Trojan Qhosts TRES résistant !

Thom -  
aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur -
Bonjour à tous !

Je viens d'acquérir une nouvelle machine (PIV 2,9 , 512 Mo, Win XP Pro) auprès d'un particulier... donc elle n'est plus neuve.

Quelle n'a pas été ma surprise de voir que la bestiole était infestée de virus et Trojan divers (13 au premier scan de Mc afee). Tous sont partis. Tous sauf un !

Ce fichu Qhosts.apd caché dans le fichier Hosts dans c://winsows/system32/drivers/etc

Mc afee le localise, le supprime, mais il revient.

Je poste parce que les symptomes sont différents : il n'y en a pas ! Aucune difficulté à naviguer, pas de changement de page d'accueil,... Seul souci : lorsque je le supprime; et que je suis connecté sur le net, il réapparait de suite.
Si je ne suis pas connecté, il se supprime et ça roule.

J'ai tenté par deux fois des procédures de démarrage sans échec (après avoir désactivé la procédure de restauration). J'ai fait tourner la première fois a² free, Mc afee, a² free, Mc afee.
La seconde fois, j'ai tenté la même procédure, mais avec ad-aware.

A chaque fois, les anti-malwares détéctent des fichiers suspects, mais pas celui-là... Seul Mc afee le détecte et le supprime.
Je fais le démarrage sans échec en étant connecté (mais j'ai l'impression que je ne suis pas vraiment sur le net... faut-il demander le mode sans échec avec prise en charge du réseau ?)

Et à chaque connexion sur le net, j'ai mon alerte comme quoi je suis infesté par ce Trojan !

CA ME SAOULE !

Si vous avez une solution plsu efficace, je suis preneur... Merci par avance.

Ah oui, une dernière chose : j'ai été fouiner dans la base de registre, mais je n'ose pas trop y toucher de peur de faire une bêtise !

Merci encore pour votre aide.

14 réponses

  1. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    re
    très bien ce que tu as fait
    suis content de rencontrer qqu un qui comprend du 1er coup, tout simplement pcq il a pris le tps - bravo, c est si rare

    je lis ton logfile
    qques bricoles à supprimer pour ton confort de surf
    0
  2. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    hello

    3/ - Ewido (dowload)- gratuit même après 14 jours d’essai
    http://perso.wanadoo.fr/entraide-hijackthis/Ewido/
    Copie/COLLE le rapport généré sur ce forum

    6/ - Scan online avec BitDefender – fonctionne uniquement sous Internet Explorer en acceptant l’activX (à défaut de réussite, essaie avec Kasper et Panda )
    https://assiste.com/404_La_page_demandee_n_existe_pas.php
    Copie/COLLE le rapport entier

    7/ - Hijackthis – outil de diagnostic et réparation
    lire démo
    http://pageperso.aol.fr/balltrap34/Hijenr.gif
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    Téléchargement version française
    http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html

    Au boulot – Bon courage
    0
  3. Thom
     
    Voilà M'sieur ! J'ai fait mes devoirs !!!

    Avec HiJackThis : (d'ailleurs, au début, il y a eu un message qui me semblait d'erreur, mais apparamment, ça s'est passé normalement...)

    Logfile of HijackThis v1.99.1
    Scan saved at 11:37:31, on 27/04/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate\SPF\smc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\PROMon.exe
    C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\WINDOWS\system32\svchozt.exe
    c:\program files\mcafee.com\agent\mcdetect.exe
    C:\Program Files\McAfee.com\VSO\mcvsshld.exe
    C:\Program Files\McAfee.com\VSO\oasclnt.exe
    C:\PROGRA~1\mcafee.com\agent\mcagent.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\MSMSGS.EXE
    c:\PROGRA~1\mcafee.com\vso\mcshield.exe
    c:\progra~1\mcafee.com\vso\mcvsescn.exe
    c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\NMSSvc.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    c:\progra~1\mcafee.com\vso\mcvsftsn.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\ewido anti-malware\ewidoguard.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\WINDOWS\SynCor.exe
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ebay.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NC NUMERICABLE
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [Windows Helper] C:\WINDOWS\system32\svchozt.exe
    O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
    O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
    O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
    O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
    O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
    O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
    O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
    O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
    O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
    O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
    O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
    O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

    Avec Panda (BitDefender n'a rien donné) :

    Incident Statut Analyse

    Spyware:Cookie/24/7 Realmedia
    No Désinfecté
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@247realmedia[1].txt
    Spyware:Cookie/2o7
    No Désinfecté
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@2o7[1].txt
    Spyware:Cookie/Advertising
    No Désinfecté
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@advertising[1].txt
    Spyware:Cookie/Atlas DMT
    No Désinfecté
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@atdmt[2].txt
    Spyware:Cookie/Bluestreak
    No Désinfecté
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@bluestreak[1].txt
    Spyware:Cookie/Doubleclick
    No Désinfecté
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@doubleclick[2].txt
    Spyware:Cookie/Tradedoubler
    No Désinfecté
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@tradedoubler[1].txt
    Spyware:Cookie/Weborama
    No Désinfecté
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@weborama[2].txt
    Spyware:Cookie/Xiti
    No Désinfecté
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@xiti[1].txt
    Adware:adware/exact.bargainbuddy
    No Désinfecté C:\WINDOWS\launcher.exe Et enfin avec Ewido :
    Créé le: 11:33:10, 27/04/2006
    + Somme de contrôle: 1C25CCF7

    + Résultats du scan:

    [432] C:\WINDOWS\system32\svchozt.exe -> Trojan.Qhost.gn : Ignoré
    C:\cxx.exe -> Trojan.Qhost.gn : Ignoré
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@247realmedia[1].txt -> TrackingCookie.247realmedia : Ignoré
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@2o7[1].txt -> TrackingCookie.2o7 : Ignoré
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@advertising[1].txt -> TrackingCookie.Advertising : Ignoré
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@atdmt[2].txt -> TrackingCookie.Atdmt : Ignoré
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@bluestreak[2].txt -> TrackingCookie.Bluestreak : Ignoré
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@estat[1].txt -> TrackingCookie.Estat : Ignoré
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Ignoré
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoré
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Ignoré
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@weborama[2].txt -> TrackingCookie.Weborama : Ignoré
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Ignoré
    C:\WINDOWS\system32\svchozt.exe -> Trojan.Qhost.gn : Ignoré
    C:\WINDOWS\system32\TFTP432 -> Backdoor.Rbot.are : Ignoré

    Je ne les ai pas supprimé en attendant de voir s'il ne valait pas mieux les supprimer en mode sans échec.

    Voilà, merci pour les instructions, j'attends avec impatience vos recommandations.

    Merci encore une fois.

    Tchô
    0
  4. Thom
     
    Désolé pour le dernier rapport, j'ai loupé mon coup, et il est collé au second.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    re
    d une maniére générale le mode sans échec est à priviligier pour nettoyer
    d une part en usant de spybot+ad-aware+ewido+ cleanup40
    d autre part pour les suppressions manuelles en oubliant pas de faire
    apparaître les dossiers cachés du system32

    tu as donc parfaitement compris la procédure

    il est possible que tu n arrives pas à tt supprimer et qu il faille utiliser un logiciel tueur pour certains
    auquel cas, tiens- moi au courant de tes actions, te donnerai un coup de main
    0
  7. Thom
     
    Re-bonjour !

    Après avoir un peu fouiné dans le forum, j'ai mieux compris ce que j'avais à faire !

    Donc, j'ai lancé Ewido en lui demandant de supprimer tous les programmes malveillants, voilà le rapport :

    + Créé le: 13:04:09, 27/04/2006
    + Somme de contrôle: 658FF84B

    + Résultats du scan:

    [432] C:\WINDOWS\system32\svchozt.exe -> Trojan.Qhost.gn : Nettoyer et sauvegarder
    C:\cxx.exe -> Trojan.Qhost.gn : Nettoyer et sauvegarder
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@advertising[1].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Nettoyer et sauvegarder
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
    C:\Documents and Settings\utilisateur\Cookies\utilisateur@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
    C:\WINDOWS\system32\svchozt.exe -> Trojan.Qhost.gn : Nettoyer et sauvegarder
    C:\WINDOWS\system32\TFTP432 -> Backdoor.Rbot.are : Nettoyer et sauvegarder

    Ca en fait 15 de moins ! Et ô merveille, après avoir supprimé ces 15 là, aucun problème pour supprimer Qhosts.apd avec Mc Afee. Pour le moment, il n'est pas revenu !

    J'ai ensuite relancé Panda, qui m'en a trouvé 2 (dont un lié à Adware si je comprends bien... je trouve ça bizarre...)
    Voilà le rapport :

    Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\utilisateur\Cookies\utilisateur@xiti[1].txt
    Adware:adware/exact.bargainbuddy No Désinfecté C:\WINDOWS\launcher.exe
    ET enfin, j'ai relancé HiJackThis, et voilà le log :

    Logfile of HijackThis v1.99.1
    Scan saved at 13:46:59, on 27/04/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate\SPF\smc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\PROMon.exe
    C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    c:\program files\mcafee.com\agent\mcdetect.exe
    C:\Program Files\McAfee.com\VSO\mcvsshld.exe
    C:\Program Files\McAfee.com\VSO\oasclnt.exe
    C:\PROGRA~1\mcafee.com\agent\mcagent.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\MSMSGS.EXE
    c:\PROGRA~1\mcafee.com\vso\mcshield.exe
    c:\progra~1\mcafee.com\vso\mcvsescn.exe
    c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\NMSSvc.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    c:\progra~1\mcafee.com\vso\mcvsftsn.exe
    C:\Program Files\ewido anti-malware\ewidoguard.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\WINDOWS\SynCor.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ebay.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NC NUMERICABLE
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
    O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
    O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
    O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
    O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
    O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
    O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
    O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
    O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
    O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
    O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
    O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

    J'espère avoir bien nettoyé... Même s'il reste les deux découverts par Panda...

    Merci de me dire si le log est bon ou s'il faut que je fasse tourner d'autres anti-malware...

    Merci beaucoup en tout cas pour ces précieux conseils.

    Tchô.
    0
  8. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    re
    ai pas fini de lire le log
    un truc me choque
    n 'as tu pas 2 p-feu ?
    celui apparent : Sygate
    et un autre inclus ds la suite MacAfee ??
    0
  9. Thom
     
    Merci beaucoup pour le compliment.

    Merci à toi surtout aranjuez31 pour tes précieux conseils.

    Pour ce qui est des pare-feu, j'ai bien installé Sygate, parce que je n'ai que l'antivirus sous Mc Afee, l'option du pare-feu n'était pas comprise dedans... (en fait, c'est le PC de mes parents, et ils se contentaient de l'antivirus, et donc je leur ai mis Sygate parce que j'avais avant essayé Zone Alarm qui avait des problèmes avec certaines logiciels...)

    Bref, il y a trois pare-feu : Sygate, le principal, celui d'XP en secondaire et celui de Mc Afee pour faire joli ! (en fait, je pensais qu'aucuns éléments du pare-feu de Mc Afee n'était présent...)

    Voili.

    Pour le reste à nettoyer, je pense laisser ça pour le moment (je sors de 24 heures de lutte avec Qhosts, je vais aller me reposer un peu !!! lol). Tant que le PC et les données personnelles du PC ne sont pas en jeu, ça le fait.

    Merci encore de tes conseils et à bientôt !

    Tchô.
    0
    1. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
       
      re
      régle d or à appliquer immédiatement :
      1 seul antivirus + 1 seul pare-feu + flopée d utilitaires possible
      donc action, car risque de conflits latents

      za est très bon mais agaçant qd mal configuré
      0
  10. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    re
    nettoyage du logfile
    ouvre hijack
    coche et fixe lignes suivantes :

    ( pour ton info : tjrs les 015 et 016 aveuglément )
    O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
    O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
    +
    (pour optimiser en supprimant log inutiles au run)

    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    =========
    note que ces lignes seront placés en sauvegarde et qu à tt momen tu peux les faire revenir si tu constates un ennui

    0
  11. Thom
     
    Petit désagrément du nettoyage par HiJackThis, j'ai du réinstaller mon antivirus...

    C'est fait, je lance un dernier scan pour voir si tout va bien.

    Tchô.
    0
  12. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    argh
    ai peut-être fait cocher une ligne légitime
    mea culpa surement
    à l avenir il faudra que je me relise
    0
  13. mike
     
    aranjuez31 serait il possible d'avoir ton mail et/ou de dial avec toi sur msn j'aimerais des conseils et surtout savoir si tu es connecté ici j'arrive pas à te parler en privé si c'est possible dis moi comment ? mais l'adresse msn ca serait le top merci
    0
  14. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    hello
    ai courriel sous mon nom
    ai skype aussi
    0