte voir log ?
Comment se proteger y compris avec Mozilla Firefox . ?
DropMyRights (non encore installé) qui semble donner les memes restrictions qu’une sesssion non administrateur diminue t il considerablement les effets d’attaque ?
_PROBLEME 1: explorateur Window se ferme automatiquement lorsque je fait rechercher ou que je touche l’arborescence
y compris en enregistrant un document...
_PROBLEME 2: Adresse IP DNS renvoyant en Ukraine...
ligne 017 non presente au log de juillet
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A714D2A-E19C-43ED-83A8-CF39458A6861}: NameServer = 85.255.113.204,85.255.112.216
Dans les lignes en 017, on doit trouver les DNS du fournisseur d'accès à Internet.
Pour vérifier l'adresse IP, jai utilise SmartWhois.
_PROBLEME 3 : le llecteur Windows Media Player fait eteindre l’écran (origine peut etre differente)
_PROBLEME 4 : des webdialers apparaissent dans demarrage (j’ai décoché la case ) avec l’emplacement SOFTWARE/Microsoft/Windows/current version /run comment les enlever sans risques ?
j’ai fait _analyse Adware bloque au 83750 objets c/DaS/Vi/mes Doc/Mes D/01 Famille_
Nouv. obj. critiques : 0
Objets détectés jusqu'à présent : 19
Analyse du registre démarrée
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
CoolWebSearch Objet reconnu !
Type : Regkey
Données :
Notation TAC : 10
Catégorie : Malware
Commentaire :
Rootkey : HKEY_CLASSES_ROOT
Objet : typelib\{110fa82f-db6c-3c24-8929-60961d10c56e}
UnSpyPC Objet reconnu !
Type : Regkey
Données :
Notation TAC : 6
Catégorie : Misc
Commentaire :
Rootkey : HKEY_USERS
Objet : S-1-5-21-3476672146-3757435101-538525854-1005\software\unspypc
Résultat de l’analyse du registre :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 2
Objets détectés jusqu'à présent : 21
Selon_La description de virus d'AVIRA TR/Dldr.Agent.tc.4 Description ...
http://www.avira.com/fr/threats/TR_Dldr_Agent_tc_4_details.html
« Nom:TR/Dldr.Agent.tc.4 (chez Symantec: Trojan.Flush.A/ Kaspersky: Trojan-Downloader.Win32.Agent.tc / Bitdefender: Trojan.DNSChanger.R
Effets secondaires:
• Il télécharge des fichiers malveillants
• Il modifie des registres
Potentiel de destruction:Faible à moyen
La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.
mais c'est quoi un rootkit ?
un rootkit est un utilitaire qui va patcher ou remplacer des versions existantes de programme sur une machine de façon à ce qu'un intrus puisse avoir un meilleur contrôles sur celui-ci sans trop eveiller les soupcons de l'administrateur de la machine
Effacer ces traces est donc le thème en vogue pour les pirates hommes d'affaires. Par quels moyens peut-on cacher un programme voleur de données bancaires ou encore un serveur proxy illégal destiné à la diffusion de spams depuis l'ordinateur d'une victime?
Il cache les suivants:
• Ses propres fichiers
• Ses propres clés de registre
La méthode utilisée:
• Caché de Windows API
Détails de fichier
Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables. »
SYSTEME D'EXPLOITATION MICROSOFT WINDOWS XP ÉDITION FAMILIALE
VERSION 5.1.2600 SERVICE PACK 1 NU 2600
ÉDITEUR MICROSOFT CORPORATION
ORDINATEUR
FABRICANT SONBOOK
MODÈLE VT8371
TYPE PC À BASE X86
PROCESSEUR X86 FAMILY 6 MODEL 6 STEPPING 2 AUTHENTICAMD ~1150 MHZ
VERSION DU BIOS/DATE AMERICAN MEGATRENDS INC. 62710, 04/12/2001
VERSION SMBIOS 2.3
RÉPERTOIRE WINDOWS C:\WINDOWS
REPERTOIRE SYSTEME C:\WINDOWS\SYSTEM32
PERIPHERIQUE DE DEMARRAGE \DEVICE\HARDDISKVOLUME1
OPTION REGIONALE FRANCE
COUCHE D'ABSTRACTION MATERIELLE VERSION = "5.1.2600.1106 (XPSP1.020828-1920)"
FUSEAUX HORAIRES EUROPE DE L'OUEST
MEMOIRE PHYSIQUE TOTALE 768,00 MO
MEMOIRE PHYSIQUE DISPONIBLE 501,18 MO
MEMOIRE VIRTUELLE TOTALE 1,75 GO
MEMOIRE VIRTUELLE DISPONIBLE 1,10 GO
ESPACE POUR LE FICHIER D'ECHANGE 1,00 GO
FICHIER D'ECHANGE C:\PAGEFILE.SYS
LOGICIELS DE PROTECTION :
_Norton Internet Security 2005 MAJ hebdo
_ Spybot-S&D
_Ad-Aware SE Personal.lnk
_SpywareGuard IE
_spywareblaster
_Cwshredder
_StartupMonitor
_SafeXP.exe.
_Xp-AntiSpy.
_navigation avec Mozilla Firefox et parfois IE sur une autre session
Logfile of HijackThis v1.98.2
Scan saved at 15:59:54, on 27/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\StartupMonitor.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Palm\HOTSYNC.EXE
C:\Program Files\SpywareGuard\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\cnmsm3q.exe
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\WINDOWS\Speech\Dragon\web_ie.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Service Control Manager] scm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Service Control Manager] scm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A714D2A-E19C-43ED-83A8-CF39458A6861}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B49F8F3-D795-4C97-97F8-3E51C1292ED4}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E89203D-DB68-410B-A261-087B3ABC5546}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8CB61CF-AC0A-4AF5-9B1D-7448BD297BEA}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB710CCE-5529-4F75-B677-3F9E1444A833}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAFDFCD4-304E-485A-AE70-6D9DF788EDC2}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A714D2A-E19C-43ED-83A8-CF39458A6861}: NameServer = 85.255.113.204,85.255.112.216
Merci pour votre aide
Vincent
Pourriez vous m'aider et m’informer au sujet des trojanss malware, spyware detecté sur mon ordi. Infecté (peut etre après le téléchargement de skype).
Pour le CoolWebSearch détecté
Après recherche sur internet avec la ligne typelib\{110fa82f-db6c-3c24-8929-60961d10c56e}
la description complete est inquietante … trojan et possibilités de Hacker possible y compris avec recherche de données confidentielles et meme bancaires…
Comment se debarraser d’un malware invisible avec La technologie Rootkit ?
Comment estimer les dégats et vols de données? Peut on analyser les données et flux sortants ? En remettant l’adressse de DNS Suspecte voir log ?
Comment se proteger y compris avec Mozilla Firefox . ?
DropMyRights (non encore installé) qui semble donner les memes restrictions qu’une sesssion non administrateur diminue t il considerablement les effets d’attaque ?
_PROBLEME 1: explorateur Window se ferme automatiquement lorsque je fait rechercher ou que je touche l’arborescence
y compris en enregistrant un document...
_PROBLEME 2: Adresse IP DNS renvoyant en Ukraine...
ligne 017 non presente au log de juillet
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A714D2A-E19C-43ED-83A8-CF39458A6861}: NameServer = 85.255.113.204,85.255.112.216
Dans les lignes en 017, on doit trouver les DNS du fournisseur d'accès à Internet.
Pour vérifier l'adresse IP, jai utilise SmartWhois.
_PROBLEME 3 : le llecteur Windows Media Player fait eteindre l’écran (origine peut etre differente)
_PROBLEME 4 : des webdialers apparaissent dans demarrage (j’ai décoché la case ) avec l’emplacement SOFTWARE/Microsoft/Windows/current version /run comment les enlever sans risques ?
j’ai fait _analyse Adware bloque au 83750 objets c/DaS/Vi/mes Doc/Mes D/01 Famille_
Nouv. obj. critiques : 0
Objets détectés jusqu'à présent : 19
Analyse du registre démarrée
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
CoolWebSearch Objet reconnu !
Type : Regkey
Données :
Notation TAC : 10
Catégorie : Malware
Commentaire :
Rootkey : HKEY_CLASSES_ROOT
Objet : typelib\{110fa82f-db6c-3c24-8929-60961d10c56e}
UnSpyPC Objet reconnu !
Type : Regkey
Données :
Notation TAC : 6
Catégorie : Misc
Commentaire :
Rootkey : HKEY_USERS
Objet : S-1-5-21-3476672146-3757435101-538525854-1005\software\unspypc
Résultat de l’analyse du registre :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nouv. obj. critiques : 2
Objets détectés jusqu'à présent : 21
Selon_La description de virus d'AVIRA TR/Dldr.Agent.tc.4 Description ...
http://www.avira.com/fr/threats/TR_Dldr_Agent_tc_4_details.html
« Nom:TR/Dldr.Agent.tc.4 (chez Symantec: Trojan.Flush.A/ Kaspersky: Trojan-Downloader.Win32.Agent.tc / Bitdefender: Trojan.DNSChanger.R
Effets secondaires:
• Il télécharge des fichiers malveillants
• Il modifie des registres
Potentiel de destruction:Faible à moyen
La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.
mais c'est quoi un rootkit ?
un rootkit est un utilitaire qui va patcher ou remplacer des versions existantes de programme sur une machine de façon à ce qu'un intrus puisse avoir un meilleur contrôles sur celui-ci sans trop eveiller les soupcons de l'administrateur de la machine
Effacer ces traces est donc le thème en vogue pour les pirates hommes d'affaires. Par quels moyens peut-on cacher un programme voleur de données bancaires ou encore un serveur proxy illégal destiné à la diffusion de spams depuis l'ordinateur d'une victime?
Il cache les suivants:
• Ses propres fichiers
• Ses propres clés de registre
La méthode utilisée:
• Caché de Windows API
Détails de fichier
Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables. »
SYSTEME D'EXPLOITATION MICROSOFT WINDOWS XP ÉDITION FAMILIALE
VERSION 5.1.2600 SERVICE PACK 1 NU 2600
ÉDITEUR MICROSOFT CORPORATION
ORDINATEUR
FABRICANT SONBOOK
MODÈLE VT8371
TYPE PC À BASE X86
PROCESSEUR X86 FAMILY 6 MODEL 6 STEPPING 2 AUTHENTICAMD ~1150 MHZ
VERSION DU BIOS/DATE AMERICAN MEGATRENDS INC. 62710, 04/12/2001
VERSION SMBIOS 2.3
RÉPERTOIRE WINDOWS C:\WINDOWS
REPERTOIRE SYSTEME C:\WINDOWS\SYSTEM32
PERIPHERIQUE DE DEMARRAGE \DEVICE\HARDDISKVOLUME1
OPTION REGIONALE FRANCE
COUCHE D'ABSTRACTION MATERIELLE VERSION = "5.1.2600.1106 (XPSP1.020828-1920)"
FUSEAUX HORAIRES EUROPE DE L'OUEST
MEMOIRE PHYSIQUE TOTALE 768,00 MO
MEMOIRE PHYSIQUE DISPONIBLE 501,18 MO
MEMOIRE VIRTUELLE TOTALE 1,75 GO
MEMOIRE VIRTUELLE DISPONIBLE 1,10 GO
ESPACE POUR LE FICHIER D'ECHANGE 1,00 GO
FICHIER D'ECHANGE C:\PAGEFILE.SYS
LOGICIELS DE PROTECTION :
_Norton Internet Security 2005 MAJ hebdo
_ Spybot-S&D
_Ad-Aware SE Personal.lnk
_SpywareGuard IE
_spywareblaster
_Cwshredder
_StartupMonitor
_SafeXP.exe.
_Xp-AntiSpy.
_navigation avec Mozilla Firefox et parfois IE sur une autre session
Logfile of HijackThis v1.98.2
Scan saved at 15:59:54, on 27/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\StartupMonitor.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Palm\HOTSYNC.EXE
C:\Program Files\SpywareGuard\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\cnmsm3q.exe
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\WINDOWS\Speech\Dragon\web_ie.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Service Control Manager] scm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Service Control Manager] scm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A714D2A-E19C-43ED-83A8-CF39458A6861}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B49F8F3-D795-4C97-97F8-3E51C1292ED4}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E89203D-DB68-410B-A261-087B3ABC5546}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8CB61CF-AC0A-4AF5-9B1D-7448BD297BEA}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB710CCE-5529-4F75-B677-3F9E1444A833}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAFDFCD4-304E-485A-AE70-6D9DF788EDC2}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A714D2A-E19C-43ED-83A8-CF39458A6861}: NameServer = 85.255.113.204,85.255.112.216
Merci pour votre aide
Vincent
A voir également:
- [trojans] Infecté par spywares avec rootkit
- Rootkit - Télécharger - Antivirus & Antimalwares
- Alerte windows ordinateur infecté - Accueil - Arnaque
- Trojan sms-par google - Accueil - Virus
- Google Messages va mieux vous protéger des liens dangereux - Accueil - Messagerie instantanée
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
2 réponses
bsr
merci pour tous ces détails
---------
tu as xp , donc ton log kijack n est pas complet
remettre un hijack
----------
telecharge ceci
ewido (dowload)
http://www.ewido.net/fr/download/
COLLE moi le rapport
------------
avant d envoyer nouvel hijack
fixe ces lignes
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
+
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A714D2A-E19C-43ED-83A8-CF39458A6861}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B49F8F3-D795-4C97-97F8-3E51C1292ED4}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E89203D-DB68-410B-A261-087B3ABC5546}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8CB61CF-AC0A-4AF5-9B1D-7448BD297BEA}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB710CCE-5529-4F75-B677-3F9E1444A833}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAFDFCD4-304E-485A-AE70-6D9DF788EDC2}: NameServer = 85.255.1
13.204,85.255.112.216
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A714D2A-E19C-43ED-83A8-CF39458A6861}: NameServer = 85.255.113.204,85.255.112.216
-----------
je m' aperçois que tu n as pas pas la derniére version d Hijackthis
vire la tienne et installe celle-ci
http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html
merci pour tous ces détails
---------
tu as xp , donc ton log kijack n est pas complet
remettre un hijack
----------
telecharge ceci
ewido (dowload)
http://www.ewido.net/fr/download/
COLLE moi le rapport
------------
avant d envoyer nouvel hijack
fixe ces lignes
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
+
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A714D2A-E19C-43ED-83A8-CF39458A6861}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B49F8F3-D795-4C97-97F8-3E51C1292ED4}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E89203D-DB68-410B-A261-087B3ABC5546}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8CB61CF-AC0A-4AF5-9B1D-7448BD297BEA}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB710CCE-5529-4F75-B677-3F9E1444A833}: NameServer = 85.255.113.204,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAFDFCD4-304E-485A-AE70-6D9DF788EDC2}: NameServer = 85.255.1
13.204,85.255.112.216
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A714D2A-E19C-43ED-83A8-CF39458A6861}: NameServer = 85.255.113.204,85.255.112.216
-----------
je m' aperçois que tu n as pas pas la derniére version d Hijackthis
vire la tienne et installe celle-ci
http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html
re Bonjour
En esperant que j’ai bien suivi l’ordre j’ai dans l’ordre
1_ installer hijackthis-1991 vers. fr
2_j’ai fixé les lignes que tu m’as citées (je n’ai pas touché à la configuration d’origne d’hijackthis-1991 )
3_j’ai installé Ewido et j’ai réalisé l’analyse démarrage/ processus/ connexion voir rapports
pour info j’ai lancé un scan rapide qui a detecté des spyware CWS et autres mais un plantage ne m’a permis pas de savoir s’il les a supprimés .
4_ j’ai fait une nouvelle analyse hijackthis voir logs
le mode restauration est desactivé, je ne suis pas en mode ss echec. Derniere précision le 27.01.2006, Norton Norton AV qui a fait son analyse difficilement (3 essais infructueux) annonce
1_unspyPC (fichier filesafer23.exe)
2_adware.win protect(pppcqm.exe)
3_adwarelivechat (sphlp32.exe)
4_howiper.exe (trojan horse)
---------------------------------------------------------
ewido anti-malware - Rapport de démarrage
---------------------------------------------------------
+ Créé le: 15:50:40, 03/02/2006
+ Somme de contrôle: 12A4A39E
Reg\HKLM\RunServices Service Control Manager scm.exe
Reg\HKLM\Run SMSERIAL sm56hlpr.exe
Reg\HKLM\Run Service Control Manager scm.exe
Reg\HKLM\Run NvCplDaemon RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
Reg\HKLM\Run ccRegVfy "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
Reg\HKLM\Run Run StartupMonitor StartupMonitor.exe
Reg\HKLM\Run Symantec NetDriver Monitor C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
Reg\HKLM\Run ccApp "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
Reg\HKLM\Run SSC_UserPrompt C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
Reg\HKLM\Run KernelFaultCheck %systemroot%\system32\dumprep 0 -k
Reg\HKCU\Run SpybotSD TeaTimer C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
Shell\UserStartup HotSync Manager.lnk C:\Documents and Settings\Vincent\Menu Démarrer\Programmes\Démarrage\HotSync Manager.lnk
Shell\UserStartup SpywareGuard.lnk C:\Documents and Settings\Vincent\Menu Démarrer\Programmes\Démarrage\SpywareGuard.lnk
---------------------------------------------------------
ewido anti-malware - Rapport des processus
---------------------------------------------------------
+ Créé le: 15:53:00, 03/02/2006
+ Somme de contrôle: 8778506E
0: System Process
4: System Process
340: C:\WINDOWS\StartupMonitor.exe
372: C:\WINDOWS\System32\nvsvc32.exe
400: C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
440: \SystemRoot\System32\smss.exe
504: \??\C:\WINDOWS\system32\csrss.exe
532: \??\C:\WINDOWS\system32\winlogon.exe
576: C:\WINDOWS\system32\services.exe
588: C:\WINDOWS\system32\lsass.exe
708: C:\WINDOWS\System32\svchost.exe
752: C:\Program Files\ewido anti-malware\SecuritySuite.exe
780: C:\WINDOWS\system32\svchost.exe
824: C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
832: C:\WINDOWS\System32\svchost.exe
928: C:\WINDOWS\System32\wdfmgr.exe
956: C:\WINDOWS\System32\svchost.exe
1068: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
1084: C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
1108: C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
1128: C:\Program Files\Norton Internet Security\ISSVC.exe
1204: C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
1324: C:\Palm\HOTSYNC.EXE
1340: C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
1356: C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
1452: C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
1572: C:\WINDOWS\system32\NOTEPAD.EXE
1708: C:\WINDOWS\system32\spoolsv.exe
1816: C:\Program Files\ewido anti-malware\ewidoguard.exe
1952: C:\WINDOWS\System32\alg.exe
1984: C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
2060: C:\Program Files\SpywareGuard\SpywareGuard\sgmain.exe
2220: C:\Program Files\SpywareGuard\SpywareGuard\sgbhp.exe
2256: C:\WINDOWS\System32\ctfmon.exe
2852: C:\WINDOWS\explorer.exe
3720: C:\Program Files\ewido anti-malware\ewidoctrl.exe
3892: C:\WINDOWS\system32\NOTEPAD.EXE
---------------------------------------------------------
ewido anti-malware - Rapport de connexion
---------------------------------------------------------
+ Créé le: 15:52:43, 03/02/2006
+ Somme de contrôle: 71B9E29C
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
TCP 81.57.43.160:139 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3004 0.0.0.0:0 LISTENING
UDP 0.0.0.0:500
UDP 81.57.43.160:137
UDP 81.57.43.160:138
__________________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 16:05:19, on 03/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\StartupMonitor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Palm\HOTSYNC.EXE
C:\Program Files\SpywareGuard\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\SecuritySuite.exe
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\WINDOWS\Speech\Dragon\web_ie.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Service Control Manager] scm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Service Control Manager] scm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
Encore Merci pour cette aide précieuse et précise
Vincent
En esperant que j’ai bien suivi l’ordre j’ai dans l’ordre
1_ installer hijackthis-1991 vers. fr
2_j’ai fixé les lignes que tu m’as citées (je n’ai pas touché à la configuration d’origne d’hijackthis-1991 )
3_j’ai installé Ewido et j’ai réalisé l’analyse démarrage/ processus/ connexion voir rapports
pour info j’ai lancé un scan rapide qui a detecté des spyware CWS et autres mais un plantage ne m’a permis pas de savoir s’il les a supprimés .
4_ j’ai fait une nouvelle analyse hijackthis voir logs
le mode restauration est desactivé, je ne suis pas en mode ss echec. Derniere précision le 27.01.2006, Norton Norton AV qui a fait son analyse difficilement (3 essais infructueux) annonce
1_unspyPC (fichier filesafer23.exe)
2_adware.win protect(pppcqm.exe)
3_adwarelivechat (sphlp32.exe)
4_howiper.exe (trojan horse)
---------------------------------------------------------
ewido anti-malware - Rapport de démarrage
---------------------------------------------------------
+ Créé le: 15:50:40, 03/02/2006
+ Somme de contrôle: 12A4A39E
Reg\HKLM\RunServices Service Control Manager scm.exe
Reg\HKLM\Run SMSERIAL sm56hlpr.exe
Reg\HKLM\Run Service Control Manager scm.exe
Reg\HKLM\Run NvCplDaemon RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
Reg\HKLM\Run ccRegVfy "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
Reg\HKLM\Run Run StartupMonitor StartupMonitor.exe
Reg\HKLM\Run Symantec NetDriver Monitor C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
Reg\HKLM\Run ccApp "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
Reg\HKLM\Run SSC_UserPrompt C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
Reg\HKLM\Run KernelFaultCheck %systemroot%\system32\dumprep 0 -k
Reg\HKCU\Run SpybotSD TeaTimer C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
Shell\UserStartup HotSync Manager.lnk C:\Documents and Settings\Vincent\Menu Démarrer\Programmes\Démarrage\HotSync Manager.lnk
Shell\UserStartup SpywareGuard.lnk C:\Documents and Settings\Vincent\Menu Démarrer\Programmes\Démarrage\SpywareGuard.lnk
---------------------------------------------------------
ewido anti-malware - Rapport des processus
---------------------------------------------------------
+ Créé le: 15:53:00, 03/02/2006
+ Somme de contrôle: 8778506E
0: System Process
4: System Process
340: C:\WINDOWS\StartupMonitor.exe
372: C:\WINDOWS\System32\nvsvc32.exe
400: C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
440: \SystemRoot\System32\smss.exe
504: \??\C:\WINDOWS\system32\csrss.exe
532: \??\C:\WINDOWS\system32\winlogon.exe
576: C:\WINDOWS\system32\services.exe
588: C:\WINDOWS\system32\lsass.exe
708: C:\WINDOWS\System32\svchost.exe
752: C:\Program Files\ewido anti-malware\SecuritySuite.exe
780: C:\WINDOWS\system32\svchost.exe
824: C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
832: C:\WINDOWS\System32\svchost.exe
928: C:\WINDOWS\System32\wdfmgr.exe
956: C:\WINDOWS\System32\svchost.exe
1068: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
1084: C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
1108: C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
1128: C:\Program Files\Norton Internet Security\ISSVC.exe
1204: C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
1324: C:\Palm\HOTSYNC.EXE
1340: C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
1356: C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
1452: C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
1572: C:\WINDOWS\system32\NOTEPAD.EXE
1708: C:\WINDOWS\system32\spoolsv.exe
1816: C:\Program Files\ewido anti-malware\ewidoguard.exe
1952: C:\WINDOWS\System32\alg.exe
1984: C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
2060: C:\Program Files\SpywareGuard\SpywareGuard\sgmain.exe
2220: C:\Program Files\SpywareGuard\SpywareGuard\sgbhp.exe
2256: C:\WINDOWS\System32\ctfmon.exe
2852: C:\WINDOWS\explorer.exe
3720: C:\Program Files\ewido anti-malware\ewidoctrl.exe
3892: C:\WINDOWS\system32\NOTEPAD.EXE
---------------------------------------------------------
ewido anti-malware - Rapport de connexion
---------------------------------------------------------
+ Créé le: 15:52:43, 03/02/2006
+ Somme de contrôle: 71B9E29C
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
TCP 81.57.43.160:139 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3004 0.0.0.0:0 LISTENING
UDP 0.0.0.0:500
UDP 81.57.43.160:137
UDP 81.57.43.160:138
__________________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 16:05:19, on 03/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\StartupMonitor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Palm\HOTSYNC.EXE
C:\Program Files\SpywareGuard\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\SecuritySuite.exe
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\WINDOWS\Speech\Dragon\web_ie.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Service Control Manager] scm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Service Control Manager] scm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
Encore Merci pour cette aide précieuse et précise
Vincent
Salut,
fait ce scan anti-virus en ligne et colle le rapport ici une fois qu'il à terminé
http://www.bitdefender.fr/scan/license.php
ou celui là si l'autre ne fonctionne pas
http://www.kaspersky.com/scanforvirus
A++
fait ce scan anti-virus en ligne et colle le rapport ici une fois qu'il à terminé
http://www.bitdefender.fr/scan/license.php
ou celui là si l'autre ne fonctionne pas
http://www.kaspersky.com/scanforvirus
A++
En esperant que j’ai bien suivi l’ordre j’ai dans l’ordre
1_ installer hijackthis-1991 vers. fr
2_j’ai fixé les lignes que tu m’as citées (je n’ai pas touché à la configuration d’origne d’hijackthis-1991 )
3_j’ai installé Ewido et j’ai réalisé l’analyse démarrage/ processus/ connexion voir rapports
pour info j’ai lancé un scan rapide qui a detecté des spyware CWS et autres mais un plantage ne m’a permis pas de savoir s’il les a supprimés .
4_ j’ai fait une nouvelle analyse hijackthis voir logs
le mode restauration est desactivé, je ne suis pas en mode ss echec. Derniere précision le 27.01.2006, Norton Norton AV qui a fait son analyse difficilement (3 essais infructueux) annonce
1_unspyPC (fichier filesafer23.exe)
2_adware.win protect(pppcqm.exe)
3_adwarelivechat (sphlp32.exe)
4_howiper.exe (trojan horse)
---------------------------------------------------------
ewido anti-malware - Rapport de démarrage
---------------------------------------------------------
+ Créé le: 15:50:40, 03/02/2006
+ Somme de contrôle: 12A4A39E
Reg\HKLM\RunServices Service Control Manager scm.exe
Reg\HKLM\Run SMSERIAL sm56hlpr.exe
Reg\HKLM\Run Service Control Manager scm.exe
Reg\HKLM\Run NvCplDaemon RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
Reg\HKLM\Run ccRegVfy "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
Reg\HKLM\Run Run StartupMonitor StartupMonitor.exe
Reg\HKLM\Run Symantec NetDriver Monitor C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
Reg\HKLM\Run ccApp "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
Reg\HKLM\Run SSC_UserPrompt C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
Reg\HKLM\Run KernelFaultCheck %systemroot%\system32\dumprep 0 -k
Reg\HKCU\Run SpybotSD TeaTimer C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
Shell\UserStartup HotSync Manager.lnk C:\Documents and Settings\Vincent\Menu Démarrer\Programmes\Démarrage\HotSync Manager.lnk
Shell\UserStartup SpywareGuard.lnk C:\Documents and Settings\Vincent\Menu Démarrer\Programmes\Démarrage\SpywareGuard.lnk
---------------------------------------------------------
ewido anti-malware - Rapport des processus
---------------------------------------------------------
+ Créé le: 15:53:00, 03/02/2006
+ Somme de contrôle: 8778506E
0: System Process
4: System Process
340: C:\WINDOWS\StartupMonitor.exe
372: C:\WINDOWS\System32\nvsvc32.exe
400: C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
440: \SystemRoot\System32\smss.exe
504: \??\C:\WINDOWS\system32\csrss.exe
532: \??\C:\WINDOWS\system32\winlogon.exe
576: C:\WINDOWS\system32\services.exe
588: C:\WINDOWS\system32\lsass.exe
708: C:\WINDOWS\System32\svchost.exe
752: C:\Program Files\ewido anti-malware\SecuritySuite.exe
780: C:\WINDOWS\system32\svchost.exe
824: C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
832: C:\WINDOWS\System32\svchost.exe
928: C:\WINDOWS\System32\wdfmgr.exe
956: C:\WINDOWS\System32\svchost.exe
1068: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
1084: C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
1108: C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
1128: C:\Program Files\Norton Internet Security\ISSVC.exe
1204: C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
1324: C:\Palm\HOTSYNC.EXE
1340: C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
1356: C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
1452: C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
1572: C:\WINDOWS\system32\NOTEPAD.EXE
1708: C:\WINDOWS\system32\spoolsv.exe
1816: C:\Program Files\ewido anti-malware\ewidoguard.exe
1952: C:\WINDOWS\System32\alg.exe
1984: C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
2060: C:\Program Files\SpywareGuard\SpywareGuard\sgmain.exe
2220: C:\Program Files\SpywareGuard\SpywareGuard\sgbhp.exe
2256: C:\WINDOWS\System32\ctfmon.exe
2852: C:\WINDOWS\explorer.exe
3720: C:\Program Files\ewido anti-malware\ewidoctrl.exe
3892: C:\WINDOWS\system32\NOTEPAD.EXE
---------------------------------------------------------
ewido anti-malware - Rapport de connexion
---------------------------------------------------------
+ Créé le: 15:52:43, 03/02/2006
+ Somme de contrôle: 71B9E29C
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
TCP 81.57.43.160:139 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3004 0.0.0.0:0 LISTENING
UDP 0.0.0.0:500
UDP 81.57.43.160:137
UDP 81.57.43.160:138
__________________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 16:05:19, on 03/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\StartupMonitor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Palm\HOTSYNC.EXE
C:\Program Files\SpywareGuard\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\SecuritySuite.exe
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\WINDOWS\Speech\Dragon\web_ie.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Service Control Manager] scm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Service Control Manager] scm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
Encore Merci pour cette aide précieuse et précise
Vincent