YourSiteBar : Comment Moe31 a-t-il fait ? Résolu/Fermé

Question

Bonjour à tous,

Je suis en train de nettoyer l'ordinateur d'un ami et il ne reste qu'un seul et unique problème : Yoursitebar.

La solution pour désinstaller ce trojan et effacer la clef de registre qui y est attachée (HKEY_LOCAL_MACHINE\software\YourSiteBar) est presque introuvable sur le net.

Presque... sauf sur ce forum.

Et plus précisément au post 128 de ce sujet de Janvier :
virus je sais plus quoi faire

La solution repose sur une application concotée par Moe31 inspirée de S!ri (le créateur de smitfraudfix). 
Au post 138, dialogant avec Jess15 et balltrap34, le secret est révélé ;-) je cite :
"La manip a été extraite de smitfraudfix et adaptée pour sa clé, lol "

Mais cette application n'est plus à l'adresse indiquée.
Et Moe31 semble avoir disparu du forum Commentçamarche !

Résultat je ne sais comment retirer ce trojan alors que la solution était à un clic. 

Queqlu'un saurait-il ce qu'il est adevenu de Moe31 ?
Et quelqu'un sait-il ce qu'il avait mis au point pour éradiquer cette satanée clef de registre ?

Par avance merci à ceux (et celles) qui sauront réssusiter ce poste qui m'avait rempli d'espoir ;-D

NB : la solution à yoursitebar ne se trouve vraiment nulle part ailleurs, d'où ma fébrilité en postant ce premier message sur le Forum des experts de CCM...

Séb08 · Answer

slt,

Télécharges smitfraudfix :
 
En image : 
http://siri.urz.free.fr/Fix/SmitfraudFix.php

tu le décompresses tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1 
cela vas générer un rapport.
Si tu vois des lignes avec PRESENT! Continue la manip qui suit.

Redémarres le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le mode sans échec) 

- Ouvre le dossier "SmitfraudFix" et double clic sur "Smitfraudfix.cmd", choisit l’option 2 et tu réponds oui à tout. 

Copie/colle le rapport sur le forum stp.

a+

Le goupil · Answer

ok, merci seb08.

Je vais faire ça quand j'aurais accès à l'ordinateur de mon ami, c'est à dire Samedi.
Je te poste ça dès que c'est fait.

C'est à partir de ce rapport que l'on peut customiser un fichier .dat spécifique pour virer ce trojan que SmitfraudFix n'enlève pas tout seul ?

Séb08 · Answer

ok on va voir ce que ça donne ...

Je ne sais pas qu'elle modif a fait Moe pour supprimer  cette M***** mais comme le fix evolu souvent peut être qu'il en fait partie maintenant pour la virer.

a+

Le goupil · Answer

Salut Seb08,

Voila le premier rapport de SmitFraudFix :

SmitFraudFix v2.113

Rapport fait à 15:45:04,84, 28/10/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Je te poste le deuxième dans quelques minutes.

DrUp · Answer

Salut Le goupil

Enjoy ;-)

a++

^^Marie^^ · Answer

Slt,

Tu peux faire un Hitjakthis
stp
merci
F -  Hijackthis - Outil de diagnostic et réparation 
lire démo 
http://pageperso.aol.fr/balltrap34/Hijenr.gif 
http://pageperso.aol.fr/balltrap34/demohijack.htm 
Télécharge version française ici 
http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html 
Copie/colle le rapport 

Bon courage 

A++


ps: il fait de téléchargement ? (EMule ou autre?)??

Le goupil · Answer

Pour Seb08

Le deuxième rapport SmitFraudFix :

SmitFraudFix v2.113

Rapport fait à 16:19:31,93, 28/10/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Le goupil · Answer

Pour Marie (salut Marie) :

Son frère a peut-être utilisé un P2P y'a deux trois ans mais depuis il n'y a plus de djeunes pirates dans la demeure.
Et sa mère c'est sûr que non ;-)

Le log :


Logfile of HijackThis v1.99.1
Scan saved at 15:40:06, on 28/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\system32\WgaTray.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\HiJackThis - Pilou - Ne pas toucher !\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://outlook.live.com/owa/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=354&client_id=54F7D5E001C662280069FF3A&version=4.2.0.0&it=1145282834&loc=&qry=&url=http://www.hotmail.com/ (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://info.cityjet.com/iNotes.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/290b62b713b38a263906/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102108780828
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2flg.home.microsoft.com%2fsearch%2flobby%2fsearchsettings.cab%3f
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9756F8F-96A0-43BF-80A3-7967FAE6EC2B}: NameServer = 212.27.32.177,212.27.32.176
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINNT\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Le goupil · Answer

Salut  DrUp,

Merci pour le fix !

Comme je suis pas très à l'aise avec ça je vais te poser une question bête : je double-clic dessus et je laisse faire pis je refais un coup de spybot ou y'a autre chose à faire ?

^^Marie^^ · Answer

Ton log fait plaisir à lire, il est clean

fait ce qui suit 


C - Ccleaner : ( nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc..) 
Télécharge ici : 
https://www.ccleaner.com/ccleaner/download 
Tutorial ici: 
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php 

D – Ewido 
https://www.malekal.com/tutorial-et-guide-ewido-v4/ 
ou 
http://www.infos-du-net.com/telecharger/Ewido-Anti-Malware.html 

Mets le à jour en cliquant update now. 
Fais un "complete system scan". 
A la fin du scan, vérifie qu'il y est bien marqué "delete à côté de chaque malware et clique seulement sur : "Apply all actions" 
Ensuite, clique sur "Save Report " puis "Save report as" et sauve le rapport dans tes documents. 

Copie/colle le rapport 



A++

Séb08 · Answer

je vous laisse pour ce week end !

a+ ;-)

Le goupil · Answer

DrUp ton fix fonctione à merveille !!! Merci x1000 !!!

Seb08 : bon week-end à toi.

Marie : "Ton log fait plaisir à lire, il est clean "
C'était le but de toutes mes manoeuvres de sioux ;-)

Effectivement, je pensais re-passer un petit coup de CCleaner pour parachever le travail.
Quant à Ewido j'hésitais à faire un scan, mais tu as parafitement raison, tant qu'à faire, autant en profiter.

Merci encore à vous trois !
Et bon week-end !

PS : Marie, tu veux vraiment que je te poste le log de Ewido ou c'est une forumle automatique ?
Comme c'est assez long je posterai ça un peu plus tard.

^^Marie^^ · Answer

oui j'aimerai bien voir
Quand tu veux
Merci
Bizz

Le goupil · Answer

Et voila le log :

NB : WinVNC est un logiciel que la maman veut garder pour communiquer avec une personne de sa famille... d'où le "ignored"

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

 + Created at:	20:25:49 28/10/2006

 + Scan result:	



C:\Program Files\Aprps -> Adware.Apropos : Cleaned with backup (quarantined).
C:\Program Files\Aprps\AI_15-07-2006.log -> Adware.Apropos : Cleaned with backup (quarantined).
C:\Program Files\Aprps\AI_16-07-2006.log -> Adware.Apropos : Cleaned with backup (quarantined).
C:\Program Files\Aprps\AI_17-07-2006.log -> Adware.Apropos : Cleaned with backup (quarantined).
C:\Program Files\Aprps\AI_21-07-2006.log -> Adware.Apropos : Cleaned with backup (quarantined).
C:\Program Files\Aprps\ProxyStub.dll -> Adware.Apropos : Cleaned with backup (quarantined).
C:\Program Files\Aprps\WinGenerics.dll -> Adware.Apropos : Cleaned with backup (quarantined).
C:\Program Files\Aprps\atl.dll -> Adware.Apropos : Cleaned with backup (quarantined).
C:\Program Files\Aprps\libexpat.dll -> Adware.Apropos : Cleaned with backup (quarantined).
C:\Program Files\Aprps\uninstaller.exe -> Adware.Apropos : Cleaned with backup (quarantined).
C:\WINNT\NDNuninstall4_34.exe -> Adware.NewDotNet : Cleaned with backup (quarantined).
C:\WINNT\NDNuninstall4_88.exe -> Adware.NewDotNet : Cleaned with backup (quarantined).
C:\WINNT\NDNuninstall4_94.exe -> Adware.NewDotNet : Cleaned with backup (quarantined).
C:\WINNT\NDNuninstall5_40.exe -> Adware.NewDotNet : Cleaned with backup (quarantined).
C:\WINNT\NDNuninstall6_10.exe -> Adware.NewDotNet : Cleaned with backup (quarantined).
C:\Documents and Settings\olivier\Application Data\Starware -> Adware.Starware : Cleaned with backup (quarantined).
C:\Documents and Settings\olivier\Application Data\Starware\Manager -> Adware.Starware : Cleaned with backup (quarantined).
C:\Documents and Settings\olivier\Application Data\Starware\Manager\ManagerOptions.xml -> Adware.Starware : Cleaned with backup (quarantined).
C:\Documents and Settings\olivier\Application Data\Starware\Manager\ManagerOptions.xml.backup -> Adware.Starware : Cleaned with backup (quarantined).
C:\Program Files\RealVNC\VNC4\winvnc4.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.4110 : Ignored.
[1660] C:\Program Files\RealVNC\VNC4\WinVNC4.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.4110 : Ignored.
C:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\Invité\Cookies\invité@microsoftwga.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@aolfr.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@msninvite.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@redcats.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@sfr.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\olivier\Cookies\olivier@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\olivier\Cookies\olivier@sfr.122.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@rotator.adjuggler[1].txt -> TrackingCookie.Adjuggler : Cleaned.
:mozilla.109:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Adtech : Cleaned.
:mozilla.110:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Adtech : Cleaned.
:mozilla.90:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Atdmt : Cleaned.
C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[1].txt -> TrackingCookie.Atdmt : Cleaned.
:mozilla.78:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Bfast : Cleaned.
:mozilla.97:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Bluestreak : Cleaned.
C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned.
:mozilla.23:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Comclick : Cleaned.
:mozilla.24:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Comclick : Cleaned.
:mozilla.58:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Doubleclick : Cleaned.
C:\Documents and Settings\françois\Cookies\françois@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned.
:mozilla.122:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Estat : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@goldenpalace[2].txt -> TrackingCookie.Goldenpalace : Cleaned.
:mozilla.100:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Hitbox : Cleaned.
:mozilla.10:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Hitbox : Cleaned.
:mozilla.12:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Hitbox : Cleaned.
:mozilla.13:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Hitbox : Cleaned.
:mozilla.8:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Hitbox : Cleaned.
:mozilla.93:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Hitbox : Cleaned.
:mozilla.94:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Hitbox : Cleaned.
:mozilla.95:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Hitbox : Cleaned.
:mozilla.9:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Hitbox : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@ivwbox[1].txt -> TrackingCookie.Ivwbox : Cleaned.
:mozilla.86:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Mediaplex : Cleaned.
:mozilla.87:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Mediaplex : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@www.myaffiliateprogram[2].txt -> TrackingCookie.Myaffiliateprogram : Cleaned.
C:\Documents and Settings\pierre\Cookies\pierre@need2find[1].txt -> TrackingCookie.Need2find : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@ads.planetactive[1].txt -> TrackingCookie.Planetactive : Cleaned.
:mozilla.96:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Questionmarket : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Cleaned.
C:\Documents and Settings\Administrateur\Cookies\administrateur@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@h.starware[2].txt -> TrackingCookie.Starware : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@try.starware[1].txt -> TrackingCookie.Starware : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@login.tracking101[2].txt -> TrackingCookie.Tracking101 : Cleaned.
:mozilla.73:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Valueclick : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@www.web-stat[1].txt -> TrackingCookie.Web-stat : Cleaned.
C:\Documents and Settings\olivier\Cookies\olivier@web-stat[2].txt -> TrackingCookie.Web-stat : Cleaned.
:mozilla.17:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Weborama : Cleaned.
C:\Documents and Settings\jeanine\Cookies\jeanine@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Cleaned.
:mozilla.88:C:\Documents and Settings\olivier\Application Data\Mozilla\Profiles\default\65ki5kdf.slt\cookies.txt -> TrackingCookie.Zedo : Cleaned.


::Report end


Alors ? ;-)

^^Marie^^ · Answer

Slt,

Vide la quarantaine

A++

Le goupil · Answer

Bonjour Marie

La quarantaine tu la vides avec CCleaner ou manuellement (et euh... c'est où...) ?

J'ai aussi trois petites questions complémentaires pour toi : 

1 - sur l'ordi il y a plusieurs sessions utilisateurs (toutes protégées par un mot de passe).
Faut-il faire un scan (ad-aware, spybot, ccleaner etc.) et un log Hijack pour chaque session ou un seul sur le compte administrateur suffit ?

2 - en lisant plusieurs postes sur le forum, je viens de me rendre compte que je n'avais pas désactivé la restauration du système ni « afficher les fichiers et dossiers cachés »... c'est grave (= faut-il refaire tout le cycle de nettoyage) ?

3 -  enfin, j'ai vu sur un autre post que pour faire un nettoyage vraiment complet, on pouvait (devait ?) utiliser "Notracks.exe" et "a² free".
Faut-il le faire où est-ce que ça fait doublon avec toutes les manips que j'ai déja effectuées (tout ce qui est dit plus haut + scan on-line + nettoyage du registre +...) ?

Merci pour ton savoir et tes conseils.
Et bon dimanche à toi sous mes applaudissements ;-D

Le goupil · Answer

Marie, m'aurais-tu oublié comme une vulgaire chaussette ? ;-)

Je viens de trouver que Ad-Aware et Ewido scannait la totalité des sessions mais qu'il fallait fair un scan de SpyBot-SD pour chacune.

Pour CCleaner et HJThis je trouve pas.
Ni pour les autres questions de mon post précédent, houin...

A+

^^Marie^^ · Answer

NON je prends des vacances un peu..... lol

Je ne t'ai pas oublié, mais faut que je fasse le tour de tout le monde...

A++

Le goupil · Answer

T'as bien raison ! D'ailleurs tu me fais penser que ça fait trop longtemps que j'en ai pas pris de congé...

Dis moi t'es super active pour une personne qui se repose toi ? :-D

^^Marie^^ · Answer

Mais dis moi t'es super active pour une personne qui se repose ? :-D

Le pc me poursuit... -DDD

En fait.......... tu en es où ?? Car je plane un peu... lol

^^Marie^^ · Answer

Refais un Hitjackthis 
Stp
merci

Le goupil · Answer

J'en suis que le PC est clean... lol

Mon HiJackThis est au poil, Ewido a tout deleté, YourSiteBar a mordu la poussière bref tout est au poil sauf que...

1 - il y a plusieurs sessions et je sais pas s'il faut faire un seul scan CCleaer ou un par session (idem pour HiJackThis mais j'en doute)

et 2 - j'ai oublié de désactiver la restauration systeme et d'afficher les fichiers cachés.

Comme c'est l'ordi de la mère d'un ami, je lui ai certifié (comme tout les logs étaient ok) que sa machine était clean, mais surtout à cause du 2 j'ai un doute qui subsiste.

Par exemple comme je n'ai pas pu scanner la session du frère avec SpyBot je suis dans l'expectative...

Le goupil · Answer

Houla mais j'ai pas vu l'heure moi !!!

Marie je te souhaite une bonne soirée et une bonne nuit (oui je sais il est tôt lol ).
Et merci encore pour ton aide et je n'ose en douter, pour tes réponses ;-D

^^Marie^^ · Answer

T'inkiet pas, chui pas trop réveillée....mais j'ai transmis ton lien à un bon pôte...
Il va rigoler quand il lira ça..
Bonne soirée

A domani...

Regis59 · Answer

salut

on se marre bien ici lol

quel est le soucis stp

a+

Le goupil · Answer

Salut Regis59,

C'est pas un soucis c'est juste 3 questions que je me pose depuis que j'ai cleané l'ordinateur d'un ami :

1 - Quand il y a plusieurs sessions utilisateurs, faut-il faire un scan Ccleaner et un log Hijack pour chaque session (comme c'est le cas pour Spybot) ou un seul sur le compte administrateur suffit (comme pour Ewido et Ad-aware) ?

2 - je me suis rendu compte que je n'avais pas désactivé la restauration du système ni « affiché les fichiers et dossiers cachés ».
Quel impact cela a-t-il sur le nettoyage et faut-il le refaire pour être sûr que tout soit propre ?

3 - j'ai vu sur un autre post que pour faire un nettoyage complet, on pouvait (ou devait ? là est la question) utiliser "Notracks.exe" et "a² free".
Faut-il le faire où est-ce que ça fait doublon avec tout le reste ?

PS : pour mémoire je rappelle qu'il s'agit d'un PC qui n'avait ni antivirus ni firewall depuis environ 3 ans.

Regis59 · Answer

Salut

1- Sur le compte administrateur cela suffit.
2- Ne pas desactiver la restauration n a que peu d incidence sur ton nettoyage !
Il arrive parfois qu a la suite d un nouveau point de restauration , il y a un point de restauration qui soit "infecté" (pas veritablement car l infection est inactive). Ainsi, pour eviter cela, vaut mieux la desactiver (mais si tu le fais pas, ce st rien du tout) et la reactiver pour creer un point sain.
Pour les fichiers cachés, aucunes incidences ! Certains malwares se cachent et ont besoin d etre vu en les affichant, sinon, pour les scans, aucunes incidences.
3- Tout depend les softs que tu as deja utilisé.
A² est bon c est vrai mais d autres programmes sont aussi bons, tel que AVG AS notamment. On peut utiliser a² oui. Perso, je ne connais pas notracks mais tu dois certainement te referer a ceci:
https://leblogdeclaude.blogspot.com/2006/10/informatique-procdure-de-nettoyage.html

L'essentiel du nettoyage doit se centrer pour ma part autour de ceci:
-spybot
- ad aware
- Antivirus
- Scan en ligne chez Btdefender/Kaspersky
- a² ou AVG AS (ex ewido)
- Ccleaner/ ATF Cleaner
- Nettoyage de la Bdr
- Ensuite tu peux completer par d autres programmes efficaces comme Microsoft anti spyware, spy sweeper, HijackThis eventuellement, etc etc...

A+

^^Marie^^ · Answer

J'le savais que tu aurais une réponse d'enfer....... !!!

T'as vu ça, Le Gouril !!! 


S'trompe jamais La'Marie !!!

LOL

Regis59 · Answer

Pouah, lol, t as pas de mal a ne pas te tromper !

Quoi qu il en soit, si Gouril a d autres questions, c est avec grand plaisir...

:-)

Le goupil · Answer

Et ben Merci à vous 2 !
(et effectivement Marie, ce jeune homme est très bien... lol)

Je vais donc passer un chti coup de a² pour achever le travail.

Même si je doute de trouver quelquechose vu que je suis allé jusqu'à démonter son disque dur pour le scaner on-line depuis chez moi sur TrendMicro (j'ai remarqué que vous aimez pas TrendMicro, c'est vraiment pas gentil de toujours faire de la pub qu'aux mêmes ;-DD ) et que j'ai passé F-Secure Blacklight mais bon on sait jamais.

j'attends les résultats de ce dernier scan et après (je croise les doigts), je clos le topic.

Houlala, mais il est 15h30, c'est l'heure d'aller déjeuner ça non ?!?

Le goupil · Answer

Si, juste un truc, moi c'est GouPil... et pas Gouril.

Non mais !?

:)

Regis59 · Answer

Ousssssssssspppppppp, désolé GouPil lol

Jeune homme, comment le sais tu? lol

Bref, 
Tu as passé quoi comme logiciels?

Si tu as passé AVG AS (ex ewido) c'est deja tres bien.
Pour Kaspersky/Bitdefender, je me refere a ceci car leurs antivirus sont tres bons, mais il est vrai que chez Tredmicro, c est pas mal non plus....et y en a d autres egalement lol (tu veux la liste? lol)

Bon ap'

^^Marie^^ · Answer

moi c'est GouPil... et pas Gouril

Ha, ben oui !!!!!
C'est vrai que nous avons un Gouril aussi...
S'scousiiiiii Le Goupil !!!!!

Le goupil · Answer

Bon, ça passe pour cette fois... ;-)

Pour résumer à Régis59 :

J'ai passé un coup de easy cleaner puis
Mode sans échec : Ad-Aware puis Spybot (là le fameux YourSiteBar apparaît)
Redémarrage, essaie de scan on-line... qui plante à 3 reprises.
Installation d'Avast et scan au moment du boot.
CCleaner pour nettoyer le registre.
MS Config pour cleaner le démarrage.
Re-spybot.
HiJackThis (qui me détecte plein de trucs mais pas de vers...)
Démontage du DisqueDur, remontage sur ma tour.
Scan avec mon McAffee (qui lui trouve et nettoie 3 vers, bizarre non ?).
Scan on-line sur TrendMicro.
Remontage sur premier ordi.
Re-Hijackthis et fix des problème que j'ai repérés
SmithFraud Fix.
YourSiteBarFix (gentilement envoyé par DrUp)
F-Secure Blacklight.
Et Ewido (tiens d'ailleurs faut que je vide la quarantaine, c'est dans c:\prog\ewido ?)
Installation du pare-feu.

Bon je sais c'est pas dans l'ordre mais a priori ça doit être à peu-pret propre là... lol

Enfin je vais quand même passé a² (depuis n'importe quelle session c'est bon non ?)

Séb08 · Answer

Combien as tu d'antivirus d'installé sur ta bécane ???

Ou en sont tes probs ?

a+

Séb08 · Answer

non parce que je lis :

Installation d'Avast et scan au moment du boot.

Scan avec mon McAffee (qui lui trouve et nettoie 3 vers, bizarre non ?). 

Donc pour moi ça fait 2  ... :)

Le goupil · Answer

Ah Ah !!! Mais c'est là où il y a un piège !!! :-D

Installation d'Avast et scan au moment du boot.
[...]
Démontage du DisqueDur, remontage sur ma tour.
Scan avec mon McAffee

ça fait donc 1 chez mon ami et 1 chez moi.

Comme je disais plus haut j'attends de pouvoir faire le dernier scan chez mon pote pour (j'espère) définitivement boucler le sujet.

Séb08 · Answer

Ok...

t'es un petit comique toi  :)

Regis59 · Answer

Drup? hummmm...lol ;-)

Je crois que tu as fait pas mal de ménage...

Le scan a² , tu l as passé?

a+

Le goupil · Answer

t'es un petit comique toi :) 

Je t'avoue que je fais pas du démontage de DD pour me marrer mais je trouve que c'est un bon moyen pour récurer en profondeur sans formater. 
Et pis ça fait mec sérieux qui s'y connait en ordi... lol

Le scan a² , tu l as passé? 

Je peux pas avant ce Week-end. Je poste le résultat dès que c'est fait.

Drup? hummmm...lol

Vous avez l'air dans savoir long sur ce Doctor, professeur Régis...  :-D

Regis59 · Answer

lol
Le tout n est pas faire style qu on s y connait, c est de se balader lol

Bon ben dis nous quoi des que tu as fais le scan.

Drup ouais...Ca me fait penser a un gars bien qui me manque...Son surnom etait Droopy, et son pseudo Moe31 (voir le sujet du poste avec son pseudo). Et vu le lien marqué "enjoy", je soupconnais que ce soit lui.... ;-)

Séb08 · Answer

Et vu le lien marqué "enjoy", je soupconnais que ce soit lui.... ;-)

tu crois ?

Regis59 · Answer

Oui mais nous ne le serons jamais, Helas...

a+

Le goupil · Answer

Salut tout le monde !

Le scan a² a viré ce qu'il y avait dans la session à laquelle je n'avais pas accès. 
Il a aussi parfait le nettoyage du registre (d'ailleurs après test, dans l'idéal, il faudrait  lancer un CCleaner par session).

Je crois donc bien que ce sujet est résolu et qu'il va me falloir le clore (sniff....)

Mais avant, deux choses :

1 - Un immense, énorme, cataclismique merci à Régis59, Seb08, Marie et Drup (qui envoie des pièces jointes avec le même service que Moe31... )

2 - Une spéciale dédicace à Balltrap, S!ri et Moe31 pour leurs fix et particulièrement pour celui de YourSiteBar dont voici la recette (au cas où d'autres tomberaient sur cette petite cochonnerie) :

Copier le texte ci dessous.
Le coller dans un fichier texte, l'enregistrer dans un dossier spécial et fermer le fichier.
Modifier l'extension .txt du fichier par .dat (clic droit dessus puis "renommer").
Double-cliquer sur le fix que vous venez de concocter et c'est résolu.

Et merci encore à Moe31 pour ce tueur de YSB.

Voici le texte (ne pas copier les étoiles) :

**************************************************************

REM by mOe
REM YourSiteBar registry key removal

cls
@ECHO OFF

:test
ECHO.
echo Détection :>>rap.txt
echo ----------->>rap.txt
regedit.exe /e %systemdrive%\YourSiteBar.txt "HKEY_LOCAL_MACHINE\SOFTWARE\YourSiteBar" > NUL

IF EXIST %systemdrive%\YourSiteBar.txt (
echo La clé  HKEY_LOCAL_MACHINE\SOFTWARE\YourSiteBar  est présente !>>rap.txt
echo La clé  HKEY_LOCAL_MACHINE\SOFTWARE\YourSiteBar  est présente !
echo.>>rap.txt
echo.
GOTO fix
)
IF NOT EXIST %systemdrive%\YourSiteBar.txt (
echo.>>rap.txt
echo La clé HKLM\SOFTWARE\YourSiteBar n'a pas été détecté ou n'existe pas !
echo La clé HKLM\SOFTWARE\YourSiteBar n'a pas été détecté ou n'existe pas !>>rap.txt
echo.
goto end
)

:fix
echo.>>rap.txt
echo.
echo Suppression de la cle en cours...
echo Suppression de la clé :>>rap.txt
echo ----------------------->>rap.txt
echo.>>rap.txt
del %systemdrive%\YourSiteBar.txt
reg add HKEY_LOCAL_MACHINE\SOFTWARE\YourSiteBardummy >NUL
reg save HKEY_LOCAL_MACHINE\SOFTWARE\YourSiteBardummy YourSiteBardummy.hiv >NUL
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\YourSiteBardummy /f >NUL
reg restore HKEY_LOCAL_MACHINE\SOFTWARE\YourSiteBar YourSiteBardummy.hiv >NUL
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\YourSiteBar /f >NUL
del YourSiteBardummy.hiv

regedit.exe /e %systemdrive%\YourSiteBar.txt "HKEY_LOCAL_MACHINE\SOFTWARE\YourSiteBar"

IF NOT EXIST %systemdrive%\YourSiteBar.txt (
echo Suppression de la cle termine
echo.
echo.>>rap.txt
echo La cl' HKLM\SOFTWARE\YourSiteBar a été supprimé avec succès !>>rap.txt
)
IF EXIST %systemdrive%\YourSiteBar.txt (
echo Probleme de suppression HKLM\SOFTWARE\YourSiteBar>>rap.txt
IF EXIST %systemdrive%\YourSiteBar.txt del %systemdrive%\YourSiteBar.txt
)

:end
echo.>>rap.txt
echo.>>rap.txt
echo Fin du rapport.>>rap.txt
pause
notepad rap.txt
if exist rap.txt del rap.txt
exit


**************************************************************
Que dire de plus sinon : shuuutttt .... Ecoutez la Terre parler... Ecoutez la Mer chanter.... n'est-ce pas Marie ? ;-)

Aller a+

Le Goupil

^^Marie^^ · Answer

Je crois donc bien que ce sujet est résolu et qu'il va me falloir le clore (sniff....) 


QUE DALLE !!!!!!!!!!! Maintenant tu te pointes au café et tu viens offrir ta tournée...... !!!

Nanméééhoooo...LOL..

Bizz

Bonne route (après le pô...)

Le goupil · Answer

Maintenant tu te pointes au café et tu viens offrir ta tournée...... !!! 

Ah bah ouais mais tu dis même pas dans quel bistrot faut aller... lol

Bonne route à vous également gente dame ;-)