Keylogger: est-il encore là?
Gloppe
Messages postés
12
Statut
Membre
-
patoualafois -
patoualafois -
Bonjour,
J'ai été victime d'un Keylogger, non détecté par Spybot ou A-squared, ni Ad-aware. Spy Sweeper m'a signalé la présence de PowerKeylogger sur mon odinateur. J'ai détruit tous les fichiers indiqués.
Pour autant, je ne me sens pas très tranquille. J'ai effectué une analyse avec HIjack.this, et ai mis en place toutes les barrières que j'ai pu trouver en tant que néophite...
Je joins le rapport de HiJack this. Qui peut m'aider? ...ET pendant que j'écris, SPY Sweeper me signale que Power Keylogger tente de s'installer encore et encore... J'suis bien embêtée.
Merci Beaucoup!
Logfile of HijackThis v1.99.1
Scan saved at 15:29:33, on 11/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\GO887F.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Java\jre1.5.0\bin\jucheck.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\zLoli\LOCALS~1\Temp\ARC12A\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www8.hp.com/fr/fr/home.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www8.hp.com/fr/fr/home.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPLpr] "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe"
O4 - HKLM\..\Run: [SynTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] "C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe" /Start
O4 - HKLM\..\Run: [Cpqset] "C:\Program Files\HPQ\Default Settings\cpqset.exe"
O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [TeamAgenda Notify] "C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe"
O4 - HKLM\..\Run: [AAWTray] "C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [WinPatrol] "C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe"
O4 - HKLM\..\Run: [WatchDog] "C:\Program Files\InterVideo\DVD Check\DVDCheck.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {60713852-F50A-4AC6-9902-2DEA1C624EB2} (SamNet2006.SamActiveX) - http://www.elmg.net/DRTEFP/data/58/LCPE1/WINSAM.CAB
O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = zoe.fr
O17 - HKLM\Software\..\Telephony: DomainName = zoe.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = zoe.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = zoe.fr
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
J'ai été victime d'un Keylogger, non détecté par Spybot ou A-squared, ni Ad-aware. Spy Sweeper m'a signalé la présence de PowerKeylogger sur mon odinateur. J'ai détruit tous les fichiers indiqués.
Pour autant, je ne me sens pas très tranquille. J'ai effectué une analyse avec HIjack.this, et ai mis en place toutes les barrières que j'ai pu trouver en tant que néophite...
Je joins le rapport de HiJack this. Qui peut m'aider? ...ET pendant que j'écris, SPY Sweeper me signale que Power Keylogger tente de s'installer encore et encore... J'suis bien embêtée.
Merci Beaucoup!
Logfile of HijackThis v1.99.1
Scan saved at 15:29:33, on 11/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\GO887F.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Java\jre1.5.0\bin\jucheck.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\zLoli\LOCALS~1\Temp\ARC12A\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www8.hp.com/fr/fr/home.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www8.hp.com/fr/fr/home.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPLpr] "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe"
O4 - HKLM\..\Run: [SynTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] "C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe" /Start
O4 - HKLM\..\Run: [Cpqset] "C:\Program Files\HPQ\Default Settings\cpqset.exe"
O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [TeamAgenda Notify] "C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe"
O4 - HKLM\..\Run: [AAWTray] "C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [WinPatrol] "C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe"
O4 - HKLM\..\Run: [WatchDog] "C:\Program Files\InterVideo\DVD Check\DVDCheck.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {60713852-F50A-4AC6-9902-2DEA1C624EB2} (SamNet2006.SamActiveX) - http://www.elmg.net/DRTEFP/data/58/LCPE1/WINSAM.CAB
O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = zoe.fr
O17 - HKLM\Software\..\Telephony: DomainName = zoe.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = zoe.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = zoe.fr
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
A voir également:
- Keylogger: est-il encore là?
- Keylogger gratuit - Télécharger - Contrôle parental
- Detecter un keylogger - Forum Virus
- Zemana anti keylogger - Télécharger - Antivirus & Antimalwares
- Logiciel revealer keylogger ??? - Forum Logiciels
- Recherche keylogger gratuit - Forum Virus
23 réponses
Bonjour,
sans vouloir prendre la place des hyperspécialistes de hijackthis, je vais essayer de vous aider.
Je vous recommande très chaudement le site https://assiste.com/..Dossier.html
Je vous rappelle les règles de base:
1. désactiver la restauration
2. nettoyer la poubelle et tous les fichiers temporaires, cookies, ... avec ccleaner
3. faire un scan hijackthis.
4. Analyse du log par un robot (ce n'est peut-être pas la meilleure méthode, diront les puristes, mais, ça aide)
http://hijackthis.de/index.php?langselect=french
Voila la proposition du robot d'analyse
[?] - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
[?] - C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe
[?] - O4 - HKLM\..\Run: [TeamAgenda Notify] "C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe"
[?] - O16 - DPF: {60713852-F50A-4AC6-9902-2DEA1C624EB2} (SamNet2006.SamActiveX) - http://www.elmg.net/DRTEFP/data/58/LCPE1/WINSAM.CAB
[?] - O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
[?] - O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = zoe.fr
[?] - O17 - HKLM\Software\..\Telephony: DomainName = zoe.fr
[?] - O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = zoe.fr
[?] - O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = zoe.fr
[?] - O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
C'est à vous de savoir si vous connaissez LS_Duhem, TeamSoft et/ou Zoe.fr
Quand tout est fait et que le PC est propre, n'oubliez pas de réactiver la restauration automatique.
Bonne chance
Georges
sans vouloir prendre la place des hyperspécialistes de hijackthis, je vais essayer de vous aider.
Je vous recommande très chaudement le site https://assiste.com/..Dossier.html
Je vous rappelle les règles de base:
1. désactiver la restauration
2. nettoyer la poubelle et tous les fichiers temporaires, cookies, ... avec ccleaner
3. faire un scan hijackthis.
4. Analyse du log par un robot (ce n'est peut-être pas la meilleure méthode, diront les puristes, mais, ça aide)
http://hijackthis.de/index.php?langselect=french
Voila la proposition du robot d'analyse
[?] - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
[?] - C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe
[?] - O4 - HKLM\..\Run: [TeamAgenda Notify] "C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe"
[?] - O16 - DPF: {60713852-F50A-4AC6-9902-2DEA1C624EB2} (SamNet2006.SamActiveX) - http://www.elmg.net/DRTEFP/data/58/LCPE1/WINSAM.CAB
[?] - O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
[?] - O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = zoe.fr
[?] - O17 - HKLM\Software\..\Telephony: DomainName = zoe.fr
[?] - O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = zoe.fr
[?] - O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = zoe.fr
[?] - O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
C'est à vous de savoir si vous connaissez LS_Duhem, TeamSoft et/ou Zoe.fr
Quand tout est fait et que le PC est propre, n'oubliez pas de réactiver la restauration automatique.
Bonne chance
Georges
Merci beaucoup, Mais....j'comprends pas tout.
Je connais teamsoft: agenda
Zoe.fr: nom de domaine
par contre LS Duhem, je ne connais pas.
J'ai déja fait pas mal de scan en ligne, sans résultats.
Comment réactive t-on la restauration automatique?
Je poursuis les scans en ligne avec tous les liens.
Merci encore.
Je connais teamsoft: agenda
Zoe.fr: nom de domaine
par contre LS Duhem, je ne connais pas.
J'ai déja fait pas mal de scan en ligne, sans résultats.
Comment réactive t-on la restauration automatique?
Je poursuis les scans en ligne avec tous les liens.
Merci encore.
Toutes mes excuses, j'ai écrit restauration automatique et je pensais "restauration système".
Menu démarrer-Panneau de configuration-système
Onglet Restauration système. Décocher la case.
Pour ma part, je me méfierais des suivants:
C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
C:\WINDOWS\TEMP\GO887F.EXE
Après recherche sur Google LS_Duhem serait un distributeur MAC donc je suppose que vous pouvez désactiver ce service. (Jettez un coup d'oeil ici ---> https://www.macdisk.com/indexen.php
Menu démarrer-Panneau de configuration-Outils d'administration-Services
et virer le directory
Dans l'hypothèse où il est impossible d'effacer un fichier (parce qu'en usage), vous pouvez employer unlocker
https://www.zebulon.fr/telechargements/utilitaires/gestion-fichiers/unlocker.html
Bon courage.
Georges
Menu démarrer-Panneau de configuration-système
Onglet Restauration système. Décocher la case.
Pour ma part, je me méfierais des suivants:
C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
C:\WINDOWS\TEMP\GO887F.EXE
Après recherche sur Google LS_Duhem serait un distributeur MAC donc je suppose que vous pouvez désactiver ce service. (Jettez un coup d'oeil ici ---> https://www.macdisk.com/indexen.php
Menu démarrer-Panneau de configuration-Outils d'administration-Services
et virer le directory
Dans l'hypothèse où il est impossible d'effacer un fichier (parce qu'en usage), vous pouvez employer unlocker
https://www.zebulon.fr/telechargements/utilitaires/gestion-fichiers/unlocker.html
Bon courage.
Georges
Bonjour,
Aïe, aë, aïe...
Le dossier G0887F.EXE n''existe plus sous TEMP (avec affichage fichiers cachés), il y a un autre fichier nommé XGD949.EXE dans C:\WINDOWS\Temp avec un petit chien en icone.
Et PIRE, sous C:\Documents and Settings\All Users\Application Data, j'ai trouvé un dossier nommé rkfree (autre logiciel espion, ou trace de celui ci???), contenant 2 éléments, l'un nommé data (avec un fichier à mon nom, vide à priori), et l'autre nommé "maps" (contenant un fichier nommé 40c).
Peut-être que je deviens parano....
Merci pour votre aide, j'en ai vraiment besoin.
Bonne journée!
Aïe, aë, aïe...
Le dossier G0887F.EXE n''existe plus sous TEMP (avec affichage fichiers cachés), il y a un autre fichier nommé XGD949.EXE dans C:\WINDOWS\Temp avec un petit chien en icone.
Et PIRE, sous C:\Documents and Settings\All Users\Application Data, j'ai trouvé un dossier nommé rkfree (autre logiciel espion, ou trace de celui ci???), contenant 2 éléments, l'un nommé data (avec un fichier à mon nom, vide à priori), et l'autre nommé "maps" (contenant un fichier nommé 40c).
Peut-être que je deviens parano....
Merci pour votre aide, j'en ai vraiment besoin.
Bonne journée!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
re-bonjour,
Du nouveau, le programme.exe avec un petit chien serait Watch Dog. Je n'arrive pas à le supprimer.
Je ne sais pas ce qu'il fait sous temp, il change de nom sans arrêt, avec lettres et chiffres.
merci pour votre aide!
Du nouveau, le programme.exe avec un petit chien serait Watch Dog. Je n'arrive pas à le supprimer.
Je ne sais pas ce qu'il fait sous temp, il change de nom sans arrêt, avec lettres et chiffres.
merci pour votre aide!
Bonjour,
il n'y aurait donc pas d'amélioration?
Je viens de regarder plus attentivement le rapport hijack et je constate que vous avez une rafale d'antivirus. Ce n'est pas la solution. Supprimez les tous et n'en maintenez qu'un. (Celui que vous avez payé) Vous tenez aussi Spybot et Lavasoft (Ad-Aware).
Charger et installez CCleaner (https://www.ccleaner.com/
Prenez les options par défaut et faite un nettoyage.
Faites un scan en ligne https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Après nettoyage, postez un nouveau log hijackthis
Georges
il n'y aurait donc pas d'amélioration?
Je viens de regarder plus attentivement le rapport hijack et je constate que vous avez une rafale d'antivirus. Ce n'est pas la solution. Supprimez les tous et n'en maintenez qu'un. (Celui que vous avez payé) Vous tenez aussi Spybot et Lavasoft (Ad-Aware).
Charger et installez CCleaner (https://www.ccleaner.com/
Prenez les options par défaut et faite un nettoyage.
Faites un scan en ligne https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Après nettoyage, postez un nouveau log hijackthis
Georges
Bonjour,
Après nettoyage (j'ai en levé tout ce que je pouvais oou savais enlever), et passage par csan en ligne Kapersky + 2 passages avec Ccleaner, je vous poste le rapport de Hijackthis.
Le programme avec l'icole du petit chien reveint sans cesse, même qauand je le supprime après l'avoir unlocké. Il se situe sous C/Windows/Temp, et change tout le temps de nom. Hier soir, il s'appelait NV38C9.exe, ce matin AD4441.exe, il revient même sans relancer la machine. Le chien est vert foncé, façon petit fox terrier qui court. je ne peux pas l'ouvrir ou l'exécuter.
La seule façon de le faire disparaitre est d'aller dans le gestionnaire de tâches, et de le faire arrêter. Mais il revient très vite ensuite, sans cesse avec un nom différent.
Merci mille fois pour votre aide, j'aimerais bien savoir si ce programme est vraiment dangereux ou pas.
Ou si je suis tranquille!
Bonne journée
Françoise
Logfile of HijackThis v1.99.1
Scan saved at 12:05:23, on 13/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Java\jre1.5.0\bin\jucheck.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\AD4441.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\zLoli\LOCALS~1\Temp\ARC53D9\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www8.hp.com/fr/fr/home.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www8.hp.com/fr/fr/home.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPLpr] "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe"
O4 - HKLM\..\Run: [SynTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] "C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe" /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [TeamAgenda Notify] "C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe"
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {60713852-F50A-4AC6-9902-2DEA1C624EB2} (SamNet2006.SamActiveX) - http://www.elmg.net/DRTEFP/data/58/LCPE1/WINSAM.CAB
O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = zoe.fr
O17 - HKLM\Software\..\Telephony: DomainName = zoe.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = zoe.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = zoe.fr
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
Après nettoyage (j'ai en levé tout ce que je pouvais oou savais enlever), et passage par csan en ligne Kapersky + 2 passages avec Ccleaner, je vous poste le rapport de Hijackthis.
Le programme avec l'icole du petit chien reveint sans cesse, même qauand je le supprime après l'avoir unlocké. Il se situe sous C/Windows/Temp, et change tout le temps de nom. Hier soir, il s'appelait NV38C9.exe, ce matin AD4441.exe, il revient même sans relancer la machine. Le chien est vert foncé, façon petit fox terrier qui court. je ne peux pas l'ouvrir ou l'exécuter.
La seule façon de le faire disparaitre est d'aller dans le gestionnaire de tâches, et de le faire arrêter. Mais il revient très vite ensuite, sans cesse avec un nom différent.
Merci mille fois pour votre aide, j'aimerais bien savoir si ce programme est vraiment dangereux ou pas.
Ou si je suis tranquille!
Bonne journée
Françoise
Logfile of HijackThis v1.99.1
Scan saved at 12:05:23, on 13/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Java\jre1.5.0\bin\jucheck.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\AD4441.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\zLoli\LOCALS~1\Temp\ARC53D9\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www8.hp.com/fr/fr/home.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www8.hp.com/fr/fr/home.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPLpr] "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe"
O4 - HKLM\..\Run: [SynTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] "C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe" /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [TeamAgenda Notify] "C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe"
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {60713852-F50A-4AC6-9902-2DEA1C624EB2} (SamNet2006.SamActiveX) - http://www.elmg.net/DRTEFP/data/58/LCPE1/WINSAM.CAB
O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = zoe.fr
O17 - HKLM\Software\..\Telephony: DomainName = zoe.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = zoe.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = zoe.fr
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
Bonjour Françoise,
Tu as merveilleusement bien travaillé!
Pourrais-tu me dire si ton scan a révélé quelque chose et si oui, a-t-il fait le nettoyage?
Je pense que tu vois déjà la différence. Pour ton petit chien, ne t'en fais pas trop, c'est ch... mais pas bien méchant.
Pour le moment, je dois partir pour un heure ou deux. Peux-tu attendre un peu, je te reprends dès que je rentre.
Georges
Tu as merveilleusement bien travaillé!
Pourrais-tu me dire si ton scan a révélé quelque chose et si oui, a-t-il fait le nettoyage?
Je pense que tu vois déjà la différence. Pour ton petit chien, ne t'en fais pas trop, c'est ch... mais pas bien méchant.
Pour le moment, je dois partir pour un heure ou deux. Peux-tu attendre un peu, je te reprends dès que je rentre.
Georges
Rebonjour,
Je ne suis pas parti, ce sera pour un peu plus tard.
La première chose et elle est TRES importante, tu n'as pas de pare-feu. INDISPENSABLE
Pour moi, j'ai installé OutPost de Agnitum http://www.agnitum.fr/products/outpost/. Payant mais Extra et en français.
J'ai installé en version gratuite un anti spyware AVG Anti-Spyware : lien: securite Très bon produit.
Mon antivirus est Avast mais beaucoup conseillent Antivir Lien :securite
Et puis, comme tu aimes les chiens, WinPatrol 207 https://www.winpatrol.com/ gratuit et super Presque indispensable
Bien entendu, ceci est une proposition et rien de plus. Par chez moi, on dit "Quand un baudet fait à sa tête, c'est la moitié de sa pitance".:)
Maintenant, nous allons faire un peu de ménage:
Nous allons commencer par le démarrage du pc.
Pour cela, j'emploie code stuff starter qui me permet éventuellement de revenir en arrière. http://codestuff.mirrorz.com/
Tu désactives les programmes suivants dans CodeStuff Starter (Pas les effacer)
[SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0\bin\jusched.exe"
[UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
[QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
[TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
[AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
[WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
[UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
[updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe"
AcRdB7_0_9
Ce sont, à mon avis des non nécessaires en permanence et cette opération accélérera ton pc.
Maintenant, je dois partir. A tout à l'heure.
Georges
Je ne suis pas parti, ce sera pour un peu plus tard.
La première chose et elle est TRES importante, tu n'as pas de pare-feu. INDISPENSABLE
Pour moi, j'ai installé OutPost de Agnitum http://www.agnitum.fr/products/outpost/. Payant mais Extra et en français.
J'ai installé en version gratuite un anti spyware AVG Anti-Spyware : lien: securite Très bon produit.
Mon antivirus est Avast mais beaucoup conseillent Antivir Lien :securite
Et puis, comme tu aimes les chiens, WinPatrol 207 https://www.winpatrol.com/ gratuit et super Presque indispensable
Bien entendu, ceci est une proposition et rien de plus. Par chez moi, on dit "Quand un baudet fait à sa tête, c'est la moitié de sa pitance".:)
Maintenant, nous allons faire un peu de ménage:
Nous allons commencer par le démarrage du pc.
Pour cela, j'emploie code stuff starter qui me permet éventuellement de revenir en arrière. http://codestuff.mirrorz.com/
Tu désactives les programmes suivants dans CodeStuff Starter (Pas les effacer)
[SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0\bin\jusched.exe"
[UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
[QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
[TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
[AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
[WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
[UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
[updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe"
AcRdB7_0_9
Ce sont, à mon avis des non nécessaires en permanence et cette opération accélérera ton pc.
Maintenant, je dois partir. A tout à l'heure.
Georges
re bonjour,
Et merci!
Oui, l'antivirus est trend Micro.
Le scan Kapersky n'a rien donné (disque C: analysé), le nettoyage C Cleaner toujours très important, pourtant à 2 heures d'intervalle. Idem 2 heures après, avec activité minimale sur le poste de travail.
le programme: C:\WINDOWS\TEMP\AD4441.EXE est toujours présent, même après arrêt-désactivation via le gestionnaire des tâches, il ré- apparait en changeant de nom, au même endroit.
Je l'ai scanné avec virustotal.com, le résultat est:
Heuristic: Suspicious File With Covert Attributes
Par ailleurs, dois je installer un anti keylogger? Après PowerKeylogger, puis RK Free, je me dis que c'est peut-être utile.... Même si je pense que les enregistrements doivent être très ennuyeux à lire, ce n'est pas agréable de se sentir "piègé".
Lequel serait efficace? Il y a plus de pliens vers les keyloggers que sur la manière de s'en protèger! Sont-ils au point? Ralentissent -ils la machine?
Mais je pense qu'on va bientôt cliquer sur "résolu", non?
merci,
Bonne journée
Françoise
Et merci!
Oui, l'antivirus est trend Micro.
Le scan Kapersky n'a rien donné (disque C: analysé), le nettoyage C Cleaner toujours très important, pourtant à 2 heures d'intervalle. Idem 2 heures après, avec activité minimale sur le poste de travail.
le programme: C:\WINDOWS\TEMP\AD4441.EXE est toujours présent, même après arrêt-désactivation via le gestionnaire des tâches, il ré- apparait en changeant de nom, au même endroit.
Je l'ai scanné avec virustotal.com, le résultat est:
Heuristic: Suspicious File With Covert Attributes
Par ailleurs, dois je installer un anti keylogger? Après PowerKeylogger, puis RK Free, je me dis que c'est peut-être utile.... Même si je pense que les enregistrements doivent être très ennuyeux à lire, ce n'est pas agréable de se sentir "piègé".
Lequel serait efficace? Il y a plus de pliens vers les keyloggers que sur la manière de s'en protèger! Sont-ils au point? Ralentissent -ils la machine?
Mais je pense qu'on va bientôt cliquer sur "résolu", non?
merci,
Bonne journée
Françoise
Bonjour,
j'ai tout tout fait comme il faut, même accepté un autre chien (winpatrol) bien plus sympa que l'autre.
j'ai désactivé les prpgrammes listés avec code stuff starter . Le fichier qui se renomme est toujours là, aujourd'hui il s'appelle DOA0E2.EXE et apparait dans les processsus du gestionnaire des tâches de Windows et dans les taches actives de Winpatrol.
Mais bon, on va dire que je tiens le bon bout!
Je remercie vraiment Georges pour ses conseils, son soutien, sa patience et sa gentillesse.
Bonne journée et bon week-end
Françoise
Solution: analyser, nettoyer, isoler, tester, renettoyer, protèger.
j'ai tout tout fait comme il faut, même accepté un autre chien (winpatrol) bien plus sympa que l'autre.
j'ai désactivé les prpgrammes listés avec code stuff starter . Le fichier qui se renomme est toujours là, aujourd'hui il s'appelle DOA0E2.EXE et apparait dans les processsus du gestionnaire des tâches de Windows et dans les taches actives de Winpatrol.
Mais bon, on va dire que je tiens le bon bout!
Je remercie vraiment Georges pour ses conseils, son soutien, sa patience et sa gentillesse.
Bonne journée et bon week-end
Françoise
Solution: analyser, nettoyer, isoler, tester, renettoyer, protèger.
Bonjour,
Excuse-moi, mais je suis rentré beaucoup plus tard que prévu hier.
Je viens de terminer la lecture de ton rapport Hijackthis.
Veux-tu fixer les lignes ci-après
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {60713852-F50A-4AC6-9902-2DEA1C624EB2} (SamNet2006.SamActiveX) - http://www.elmg.net/DRTEFP/data/58/LCPE1/WINSAM.CAB
O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
Supprimer le service
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
Tu peux le faire avec odeStuff Starter, onglet Services ou
Menu démarrer ->Panneau de configuration ->Outils d'administration ->Services
Maintenant effacer le directory C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
NB
Trouver le service est parfois difficile, la liste est longue, alors, si tu effaces le directory, éventuellement avec l'aide de Unlocker, tu peux négliger ce travail
Il reste ton vilain chien, dnne-moi un maximum d'information et j'essayerai.
Amitiés.
Georges
Excuse-moi, mais je suis rentré beaucoup plus tard que prévu hier.
Je viens de terminer la lecture de ton rapport Hijackthis.
Veux-tu fixer les lignes ci-après
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {60713852-F50A-4AC6-9902-2DEA1C624EB2} (SamNet2006.SamActiveX) - http://www.elmg.net/DRTEFP/data/58/LCPE1/WINSAM.CAB
O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
Supprimer le service
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
Tu peux le faire avec odeStuff Starter, onglet Services ou
Menu démarrer ->Panneau de configuration ->Outils d'administration ->Services
Maintenant effacer le directory C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
NB
Trouver le service est parfois difficile, la liste est longue, alors, si tu effaces le directory, éventuellement avec l'aide de Unlocker, tu peux négliger ce travail
Il reste ton vilain chien, dnne-moi un maximum d'information et j'essayerai.
Amitiés.
Georges
Bonjour,
Et encore une fois merci. je m'occupe de tout ça lundi matin,en tout cas j'essaie de faire comme tu as dit (!) au fait, ça veut dire quoi "fixer" les lignes???? Une fonction de Hijackthis? Ou alors les trouvrer sous C et les supprimer?
Je fais un descriptif le plus précis possible du chien (il ne s'ouvre pas, ne s'execute pas quand on le lui demande par click droit, se remet en service même après avoir été désactivé comme application se lançant au démarrage et rallumage de l'ordinateur, en changeant de nom, difficile d'en dire plus, je l'ai ouvert avec notepad, peu de choses lisibles, peut-être y a -t-il des outils qui pourraient m'informer de son contenu?).
Je poste le résultat lundi. On tient le bon bout!
Bon week-end
Amitiés
françoise
Et encore une fois merci. je m'occupe de tout ça lundi matin,en tout cas j'essaie de faire comme tu as dit (!) au fait, ça veut dire quoi "fixer" les lignes???? Une fonction de Hijackthis? Ou alors les trouvrer sous C et les supprimer?
Je fais un descriptif le plus précis possible du chien (il ne s'ouvre pas, ne s'execute pas quand on le lui demande par click droit, se remet en service même après avoir été désactivé comme application se lançant au démarrage et rallumage de l'ordinateur, en changeant de nom, difficile d'en dire plus, je l'ai ouvert avec notepad, peu de choses lisibles, peut-être y a -t-il des outils qui pourraient m'informer de son contenu?).
Je poste le résultat lundi. On tient le bon bout!
Bon week-end
Amitiés
françoise
Fixer les lignes signifie de les sélectionner (cliquer pour qu'une croix apparaisse à gauche) et puis appuyer sur le bouton "FIXCHECKED"
Toujours par sécurité, activer la sauvegarde dans HijackThis (Bouton Config ->Make backUp before fixing Items) avant de virer tout le monde.
Pour le chien, je voulais dire un nom ou n'importe quoi qui permette de l'identifier.
Tu peux toujours essayer avec Unlocker qui, si tu l'as installé, se trouve dans le menu du clique droit de l'explorateur). Tu te positionne dessus. Clique Droit, tu essaies de le virer. Si cela ne va pas, il te proposera de virer au prochain démarrage.
De toute façon, nous verrons ça lundi.
Bon Week End et amitiés.
Georges.
Toujours par sécurité, activer la sauvegarde dans HijackThis (Bouton Config ->Make backUp before fixing Items) avant de virer tout le monde.
Pour le chien, je voulais dire un nom ou n'importe quoi qui permette de l'identifier.
Tu peux toujours essayer avec Unlocker qui, si tu l'as installé, se trouve dans le menu du clique droit de l'explorateur). Tu te positionne dessus. Clique Droit, tu essaies de le virer. Si cela ne va pas, il te proposera de virer au prochain démarrage.
De toute façon, nous verrons ça lundi.
Bon Week End et amitiés.
Georges.
Bonjour,
la suite des aventures....
J'ai fixé toutes les lignes indiquées, redémarré, et j'ai supprimé C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe après avoir désactivé le service.
Pour le chien, je cherche à isoler l'icone, qui reste la même malgré les changements de noms de l'application. Elle donnerait peut-être quelques éléments d'informaiton sur l'origine du programme.
Aujourd'hui, je me retrouve avec sous C/Windows/temp:
- 2 dossiers:
L'un nommé DOA0E2 , contenant un DOA0E2.exe et un second dossier DOA0E2 contenant à nouveau un DOA0E2.exe
L'autre nommé QUA507 contenant un QUA507.exe
- une application suit dans la liste: QUA507.exe
puis 2 fichiers TMP
Dans C/Windows/prefetch, je me retrouve avec: DOA0E2.EXE-0AE38D9D.pf, DOA0E2.EXE-16A52E73.pf, DOA0E2.EXE-302EE6ED.pf, DOA0E2.EXE-09C034D1.pf, DOA0E2.EXE-024FFBE4.pf, QUA507.EXE-342CB13B.pf, QUA507.EXE-3A01520F.pf, QUA507.EXE-0B9A8975.pf.
Enfin, Zone Alarm me signale la présence de 3 fichiers dans Local Settings/ temp/ ARC13/DOA0E2.exe, puis ARC12, puis ARC53 que je ne vois pas, même avec affichage des fichiers cachés.
Je voudrais savoir si je peux supprimer tous les fichiers sous Temp, que ce soit sous Windows ou sous local settings.
Pour ce qui est du chien, et de ses délinaisons, je l'ai bloqué x fois, tenté de le supprimer, ça semble marcher, mais il revient sous un autre nom, le traitre.
je voudrais aussi savoir si ce programme est inoffensif ou pas, et si je suis encore "porteuse" d'un keylogger ou assimilé. WinPatrol détecte bien les applications "icone chien", mais ne peut rien m'en dire.
Par ailleurs, j'espère avoir bien nettoyé les autres keyloggers ou assimilés.
Merci, merci,
Bonne fin de journée
Amitiés
Françoise
la suite des aventures....
J'ai fixé toutes les lignes indiquées, redémarré, et j'ai supprimé C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe après avoir désactivé le service.
Pour le chien, je cherche à isoler l'icone, qui reste la même malgré les changements de noms de l'application. Elle donnerait peut-être quelques éléments d'informaiton sur l'origine du programme.
Aujourd'hui, je me retrouve avec sous C/Windows/temp:
- 2 dossiers:
L'un nommé DOA0E2 , contenant un DOA0E2.exe et un second dossier DOA0E2 contenant à nouveau un DOA0E2.exe
L'autre nommé QUA507 contenant un QUA507.exe
- une application suit dans la liste: QUA507.exe
puis 2 fichiers TMP
Dans C/Windows/prefetch, je me retrouve avec: DOA0E2.EXE-0AE38D9D.pf, DOA0E2.EXE-16A52E73.pf, DOA0E2.EXE-302EE6ED.pf, DOA0E2.EXE-09C034D1.pf, DOA0E2.EXE-024FFBE4.pf, QUA507.EXE-342CB13B.pf, QUA507.EXE-3A01520F.pf, QUA507.EXE-0B9A8975.pf.
Enfin, Zone Alarm me signale la présence de 3 fichiers dans Local Settings/ temp/ ARC13/DOA0E2.exe, puis ARC12, puis ARC53 que je ne vois pas, même avec affichage des fichiers cachés.
Je voudrais savoir si je peux supprimer tous les fichiers sous Temp, que ce soit sous Windows ou sous local settings.
Pour ce qui est du chien, et de ses délinaisons, je l'ai bloqué x fois, tenté de le supprimer, ça semble marcher, mais il revient sous un autre nom, le traitre.
je voudrais aussi savoir si ce programme est inoffensif ou pas, et si je suis encore "porteuse" d'un keylogger ou assimilé. WinPatrol détecte bien les applications "icone chien", mais ne peut rien m'en dire.
Par ailleurs, j'espère avoir bien nettoyé les autres keyloggers ou assimilés.
Merci, merci,
Bonne fin de journée
Amitiés
Françoise
Bonjour Françoise,
Encore une fois, tu as bien travaillé!
J'apprécie très fort que tu cherches toi aussi la solution.
La première chose, ton pc n'est-il pas un peu plus rapide ?
2.- Dans les directories \Temp ou \Tmp , tu peux effacer tout, sans te poser la moindre question. Le seul problème est que tu ne pourras pas supprimer les fichiers qui sont actifs ou en mémoire (exemple le chien)
Soit
C:\Windows\Temp
C:\Documents and Settings\Administrateur\Local Settings\Temp
C:\Documents and Settings\Default User\Local Settings\Temp
C:\Documents and Settings\????????????\Local Settings\Temp
???????? est le nom de user
Idem pour les fichiers de \Temporary Internet Files
CCleaner fait cela très bien!
Selon mon humeur, j'emploie aussi
DiskCleaner http://www.diskcleaner.nl/download.php
ATF Cleaner http://www.libellules.ch/dotclear/index.php?2007/08/13/2071-atf-cleaner
https://freewares-tutos.blogspot.com/2006/10/atf-cleaner.html
Tu dis que "WinPatrol détecte bien les applications "icone chien", mais ne peut rien m'en dire." Mais, il peut te dire sous quel nom il existe.
A ce stade, tu devrais refaire un scan avec
Ad-Aware http://www.lavasoftusa.com/products/ad_aware_free.php?PHPSESSID=3fcb75a8b7b9be2b674273a337081c9c
+ traduction http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/25543.html
et Spybot https://www.safer-networking.org/
CCleaner en cochant "Vieilles données du Prefetch"
Tant que tu y est, dans Ccleaner, onglet Erreurs tu en profites pour nettoyer ton registre.
Après cela, tu rebootes.
Si tu as encore quelque chose,
Seem devrait nous aider. http://seem.about.free.fr/
Seem -> Integrite -> Scan
Un site qui peut t'aider : http://www.inoculer.com/antirootkit/index.htm
Ça fait déjà du boulot.
Il y a encore (en vrac, même ceux dont tu n'as pas besoin)
clean.zip -> http://www.malekal.com/download/clean.zip.
MSNFix.zip -> http://sosvirus.changelog.fr/MSNFix.zip
Navilog1.zip -> http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
SDFix.exe -> http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
SmitfraudFix.exe -> http://siri.urz.free.fr/Fix/SmitfraudFix.php
VundoFix.exe -> http://www.atribune.org/ccount/click.php?id=4
... etc
Bon courage
Georges
Encore une fois, tu as bien travaillé!
J'apprécie très fort que tu cherches toi aussi la solution.
La première chose, ton pc n'est-il pas un peu plus rapide ?
2.- Dans les directories \Temp ou \Tmp , tu peux effacer tout, sans te poser la moindre question. Le seul problème est que tu ne pourras pas supprimer les fichiers qui sont actifs ou en mémoire (exemple le chien)
Soit
C:\Windows\Temp
C:\Documents and Settings\Administrateur\Local Settings\Temp
C:\Documents and Settings\Default User\Local Settings\Temp
C:\Documents and Settings\????????????\Local Settings\Temp
???????? est le nom de user
Idem pour les fichiers de \Temporary Internet Files
CCleaner fait cela très bien!
Selon mon humeur, j'emploie aussi
DiskCleaner http://www.diskcleaner.nl/download.php
ATF Cleaner http://www.libellules.ch/dotclear/index.php?2007/08/13/2071-atf-cleaner
https://freewares-tutos.blogspot.com/2006/10/atf-cleaner.html
Tu dis que "WinPatrol détecte bien les applications "icone chien", mais ne peut rien m'en dire." Mais, il peut te dire sous quel nom il existe.
A ce stade, tu devrais refaire un scan avec
Ad-Aware http://www.lavasoftusa.com/products/ad_aware_free.php?PHPSESSID=3fcb75a8b7b9be2b674273a337081c9c
+ traduction http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/25543.html
et Spybot https://www.safer-networking.org/
CCleaner en cochant "Vieilles données du Prefetch"
Tant que tu y est, dans Ccleaner, onglet Erreurs tu en profites pour nettoyer ton registre.
Après cela, tu rebootes.
Si tu as encore quelque chose,
Seem devrait nous aider. http://seem.about.free.fr/
Seem -> Integrite -> Scan
Un site qui peut t'aider : http://www.inoculer.com/antirootkit/index.htm
Ça fait déjà du boulot.
Il y a encore (en vrac, même ceux dont tu n'as pas besoin)
clean.zip -> http://www.malekal.com/download/clean.zip.
MSNFix.zip -> http://sosvirus.changelog.fr/MSNFix.zip
Navilog1.zip -> http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
SDFix.exe -> http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
SmitfraudFix.exe -> http://siri.urz.free.fr/Fix/SmitfraudFix.php
VundoFix.exe -> http://www.atribune.org/ccount/click.php?id=4
... etc
Bon courage
Georges
Bonjour,
De retour après avoir eu un virus (un vrai!!!).
J'ai tout fait. Le nettoyage fait que l'ordinateru est plus rapide.
Le chien est toujours là, par contre, un nouveau nom tous les jours.
Je fais avec, mais finirai bien par trouver d'où il vient et ce qu'il est!
Merci encore pour les conseils, le suivi pas à pas, et le sourire!
A très bientôt,
françoise
De retour après avoir eu un virus (un vrai!!!).
J'ai tout fait. Le nettoyage fait que l'ordinateru est plus rapide.
Le chien est toujours là, par contre, un nouveau nom tous les jours.
Je fais avec, mais finirai bien par trouver d'où il vient et ce qu'il est!
Merci encore pour les conseils, le suivi pas à pas, et le sourire!
A très bientôt,
françoise
