Infecté par instant access

jennoel -  
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
bonjour, apres plusieurs essai de nettoyage avec cleanup2, asquared, spybot search, ad aware se, ccleaner, ewido en mode sans échec, enlever la clé instant access dans le regitre je suis toujours infesté, quelqu'un pourrait-il m'aider s.v.p. Merci.
(je vous envoiLogfile of HijackThis v1.99.1
Scan saved at 14:43:29, on 2006-05-11
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\MsgSys.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
C:\Documents and Settings\line\Local Settings\Temporary Internet Files\Content.IE5\QB6VIHEJ\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.toile.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D6700CC-3DAC-46B7-81BC-BFED92350FC0}: NameServer = 216.113.116.3 216.113.116.2
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

s mon rapport hijack)
Configuration: window xp professionnel

4 réponses

  1. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    rien de bien mechant, et pas de trace d'instant access ...

    Relance HijackThis : choisis " do a scan only" coche la case devant les lignes ci-dessous et clique en bas sur "fix checked" :

    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    fais ce scan :

    # scan en ligne : colle rapport entier ( s’il y a quelque chose) :

    http://www.bitdefender.fr/bd/site/search.php#

    ++

    ***j'ai decidé d'être heureux parce que c'est bon pour la santé ! ( Voltaire )***
    0
    1. jeannoel
       
      salut Green , je te remercie de m'avoir répondu J'ai fait ce que tu m'as dit. En Passant j'ai toujours des pages porno qui s'affiche. je t'envois le rapport du scan. bitfender. J'attends une réponse Merci.JeannoelBitDefender Online Scanner














      Voie d'analyse: A:\;C:\;D:\;E:\;F:\;







      Statistiques

      Temps
      08:44:08

      Fichiers
      1243726

      Directoires
      10434

      Secteurs de boot
      4

      Archives
      3472

      Paquets programmes
      75138




      Résultats

      Virus identifiés
      1

      Fichiers infectés
      1

      Fichiers suspects
      4

      Avertissements
      0

      Désinfectés
      0

      Fichiers effacés
      5




      Info sur les moteurs

      Définition virus
      374551

      Version des moteurs
      AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

      Analyse des plugins
      13

      Archive des plugins
      40

      Unpack des plugins
      4

      E-mail plugins
      6

      Système plugins
      1




      Paramètres d'analyse

      Première action
      Désinfecté

      Seconde Action
      Supprimé

      Heuristique
      Oui

      Acceptez les avertissements
      Oui

      Extensions analysées
      *;

      Excludez les extensions


      Analyse d'emails
      Oui

      Analyse des Archives
      Oui

      Analyser paquets programmes
      Oui

      Analyse des fichiers
      Oui

      Analyse de boot
      Oui




      Fichier analysé
      Statut

      C:\WINDOWS\SYSTEM32\baground.jpg=>(Embedded EXE g)
      Infecté par: Trojan.Skintrim.B

      C:\WINDOWS\SYSTEM32\baground.jpg=>(Embedded EXE g)
      Echec de la désinfection

      C:\WINDOWS\SYSTEM32\baground.jpg=>(Embedded EXE g)
      Supprimé

      C:\WINDOWS\SYSTEM32\baground.jpg
      Echec de la mise à jour

      D:\Program Files\Network Associates\McAfee VirusScan\BootScan.exe
      Suspecté de: One_Half.3591

      D:\Program Files\Network Associates\McAfee VirusScan\BootScan.exe
      Echec de la désinfection

      D:\Program Files\Network Associates\McAfee VirusScan\BootScan.exe
      Supprimé

      D:\Program Files\Network Associates\McAfee VirusScan\Scan86.exe
      Suspecté de: One_Half.3591

      D:\Program Files\Network Associates\McAfee VirusScan\Scan86.exe
      Echec de la désinfection

      D:\Program Files\Network Associates\McAfee VirusScan\Scan86.exe
      Supprimé

      D:\System Volume Information\_restore{4CF597EA-9408-42DB-A729-9ACA625F4A1F}\RP2\A0003096.exe
      Suspecté de: One_Half.3591

      D:\System Volume Information\_restore{4CF597EA-9408-42DB-A729-9ACA625F4A1F}\RP2\A0003096.exe
      Echec de la désinfection

      D:\System Volume Information\_restore{4CF597EA-9408-42DB-A729-9ACA625F4A1F}\RP2\A0003096.exe
      Supprimé

      D:\System Volume Information\_restore{4CF597EA-9408-42DB-A729-9ACA625F4A1F}\RP2\A0003097.exe
      Suspecté de: One_Half.3591

      D:\System Volume Information\_restore{4CF597EA-9408-42DB-A729-9ACA625F4A1F}\RP2\A0003097.exe
      Echec de la désinfection

      D:\System Volume Information\_restore{4CF597EA-9408-42DB-A729-9ACA625F4A1F}\RP2\A0003097.exe
      Supprimé














      BitDefender Online Scanner



      Rapport d'analyse généré à: Sat, May 13, 2006 - 04:13:31





      Voie d'analyse: A:\;C:\;D:\;E:\;F:\;







      Statistiques

      Temps
      08:44:08

      Fichiers
      1243726

      Directoires
      10434

      Secteurs de boot
      4

      Archives
      3472

      Paquets programmes
      75138




      Résultats

      Virus identifiés
      1

      Fichiers infectés
      1

      Fichiers suspects
      4

      Avertissements
      0

      Désinfectés
      0

      Fichiers effacés
      5




      Info sur les moteurs

      Définition virus
      374551

      Version des moteurs
      AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

      Analyse des plugins
      13

      Archive des plugins
      40

      Unpack des plugins
      4

      E-mail plugins
      6

      Système plugins
      1




      Paramètres d'analyse

      Première action
      Désinfecté

      Seconde Action
      Supprimé

      Heuristique
      Oui

      Acceptez les avertissements
      Oui

      Extensions analysées
      *;

      Excludez les extensions


      Analyse d'emails
      Oui

      Analyse des Archives
      Oui

      Analyser paquets programmes
      Oui

      Analyse des fichiers
      Oui

      Analyse de boot
      Oui




      Fichier analysé
      Statut

      C:\WINDOWS\SYSTEM32\baground.jpg=>(Embedded EXE g)
      Infecté par: Trojan.Skintrim.B

      C:\WINDOWS\SYSTEM32\baground.jpg=>(Embedded EXE g)
      Echec de la désinfection

      C:\WINDOWS\SYSTEM32\baground.jpg=>(Embedded EXE g)
      Supprimé

      C:\WINDOWS\SYSTEM32\baground.jpg
      Echec de la mise à jour

      D:\Program Files\Network Associates\McAfee VirusScan\BootScan.exe
      Suspecté de: One_Half.3591

      D:\Program Files\Network Associates\McAfee VirusScan\BootScan.exe
      Echec de la désinfection

      D:\Program Files\Network Associates\McAfee VirusScan\BootScan.exe
      Supprimé

      D:\Program Files\Network Associates\McAfee VirusScan\Scan86.exe
      Suspecté de: One_Half.3591

      D:\Program Files\Network Associates\McAfee VirusScan\Scan86.exe
      Echec de la désinfection

      D:\Program Files\Network Associates\McAfee VirusScan\Scan86.exe
      Supprimé

      D:\System Volume Information\_restore{4CF597EA-9408-42DB-A729-9ACA625F4A1F}\RP2\A0003096.exe
      Suspecté de: One_Half.3591

      D:\System Volume Information\_restore{4CF597EA-9408-42DB-A729-9ACA625F4A1F}\RP2\A0003096.exe
      Echec de la désinfection

      D:\System Volume Information\_restore{4CF597EA-9408-42DB-A729-9ACA625F4A1F}\RP2\A0003096.exe
      Supprimé

      D:\System Volume Information\_restore{4CF597EA-9408-42DB-A729-9ACA625F4A1F}\RP2\A0003097.exe
      Suspecté de: One_Half.3591

      D:\System Volume Information\_restore{4CF597EA-9408-42DB-A729-9ACA625F4A1F}\RP2\A0003097.exe
      Echec de la désinfection

      D:\System Volume Information\_restore{4CF597EA-9408-42DB-A729-9ACA625F4A1F}\RP2\A0003097.exe
      Supprimé




























      --------------------------------------------------------------------------------





      Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.











      --------------------------------------------------------------------------------
      0
  2. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir jennoel,

    salut green day,

    Quelques fois, egdaccess est bien caché et n'apparaît pas dans hijackthis!

    Si tu permets, green,

    Télécharge Blacklight (de F-Secure)

    https://www.f-secure.com/en

    et sauvegarde le sur ton Bureau.

    Double-clique blbeta.exe et accepte la licence , clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse

    a+
    0
  3. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut Did :)

    y a pas de soucis !

    ++

    0
  4. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    oula ! lol

    fais ce que t'as suggeré Did au poste 2 stp

    ++
    0