Keylogger: est-il encore là?

Question

Bonjour,

J'ai été victime d'un Keylogger, non détecté par Spybot ou A-squared, ni Ad-aware. Spy Sweeper m'a signalé la présence de PowerKeylogger sur mon odinateur. J'ai détruit tous les fichiers indiqués.
Pour autant, je ne me sens pas très tranquille. J'ai effectué une analyse avec HIjack.this, et ai mis en place toutes les barrières que j'ai pu trouver en tant que néophite...
Je joins le rapport de HiJack this. Qui peut m'aider? ...ET pendant que j'écris, SPY Sweeper me signale que Power Keylogger tente de s'installer encore et encore... J'suis bien embêtée.
Merci Beaucoup!

Logfile of HijackThis v1.99.1
Scan saved at 15:29:33, on 11/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\GO887F.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Java\jre1.5.0\bin\jucheck.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\zLoli\LOCALS~1\Temp\ARC12A\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www8.hp.com/fr/fr/home.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www8.hp.com/fr/fr/home.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [SynTPLpr] "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe"
O4 - HKLM\..\Run: [SynTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] "C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe" /Start
O4 - HKLM\..\Run: [Cpqset] "C:\Program Files\HPQ\Default Settings\cpqset.exe"
O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [TeamAgenda Notify] "C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe"
O4 - HKLM\..\Run: [AAWTray] "C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [WinPatrol] "C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe"
O4 - HKLM\..\Run: [WatchDog] "C:\Program Files\InterVideo\DVD Check\DVDCheck.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {60713852-F50A-4AC6-9902-2DEA1C624EB2} (SamNet2006.SamActiveX) - http://www.elmg.net/DRTEFP/data/58/LCPE1/WINSAM.CAB
O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = zoe.fr
O17 - HKLM\Software\..\Telephony: DomainName = zoe.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = zoe.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = zoe.fr
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

Georges6180 · Answer

Bonjour,

sans vouloir prendre la place des hyperspécialistes de hijackthis, je vais essayer de vous aider.
Je vous recommande très chaudement le site https://assiste.com/..Dossier.html

Je vous rappelle les règles de base:
1. désactiver la restauration
2. nettoyer la poubelle et tous les fichiers temporaires, cookies, ... avec ccleaner
3. faire un scan hijackthis.
4. Analyse du log par un robot (ce n'est peut-être pas la meilleure méthode, diront les puristes, mais, ça aide)
http://hijackthis.de/index.php?langselect=french

Voila la proposition du robot d'analyse
[?] - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
[?] - C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe

[?] - O4 - HKLM\..\Run: [TeamAgenda Notify] "C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe"
[?] - O16 - DPF: {60713852-F50A-4AC6-9902-2DEA1C624EB2} (SamNet2006.SamActiveX) - http://www.elmg.net/DRTEFP/data/58/LCPE1/WINSAM.CAB
[?] - O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
[?] - O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = zoe.fr
[?] - O17 - HKLM\Software\..\Telephony: DomainName = zoe.fr
[?] - O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = zoe.fr
[?] - O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = zoe.fr
[?] - O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe

C'est à vous de savoir si vous connaissez LS_Duhem, TeamSoft et/ou Zoe.fr

Quand tout est fait et que le PC est propre, n'oubliez pas de réactiver la restauration automatique.

Bonne chance
Georges

Gloppe · Answer

Merci beaucoup, Mais....j'comprends pas tout.
Je connais teamsoft: agenda
Zoe.fr: nom de domaine
par contre LS Duhem, je ne connais pas.
J'ai déja fait pas mal de scan en ligne, sans résultats.
Comment réactive t-on la restauration automatique?
Je poursuis les scans en ligne avec tous les liens.
Merci encore.

Georges6180 · Answer

Toutes mes excuses, j'ai écrit restauration automatique et je pensais "restauration système".
Menu démarrer-Panneau de configuration-système
Onglet Restauration système. Décocher la case.

Pour ma part, je me méfierais des suivants:
C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
C:\WINDOWS\TEMP\GO887F.EXE

Après recherche sur Google LS_Duhem serait un distributeur MAC donc je suppose que vous pouvez désactiver ce service. (Jettez un coup d'oeil ici ---> https://www.macdisk.com/indexen.php
Menu démarrer-Panneau de configuration-Outils d'administration-Services
et virer le directory
Dans l'hypothèse où il est impossible d'effacer un fichier (parce qu'en usage), vous pouvez employer unlocker
https://www.zebulon.fr/telechargements/utilitaires/gestion-fichiers/unlocker.html
Bon courage.

Georges

Gloppe · Answer

Bonjour,

Aïe, aë, aïe...
Le dossier G0887F.EXE n''existe plus sous TEMP (avec affichage fichiers cachés), il y a un autre fichier nommé XGD949.EXE dans C:\WINDOWS\Temp avec un petit chien en icone.
Et PIRE, sous C:\Documents and Settings\All Users\Application Data, j'ai trouvé un dossier nommé rkfree (autre logiciel espion, ou trace de celui ci???), contenant 2 éléments, l'un nommé data (avec un fichier à mon nom, vide à priori), et l'autre nommé "maps" (contenant un fichier nommé 40c).
Peut-être que je deviens parano....
Merci pour votre aide, j'en ai vraiment besoin.
Bonne journée!

Gloppe · Answer

re-bonjour,
Du nouveau, le programme.exe avec un petit chien serait Watch Dog. Je n'arrive pas à le supprimer.
Je ne sais pas ce qu'il fait sous temp, il change de nom sans arrêt, avec lettres et chiffres.
merci pour votre aide!

Georges6180 · Answer

Bonjour,

il n'y aurait donc pas d'amélioration?
Je viens de regarder plus attentivement le rapport hijack et je constate que vous avez une rafale d'antivirus. Ce n'est pas la solution. Supprimez les tous et n'en maintenez qu'un. (Celui que vous avez payé) Vous tenez aussi Spybot et Lavasoft (Ad-Aware).
Charger et installez CCleaner (https://www.ccleaner.com/
Prenez les options par défaut et faite un nettoyage.
Faites un scan en ligne    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Après nettoyage, postez un nouveau log hijackthis
Georges

Gloppe · Answer

Bonjour,

Après nettoyage (j'ai en levé tout ce que je pouvais oou savais enlever), et passage par csan en ligne Kapersky +  2 passages avec Ccleaner, je vous poste le rapport de Hijackthis.
Le programme avec l'icole du petit chien reveint sans cesse, même qauand je le supprime après l'avoir unlocké. Il se situe sous C/Windows/Temp, et change tout le temps de nom. Hier soir, il s'appelait NV38C9.exe, ce matin AD4441.exe, il revient même sans relancer la machine. Le chien est vert foncé, façon petit fox terrier qui court. je ne peux pas l'ouvrir ou l'exécuter.
 La seule façon de le faire disparaitre est d'aller dans le gestionnaire de tâches, et de le faire arrêter. Mais il revient très vite ensuite, sans cesse avec un nom différent.
Merci mille fois pour votre aide, j'aimerais bien savoir si ce programme est vraiment dangereux ou pas.
Ou si je suis tranquille!
Bonne journée
Françoise


Logfile of HijackThis v1.99.1
Scan saved at 12:05:23, on 13/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Java\jre1.5.0\bin\jucheck.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\AD4441.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\zLoli\LOCALS~1\Temp\ARC53D9\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www8.hp.com/fr/fr/home.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www8.hp.com/fr/fr/home.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [SynTPLpr] "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe"
O4 - HKLM\..\Run: [SynTPEnh] "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] "C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe" /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [TeamAgenda Notify] "C:\Program Files\Teamsoft\TeamAgenda\TNotify.exe"
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {60713852-F50A-4AC6-9902-2DEA1C624EB2} (SamNet2006.SamActiveX) - http://www.elmg.net/DRTEFP/data/58/LCPE1/WINSAM.CAB
O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = zoe.fr
O17 - HKLM\Software\..\Telephony: DomainName = zoe.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = zoe.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = zoe.fr
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe

Georges6180 · Answer

Bonjour Françoise,

Tu as merveilleusement bien travaillé!

Pourrais-tu me dire si ton scan a révélé quelque chose et si oui, a-t-il fait le nettoyage?

Je pense que tu vois déjà la différence. Pour ton petit chien, ne t'en fais pas trop, c'est ch... mais pas bien méchant.

Pour le moment, je dois partir pour un heure ou deux. Peux-tu attendre un peu, je te reprends dès que je rentre.

Georges

Georges6180 · Answer

Bonjour Marie,

l'antivirus est de Trend Micro

Bonne journée.

Georges

^^Marie^^ · Answer

Merci

Georges6180 · Answer

Rebonjour,

Je ne suis pas parti, ce sera pour un peu plus tard.

La première chose et elle est TRES importante, tu n'as pas de pare-feu. INDISPENSABLE

Pour moi, j'ai installé OutPost de Agnitum     http://www.agnitum.fr/products/outpost/. Payant mais Extra et en français.

J'ai installé en version gratuite un anti spyware AVG Anti-Spyware :   lien: securite   Très bon produit.

Mon antivirus est Avast mais beaucoup conseillent Antivir  Lien :securite
Et puis, comme tu aimes les chiens, WinPatrol 207 https://www.winpatrol.com/  gratuit et super Presque indispensable

Bien entendu, ceci est une proposition et rien de plus. Par chez moi, on dit "Quand un baudet fait à sa tête, c'est la moitié de sa pitance".:)

Maintenant, nous allons faire un peu de ménage:
Nous allons commencer par le démarrage du pc.
Pour cela, j'emploie code stuff starter qui me permet éventuellement de revenir en arrière. http://codestuff.mirrorz.com/

Tu désactives les programmes suivants dans CodeStuff Starter (Pas les effacer)
[SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0\bin\jusched.exe"

[UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

[QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

[TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

[AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe

[WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

[UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

[updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" 
AcRdB7_0_9

Ce sont, à mon avis des non nécessaires en permanence et cette opération accélérera ton pc.

Maintenant, je dois partir. A tout à l'heure.

Georges

Gloppe · Answer

re bonjour,
Et merci!
Oui, l'antivirus est trend Micro.
Le scan  Kapersky n'a rien donné (disque C: analysé), le nettoyage C Cleaner toujours très important, pourtant à 2 heures d'intervalle. Idem 2 heures après, avec activité minimale sur le poste de travail.
le programme: C:\WINDOWS\TEMP\AD4441.EXE est toujours présent, même après arrêt-désactivation via le gestionnaire des tâches, il ré- apparait en changeant de nom, au même endroit. 
Je l'ai scanné avec virustotal.com, le résultat est:
Heuristic: Suspicious File With Covert Attributes
Par ailleurs, dois je installer un anti keylogger? Après PowerKeylogger, puis RK Free, je me dis que c'est peut-être utile.... Même si je pense que les enregistrements doivent être très ennuyeux à lire, ce n'est pas agréable de se sentir "piègé".
Lequel serait efficace? Il y a plus de pliens vers les keyloggers que sur la manière de s'en protèger! Sont-ils au point? Ralentissent -ils la machine?
Mais je pense qu'on va bientôt cliquer sur "résolu", non?
merci,
Bonne journée
Françoise

Gloppe · Answer

Messages croisés!
Je fais tout ça et je vous tiens au courant.
Merci encore
Françoise

Gloppe · Answer

Bonjour,

j'ai tout tout fait comme il faut, même accepté un autre chien (winpatrol) bien plus sympa que l'autre.
j'ai désactivé les prpgrammes listés avec code stuff starter . Le fichier qui se renomme est toujours là, aujourd'hui il s'appelle DOA0E2.EXE et apparait dans les processsus du gestionnaire des tâches de Windows et dans les taches actives de Winpatrol.
Mais bon, on va dire que je tiens le bon bout!
Je remercie vraiment Georges pour ses conseils, son soutien, sa patience et sa gentillesse.
Bonne journée et bon week-end
Françoise


Solution: analyser, nettoyer, isoler, tester, renettoyer, protèger.

Georges6180 · Answer

Bonjour,

Excuse-moi, mais je suis rentré beaucoup plus tard que prévu hier.

Je viens de terminer la lecture de ton rapport Hijackthis.

Veux-tu fixer les lignes ci-après

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {60713852-F50A-4AC6-9902-2DEA1C624EB2} (SamNet2006.SamActiveX) - http://www.elmg.net/DRTEFP/data/58/LCPE1/WINSAM.CAB 
O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab 
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe 

Supprimer le service
O23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe 
Tu peux le faire avec odeStuff Starter, onglet Services ou
Menu démarrer ->Panneau de configuration ->Outils d'administration ->Services

Maintenant effacer le directory C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe 

NB
Trouver le service est parfois difficile, la liste est longue, alors, si tu effaces le directory, éventuellement avec l'aide de Unlocker, tu peux négliger ce travail

Il reste ton vilain chien, dnne-moi un maximum d'information et j'essayerai.

Amitiés.

Georges

Gloppe · Answer

Bonjour,
Et encore une fois merci. je m'occupe de tout ça lundi matin,en tout cas j'essaie de faire comme tu as dit (!) au fait, ça veut dire quoi "fixer" les lignes???? Une fonction de Hijackthis? Ou alors les trouvrer sous C et les supprimer?
Je fais un descriptif le plus précis possible du chien (il ne s'ouvre pas, ne s'execute pas quand on le lui demande par click droit, se remet en service même après avoir été désactivé comme application se lançant au démarrage et rallumage de l'ordinateur, en changeant de nom, difficile d'en dire plus, je l'ai ouvert avec notepad, peu de choses lisibles, peut-être y a -t-il des outils qui pourraient m'informer de son contenu?).
Je poste le résultat lundi. On tient le bon bout!
Bon week-end
Amitiés
françoise

Georges6180 · Answer

Fixer les lignes signifie de les sélectionner (cliquer pour qu'une croix apparaisse à gauche) et puis appuyer sur le bouton  "FIXCHECKED"

Toujours par sécurité, activer la sauvegarde dans HijackThis (Bouton Config ->Make backUp before fixing Items) avant de virer tout le monde.

Pour le chien, je voulais dire un nom ou n'importe quoi qui permette de l'identifier.
Tu peux toujours essayer avec Unlocker qui, si tu l'as installé, se trouve dans le menu du clique droit de l'explorateur). Tu te positionne dessus. Clique Droit,  tu essaies de le virer. Si cela ne va pas, il te proposera de virer au prochain démarrage.

De toute façon, nous verrons ça lundi.

Bon Week End et amitiés.

Georges.

Gloppe · Answer

Bonjour,


la suite des aventures....

J'ai fixé toutes les lignes indiquées, redémarré, et j'ai supprimé C:\Program Files\LS_Duhem\lsdiorw\lsdiorw.exe  après avoir désactivé le service.
Pour le chien, je cherche à isoler l'icone, qui reste la même malgré les changements de noms de l'application. Elle donnerait peut-être quelques éléments d'informaiton sur l'origine du programme.

Aujourd'hui, je me retrouve avec sous C/Windows/temp:
- 2 dossiers:
 L'un nommé DOA0E2 , contenant un DOA0E2.exe et un second dossier DOA0E2 contenant à nouveau un DOA0E2.exe
L'autre nommé QUA507 contenant un QUA507.exe
- une application suit dans la liste: QUA507.exe
puis 2 fichiers TMP

Dans C/Windows/prefetch, je me retrouve avec: DOA0E2.EXE-0AE38D9D.pf, DOA0E2.EXE-16A52E73.pf, DOA0E2.EXE-302EE6ED.pf, DOA0E2.EXE-09C034D1.pf, DOA0E2.EXE-024FFBE4.pf, QUA507.EXE-342CB13B.pf, QUA507.EXE-3A01520F.pf, QUA507.EXE-0B9A8975.pf.

Enfin, Zone Alarm me signale la présence de 3 fichiers dans Local Settings/ temp/ ARC13/DOA0E2.exe,  puis ARC12, puis ARC53 que je ne vois pas, même avec affichage des fichiers cachés.

Je voudrais savoir si je peux supprimer tous les fichiers sous Temp, que ce soit sous Windows ou sous local settings.
Pour ce qui est du chien, et de ses délinaisons, je l'ai bloqué x fois, tenté de le supprimer, ça semble marcher, mais il revient sous un autre nom, le traitre.

je voudrais aussi savoir si ce programme est inoffensif ou pas, et si je suis encore "porteuse" d'un keylogger ou assimilé. WinPatrol détecte bien les applications "icone chien", mais ne peut rien m'en dire.
Par ailleurs, j'espère avoir bien nettoyé les autres keyloggers ou assimilés.

Merci, merci,
Bonne fin de journée
Amitiés
Françoise

Georges6180 · Answer

Bonjour Françoise, 

Encore une fois, tu as bien travaillé!

J'apprécie très fort que tu cherches toi aussi la solution.

La première chose, ton pc n'est-il pas un peu plus rapide ?

2.- Dans les directories  \Temp ou \Tmp , tu peux effacer tout, sans te poser la moindre question. Le seul problème est que tu ne pourras pas supprimer les fichiers qui sont actifs ou en mémoire (exemple le chien)
Soit
C:\Windows\Temp
C:\Documents and Settings\Administrateur\Local Settings\Temp
C:\Documents and Settings\Default User\Local Settings\Temp
C:\Documents and Settings\????????????\Local Settings\Temp
     ???????? est le nom de user
Idem pour les fichiers de \Temporary Internet Files

CCleaner fait cela très bien!
Selon mon humeur, j'emploie aussi 
  DiskCleaner    http://www.diskcleaner.nl/download.php
 ATF Cleaner    http://www.libellules.ch/dotclear/index.php?2007/08/13/2071-atf-cleaner
                      https://freewares-tutos.blogspot.com/2006/10/atf-cleaner.html

Tu dis que "WinPatrol détecte bien les applications "icone chien", mais ne peut rien m'en dire." Mais, il peut te dire sous quel nom il existe.

A ce stade, tu devrais refaire un scan avec 

Ad-Aware  http://www.lavasoftusa.com/products/ad_aware_free.php?PHPSESSID=3fcb75a8b7b9be2b674273a337081c9c
+ traduction http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/25543.html

et Spybot                  https://www.safer-networking.org/

CCleaner en cochant "Vieilles données du Prefetch"
Tant que tu y est, dans Ccleaner, onglet Erreurs tu en profites pour nettoyer ton registre.

Après cela, tu rebootes. 

Si tu as encore quelque chose, 
Seem devrait nous aider. http://seem.about.free.fr/
Seem -> Integrite -> Scan

Un site qui peut t'aider : http://www.inoculer.com/antirootkit/index.htm

Ça fait déjà du boulot.

Il y a encore (en vrac, même ceux dont tu n'as pas besoin) 
clean.zip             ->  http://www.malekal.com/download/clean.zip. 
MSNFix.zip          ->  http://sosvirus.changelog.fr/MSNFix.zip
Navilog1.zip        ->  http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
SDFix.exe           ->   http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
SmitfraudFix.exe ->   http://siri.urz.free.fr/Fix/SmitfraudFix.php
VundoFix.exe      ->  http://www.atribune.org/ccount/click.php?id=4
... etc

Bon courage

Georges

Gloppe · Answer

Bonjour,
De retour après avoir eu un virus (un vrai!!!).
J'ai tout fait. Le nettoyage fait que l'ordinateru est plus rapide.
Le chien est toujours là, par contre, un nouveau nom tous les jours.
Je fais avec, mais finirai bien par trouver d'où il vient et ce qu'il est!
Merci encore pour les conseils, le suivi pas à pas, et le sourire!
A très bientôt,
françoise

georges6180 · Answer

Bonjour Françoise,

Ça me fait bien plaisir d'avoir de tes nouvelles.

Je suppose que tu as éradiqué ton virus.

Pour ton chien, il y a une logique. Pour être actif, il faut qu'il soit activé au démarrage de la machine, soit par la base de registre, soit par un des directory 's de démarrage, soit par un service.

Attention, il est possible que ce soit un fichier qui crée l'exécutable dans ton dir windows	emp.

Pour le virer de \Windows\Temp, tu peux employer OtMoveIt de OldTimer, explication + téléchargement : http://dcangeldark.blogspot.com/2007/06/otmoveit-le-remplaant-de-killbox.html

Mais ceci n'apportera pas la solution, du moins maintenant.

Si c'est un service, c'est plus dur.
Si c'est un fichier de démarrage, il suffit tout de désactiver dans MsConfig.
Menu Démarrer->Exécuter->msconfig.exe
   Onglet général (Sélection du mode démarrage)
Sélectionner Démarrage sélectif
    déselectionner "Exécuter le fichier system.ini"
    déselectionner "Exécuter le fichier win.ini"
    déselectionner "Charger les éléments de démarrage".

Puis rebooter et voir si Médor est toujours là.

Si oui, tu peux tout remettre dans son état pristin, il s'agit alors d'un service.

Pour un service, c'est la même méthode. Nous savons de toute façon qu'il ne s'agit pas d'un service Windows. 

Donc, à nouveau msconfig. onglet Services, cocher "Masquer tous les services Microsoft" et désactiver tout ce qui reste puis les réactiver un par un. Cela nécessite un reboot chaque fois.

Bon courage, tu y arriveras.

J'espère que tu auras encore toujours la même gentillesse pour me tenir informé. Oui, bien sûr, je déconne.

Georges.

georges6180 · Answer

Rebonjour,

Pour les virus, je viens de découvrir le site de Malekal_Morte,

   http://www.malekal.com/index.php

Tu devrais  y faire un tour.

Georges

patoualafois · Answer

Le toutou c'est juste un programme de votre antivirus "Trend quelque chose".

pour Killer un process utilisez plutot TaskKill.exe /IM [nom_du_Exe] /F

/IM nom de l'image dans le TaskManager soit le nom de l'éxécutable
/F pour un forçage de l'arrêt.

Keylogger: est-il encore là?

23 réponses

Votre réponse

Discussions similaires

Newsletters