Analyse Hijack svp (Doucleclick,Mediaplex... Résolu

Question

Bonjour,
j'aurais besoin d'une analyse de HijackThis. Je me débrouille assez bien, je ne suis pas trop néophyte...juste assez ! ;)

Je possède un Windows XP 2002, Pentium Intel(R) 1.80GHz, 256MB de RAM.
J'utilise AVG anti-virus et AVG anti-spyware, ainsi que Zone Alarm. Après avoir nettoyer mon ordi avec CCleaner, j'ai fait un scan AVG anti-spymware qui me sort et me resors sans arrêt ces cookies :
-TrackingCookie.Doubleclick
-TrackingCookie.2o7
-TrackingCookie.Mediaplex   (serait-il possible que celui-ci soit à cause de la "toolbar" Yahoo ? Je l'ai désintaller, mais elle revient tjrs.)
-TrackingCookie.Atdmt
-TrackingCookie.Bridgetrack
-TrackingCookie.Webtrends

6 objets trouvés pour un total de 11 traces.

Il n'y a pas de problème quelconque avec l'ordi, pas de "manoeuvres fantômes" douteuses ou de fenêtres pop-up. Seulement, j'aimerais que mon ordi soit PROPRE ! :D

Voici le rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:16:52, on 2007-11-24
Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://ici.radio-canada.ca/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

jalobservateur · Answer

Salut!
Le gros du problême est ton IE6.
Absolument pas sécuritaire.
Update pour le 7.
Mais changes de navigateur stp !
Firefox 2.0.0.9 et ne navigues que sur lui.  https://www.pc-infopratique.com/telecharger-335-firefox.html
tuto : http://www.tutopat.com/viewtopic.php?t=116
Installes Spybot et configures-le comme suit:
lien" https://www.safer-networking.org/download/
Configuration sécuritaire et efficace de Spybot Search & Destroy.

NB: Cette configuration est idéal surtout comme bouclier 'protecteur'.
Si votre machine est loudement infectée, spybot pourrait 'cacher' ou nuire à la découverte de Rootkits ou de virus implantés.
Alors pour tout scans de Fix spéciaux, vous devrez désactiver 'temporairement' le 'Tea Timer' et le 'resident' .
----------------------------------------------------------------------------------------
1:En installant Spybot: Laissé comme demandé le Tea Timer.

2: Laissé le faire toutes les étapes qu'il veut. Soit, Sauvegarde du registre à la vaccination du systeme.

3: faire un scan 'complet' et corriger les problêmes trouvés.
Il est possible qu'en scannant avec Spybot que votre Anti virus se réveille !
Surtout si vous avez Avast qui est de moins en moins réactif et dort souvent debout.
Alors il se peut qu'il vous signale un virus qu'en fait Spybot par son scan en profondeur aura "tatillé" un peu.

4: Le nettoyage terminé: Revenez sur Spybot et dans l'onglet 'Mode', cochez 'mode avancé'.

5: Vous aurez un avertissement mais ne faite que ce que je vous indique sur les points suivants.

6: Cliquez sur 'Resident' afin que vous ayez cochés 'resident' et 'Tea Timer'.

7: Cliquez sur : Outil qui est un nouvel onglet apparu en bas.

8: Cochez toutes les cases.

9: Cliquez à gauche sous Resident 'Actives X'. Vous verrez à droite les Actives X chargés sur IE. Donc vous devez prendre le 'contrôle' de ceux-ci.
En cliquant gauche sur chacun d'eux,vous pouvez lire leur description et choisir de les supprimer à votre guise avec le 'Portier' Spybot.
Attention! Si vous lui donnez un ordre, il vous répondra et si vous désirez que cette ordre soit retenue, alors indiquez-lui, puis autorisez.
NB: Si vous avez des versions de Java ,parmis les ActivesX et que celle-ci ne sont pas absolument la dernière version, supprimez.
N'oubliez pas ensuite d'aller dans : Démarrer/Panneau de configuration/ Ajouts et Suppressions de programmes et supprimez les vieilles versions de Java ,'Dangeureuses' et Exploitables.
Si vous ne connaissez pas la description de Spybot, alors recherchez sur Google.

10: BHOs ou Browsers Helpers: Ceci sont les Pages de navigations, souvent détournées et bordéliques.
NB: Vous devez impérativement limiter celles-ci!!! Comme pour les activesX Vous avez la possibilité d'en supprimer.

11: Démarrage du systême : Vous montre les processus des programmes qui démarrent et fonctionnent en 'arrière plan' .
Vous devez aussi limiter ceux-ci aux utiles et nécessaires.
Car ceci aussi peut devenir bordelique.
Vous pouvez voir assez rapidement ici les programmes,'non légitimes' ou Même dangeureux que vous pouvez aussi avoir autorisé par erreur ou à votre insu.
------------------------------------------------------------------------------------------ ----
Je me limite à ces fontions et onglets et je vous invite à en faire autant , pas moins, pas plus.

Jal
Et installes Spyware Blaster qui ne tire absolument aucune ressource .  https://www.brightfort.com/sbdownload_free.html
Tuto ici: https://jesses.pagesperso-orange.fr/Docs/Logiciels/SpywareBlaster.htm
 redonnes-moi des nouvelles.

gadjodilo · Answer

Quel service rapide ! Merci pour la réponse. Mais, a bien y penser, je crois être plus néophyte que je le pensais. 

À la lecture de votre réponse, je me suis arrêtée à la première ligne. Qu,est-ce que IE6 ?
Pa besoin de dire que je n'ai pas compris le reste du message non plus. lol
(Sauf Spybot, je connais un peu le logiciel pour l'avoir déjà utilisé)

Merci

Gadjo

gadjodilo · Answer

Que je suis bête. Je viens de comprendre. IE (Internet Explorer) hihihi ! 
Non, pas de problème, je n'utilise QUE Firefox, ça ça va de ce coté. Alors je télécharge Spybot et si j'ai d'autres questions, je reviens.

jalobservateur · Answer

Allo! IE6 est internet #6 désuet et encore plus mal sécurisé que le 7 ,qui soit dit en passant ne sert pas non plus à naviguer.
Nous en avons besoin mais seulement pour 3 choses:
Soit: les mises à jour Windows update/Msn/Scans en ligne des moteurs Antivirus qui ont besoin d'actives X .Point.
Firefox est beaucoup mieux sécurisé en plus d'être plus fonctionnel et rapide.
Il est en plus personnalisable même en ses apparences.
Voilà.
En espérant t'avoir donner satisfaction! .;-)

Le sioux · Answer

Bonsoir vous 2

Je me permet un ptit rajout d info en plus de celles de Jalobservateur

1) Mieux gerer tes cookies

Avec I.E outils/options/ onglet confidentialité/avancés/
*Cocher ignorer gestion automatique des cookies
*Cocher accepter cookies interne et refuser cookies tierce puis appliquer et ok

Avec Firefox outils/options/vie privée
*conserver les cookies --> jusqu a la fermeture de Firefox sur PC Astuces">Firefox
*dans parametres , cocher cookies
*puis cocher "toujours effacer mes informations personnelles a la fermeture de Firefox puis valider par ok
Sinon, pour FF, il y a des extensions pour cela (au moins 4 a C) --> https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org#C

* Passer CCleaner regulierement, fonction nettoyeur
Telechargement https://www.ccleaner.com/ccleaner/download
Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise a jour auto.
Tuto https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm

Cookies (biscuit)
Un cookie est un enregistrement d'informations par le serveur dans un fichier texte situé sur l'ordinateur client.
Il se compose d'un ensemble de variables que le client et le serveur s'échangent lors de transactions HTTP,ce qui permet d'éviter de se connecter à nouveau sur un forum par exemple,ou d'aller directement sur la page d'un site,etc......
Sans probleme quand ils sont utilisés par des "entités",ils peuvent se révéler trés dangereux mal employés.
En effet,ils peuvent stocker une multitudes de renseignements,qui récoltés par un spyware,permet de se connecter au service Web sous le compte de l'utilisateur.
extrait  de   https://forum.pcastuces.com/sujet.asp?f=25&s=14911   gigrionne
 

2) FireFox 
-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/
-Tutorial pour le sécuriser: https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

Bonne fin de nuit.

gadjodilo · Answer

Merci le Sioux,
je fias déjà régulièrement CCleaner et j'avais déjà programmé les fonctions, que tu m'as mentinnées, dans Firefox. Pour être franche, je suis à "retaper" l'ordinateur de ma mère (on lui a donné, et ce, bourrée de saletés) à sa place puisqu'elle n'y connait rien. Mais, y'a moins d'un an, j'aurais vraiment rien compris à tout ça. ;) hihi ! Merci du coup de pouce, c'est gentil.

Merci Jalobservateur.
Je suis en train de scaner avec Spybot. Je vais suivre les étapes une à une et je vais vous revenir (tous les deux) là-dessus dès que j'ai finis, question de vous donner des résultats. 

A+

Gadjo

jalobservateur · Answer

Super Gadjo !
Hey, tu as un spécial 2 pour un ce soir! HiHi !
Avec ceci, la question Cookies, il ne te manque qu'un bon verre de lait mousseux qui colle sous le nez Lol!
Moi ici je reviens d'une marche avec mon BÉBÉ Malamut et il fait à 22:50 -16 degres C.
Ouais mon BÉBÉ Malamut" ... Il a 8 mois et 85 lbs de muscles.
Il y a deux semaines, il m'a déplacé le nerf siatique...MDRRR sa fait mal.
Alors ce soir, la marche fut courte et mon lait je le bois chaud!
Salut mon ami sioux ;-).

Le sioux · Answer

Re vous 2

Merci le Sioux,
je fias déjà régulièrement CCleaner et j'avais déjà programmé les fonctions, que tu m'as mentinnées, dans Firefox. Pour être franche, je suis à "retaper" l'ordinateur de ma mère (on lui a donné, et ce, bourrée de saletés) à sa place puisqu'elle n'y connait rien. Mais, y'a moins d'un an, j'aurais vraiment rien compris à tout ça. ;) hihi ! Merci du coup de pouce, c'est gentil. 

Avec plaisir Gadjo ;-)

L'as tu fais avec IE aussi ?

Hugh Jalobservateur  ;-)
sacré bébé et sacré température ...
@ la tienne ! Moi je suis au café  ;-)

jalobservateur · Answer

Ho oui Gadjo ,
si tu peut nous copier le rapport de Spybot aussi...
Et tu me diras si tout va comme tu veut pour la config de Spybot ? Je l'ai écris de memoire cet après midi.
Car je ne peut malheureusement le mettre sur mon systême Windows Server 2008 Forefront & Antigen, du moins pas en fonctions avancées,..
Et oui méchant BÉBÉ, Un loup blanc énorme.
Ici une photos à - de  7 mois :  
[url=https://imageshack.com/][img=http://img223.imageshack.us/img223/9062/imgp0512wi5.th.jpg][/url]

;-)

Le sioux · Answer

RE

Belle bete ! Cool 

Pour Spybot, chez Jesses toujours  ;-)  https://jesses.pagesperso-orange.fr/Docs/Logiciels/Spybot.htm

On est "abonnés aux memes cremeries"  lol

@+

jalobservateur · Answer

Je connaissais pas le lien de Jessy sur spybot.
Vraiment complet.
En fait Spybot comme je le dis depuis des lustres, Loll! 2 ans que j'ai un ordi Lolll! Il est un incontournable.
Il est rare de voir des programmes aussi configurables que lui!
Patrick kolla est en plus d"être sympatique, est un gars allumé !
Si nous combinons à Spybot, Run Analyser, File et Reg analyser et si nous les maitrisons, nous sommes assez bien en contrôle de nos machines ! 
Chapeau Pat!
En plus ,combien de programme sont traduits en 35 langues ?

gadjodilo · Answer

BON BON BON !

Je comprends pas, Spybot n'a rien trouvé. Il me dit que je n'ai aucun mouchard.

J'ai tout de même fait ls config suggérées par Jal (ActiveX, Bho, Démarrage, etc). Mais il n'y avait rien a faire puisque cet ordi ne comprends presque rien comme programme.

Est-ce que je dois refaire un autre scan avec AVG spyware ? Est-ce que je devais le désactiver pendant le scan de Spybot ?
(Je ne comprends pas ce bout de texte :

NB: Cette configuration est idéal surtout comme bouclier 'protecteur'.
Si votre machine est loudement infectée, spybot pourrait 'cacher' ou nuire à la découverte de Rootkits ou de virus implantés.
Alors pour tout scans de Fix spéciaux, vous devrez désactiver 'temporairement' le 'Tea Timer' et le 'resident' . 

Qu'est-ce que Rootkits ?
Et un Fix spécial ?
Et à quel moment dois-je désactiver le resident et le tea Timer dans Spybot ?

Au cas où, voici le rapport de Spybot :

Spybot - Search & Destroy version: 1.5  (build: 20070830) ---

2007-08-31 blindman.exe (1.0.0.6)
2007-08-31 SDMain.exe (1.0.0.4)
2007-08-31 SDUpdate.exe (1.0.6.4)
2007-08-31 SDWinSec.exe (1.0.0.8)
2007-08-31 SpybotSD.exe (1.5.1.15)
2007-08-31 TeaTimer.exe (1.5.0.9)
2007-11-24 unins000.exe (51.46.0.0)
2007-08-31 Update.exe (1.4.0.5)
2007-08-31 advcheck.dll (1.5.3.0)
2007-04-02 aports.dll (2.1.0.0)
2007-04-02 DelZip179.dll (1.79.5.3)
2007-08-31 SDHelper.dll (1.5.0.8)
2007-08-31 Tools.dll (2.1.2.0)
2007-11-21 Includes\Cookies.sbi
2007-10-31 Includes\Dialer.sbi
2007-11-21 Includes\DialerC.sbi
2007-11-07 Includes\Hijackers.sbi
2007-11-21 Includes\HijackersC.sbi
2007-10-04 Includes\Keyloggers.sbi
2007-11-21 Includes\KeyloggersC.sbi
2004-11-29 Includes\LSP.sbi
2007-11-07 Includes\Malware.sbi
2007-11-21 Includes\MalwareC.sbi
2007-10-24 Includes\PUPS.sbi
2007-11-21 Includes\PUPSC.sbi
2007-11-21 Includes\Revision.sbi
2007-05-30 Includes\Security.sbi
2007-11-21 Includes\SecurityC.sbi
2007-11-07 Includes\Spybots.sbi
2007-11-21 Includes\SpybotsC.sbi
2007-11-06 Includes\Tracks.uti
2007-11-14 Includes\Trojans.sbi
2007-11-21 Includes\TrojansC.sbi
2008-12-24 Plugins\TCPIPAddress.dll


--- System information ---
Windows XP (Build: 2600) Service Pack 2, v.2149 (5.1.2600)


--- Startup entries list ---
Located: HK_LM:Run, !AVG Anti-Spyware
command: "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
   file: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
   size: 6731312
    MD5: CC6BC45DD5A58158645E7FB2953604FE

Located: HK_LM:Run, AVG7_CC
command: C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
   file: C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
   size: 579072
    MD5: 8B0A837F1D0AF0621A29C9F3DBF45E9F

Located: HK_LM:Run, HotKeysCmds
command: C:\WINDOWS\system32\hkcmd.exe
   file: C:\WINDOWS\system32\hkcmd.exe
   size: 114688
    MD5: EE2AC08BE7024A781DF6F40870ED748D

Located: HK_LM:Run, IgfxTray
command: C:\WINDOWS\system32\igfxtray.exe
   file: C:\WINDOWS\system32\igfxtray.exe
   size: 155648
    MD5: 095B56D71D4C6AF017712B0E59C66166

Located: HK_LM:Run, SoundMan
command: SOUNDMAN.EXE
   file: C:\WINDOWS\SOUNDMAN.EXE
   size: 55296
    MD5: 6878F2BFA204DA2A4451F91821FD4391

Located: HK_LM:Run, ZoneAlarm Client
command: "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
   file: C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
   size: 919016
    MD5: 7462B3864DA32E6B3D1EF0524E663A23

Located: HK_CU:Run, AVG7_Run
  where: .DEFAULT...
command: C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE
   file: C:\PROGRA~1\Grisoft\AVG7\avgw.exe
   size: 219136
    MD5: B331EF4C7437F5093D703340678469EB

Located: HK_CU:Run, AVG7_Run
  where: S-1-5-19...
command: C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE
   file: C:\PROGRA~1\Grisoft\AVG7\avgw.exe
   size: 219136
    MD5: B331EF4C7437F5093D703340678469EB

Located: HK_CU:Run, AVG7_Run
  where: S-1-5-20...
command: C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE
   file: C:\PROGRA~1\Grisoft\AVG7\avgw.exe
   size: 219136
    MD5: B331EF4C7437F5093D703340678469EB

Located: HK_CU:Run, ctfmon.exe
  where: S-1-5-21-448539723-2000478354-725345543-500...
command: C:\WINDOWS\system32\ctfmon.exe
   file: C:\WINDOWS\system32\ctfmon.exe
   size: 14336
    MD5: FB998BE9A46C81797CF66878E9C283DD

Located: HK_CU:Run, MsnMsgr
  where: S-1-5-21-448539723-2000478354-725345543-500...
command: "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
   file: C:\Program Files\MSN Messenger\MsnMsgr.Exe
   size: 5674352
    MD5: A7EFC7EA7EF6FB022A8A95813EDCBE5D

Located: HK_CU:Run, SpybotSD TeaTimer
  where: S-1-5-21-448539723-2000478354-725345543-500...
command: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
   file: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
   size: 1460560
    MD5: B7D4586BFC0DD6C3BE7DCCC252A3E97E

Located: HK_CU:Run, AVG7_Run
  where: S-1-5-18...
command: C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE
   file: C:\PROGRA~1\Grisoft\AVG7\avgw.exe
   size: 219136
    MD5: B331EF4C7437F5093D703340678469EB

Located: WinLogon, crypt32chain
command: crypt32.dll
   file: crypt32.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, cryptnet
command: cryptnet.dll
   file: cryptnet.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, cscdll
command: cscdll.dll
   file: cscdll.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, igfxcui
command: igfxsrvc.dll
   file: igfxsrvc.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, ScCertProp
command: wlnotify.dll
   file: wlnotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, Schedule
command: wlnotify.dll
   file: wlnotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, sclgntfy
command: sclgntfy.dll
   file: sclgntfy.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, SensLogn
command: WlNotify.dll
   file: WlNotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, termsrv
command: wlnotify.dll
   file: wlnotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, wlballoon
command: wlnotify.dll
   file: wlnotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!



--- Browser helper object list ---
{53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
          location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
          BHO name: 
        CLSID name: Spybot-S&D IE Protection
       description: Spybot-S&D IE Browser plugin
    classification: Legitimate
    known filename: SDhelper.dll
         info link: http://spybot.eon.net.au/
       info source: Patrick M. Kolla
              Path: C:\PROGRA~1\SPYBOT~1\
         Long name:       SDHelper.dll
        Short name:                   
    Date (created): 2007-11-24 22:32:24
Date (last access): 2007-11-24 23:33:32
 Date (last write): 2007-08-31 16:46:14
          Filesize:            1122128
        Attributes:           archive 
               MD5: B8958471DAA4481E93B03DF8F991DD6E
             CRC32:           35E35F14
           Version:            1.5.0.8



--- ActiveX list ---
{D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object)
          DPF name: 
        CLSID name: Shockwave Flash Object
         Installer: C:\WINDOWS\Downloaded Program Files\swflash.inf
          Codebase: http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
       description: Macromedia Shockwave Flash Player
    classification: Legitimate
    known filename: 
         info link: 
       info source: Patrick M. Kolla
              Path: C:\WINDOWS\system32\Macromed\Flash\
         Long name:        Flash9d.ocx
        Short name:                   
    Date (created): 2007-06-11 13:04:32
Date (last access): 2007-11-24 23:31:12
 Date (last write): 2007-06-11 13:04:32
          Filesize:            2267368
        Attributes:  readonly archive 
               MD5: B01E2A41389FBA42B7B5A026EA88C9B7
             CRC32:           8980B6EC
           Version:           9.0.47.0



--- Process list ---
PID:    0 (   0) [System]
PID:  640 (   0) \SystemRoot\System32\smss.exe
 size: 50688
PID:  688 (   0) \??\C:\WINDOWS\system32\csrss.exe
 size: 4096
PID:  712 (   0) \??\C:\WINDOWS\system32\winlogon.exe
 size: 507904
PID:  756 (   0) C:\WINDOWS\system32\services.exe
 size: 108544
  MD5: C29DE95D71234B5D156CF79BA3363980
PID:  768 (   0) C:\WINDOWS\system32\lsass.exe
 size: 13312
  MD5: 7DDB52683C0E462EFA0995AA9A062366
PID:  912 (   0) C:\WINDOWS\system32\svchost.exe
 size: 14336
  MD5: 90FA31A7D25E3F8C879CBFE4B3E528D4
PID: 1000 (   0) C:\WINDOWS\system32\svchost.exe
 size: 14336
  MD5: 90FA31A7D25E3F8C879CBFE4B3E528D4
PID: 1096 (   0) C:\WINDOWS\System32\svchost.exe
 size: 14336
  MD5: 90FA31A7D25E3F8C879CBFE4B3E528D4
PID: 1148 (   0) C:\WINDOWS\system32\svchost.exe
 size: 14336
  MD5: 90FA31A7D25E3F8C879CBFE4B3E528D4
PID: 1204 (   0) C:\WINDOWS\system32\svchost.exe
 size: 14336
  MD5: 90FA31A7D25E3F8C879CBFE4B3E528D4
PID: 1252 (   0) C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 size: 75304
  MD5: 7DE2CBEAD1E815C689441E572529160D
PID: 1520 (   0) C:\WINDOWS\Explorer.EXE
 size: 1030144
  MD5: A8A23C5B5E26C6FB588510367ECA4A55
PID: 1856 (   0) C:\WINDOWS\system32\spoolsv.exe
 size: 56832
  MD5: F865B3D2B8F54C5651F7AEE8D61C6FE7
PID:  236 (   0) C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
 size: 312880
  MD5: 5DCD235C061022BCDA9AA48670B64211
PID:  256 (   0) C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
 size: 418816
  MD5: 3C7B93F947355E374A49564D0D017B7B
PID:  288 (   0) C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
 size: 49664
  MD5: 30A14F65DB477DC00A64A5A24E96919C
PID:  332 (   0) C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
 size: 406528
  MD5: 4001196405D7C2680A1B1E32E49C1D22
PID: 1468 (   0) C:\WINDOWS\system32\wscntfy.exe
 size: 13824
  MD5: 4ACA3FE4B58B942047036D1CB2D20F1E
PID: 1620 (   0) C:\WINDOWS\System32\alg.exe
 size: 44032
  MD5: 4D436CBE1BF00FF15F09CAEBCAC1FA47
PID:  520 (   0) C:\WINDOWS\SOUNDMAN.EXE
 size: 55296
  MD5: 6878F2BFA204DA2A4451F91821FD4391
PID: 1608 (   0) C:\WINDOWS\system32\igfxtray.exe
 size: 155648
  MD5: 095B56D71D4C6AF017712B0E59C66166
PID: 1352 (   0) C:\WINDOWS\system32\hkcmd.exe
 size: 114688
  MD5: EE2AC08BE7024A781DF6F40870ED748D
PID: 1912 (   0) C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
 size: 579072
  MD5: 8B0A837F1D0AF0621A29C9F3DBF45E9F
PID: 1928 (   0) C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
 size: 919016
  MD5: 7462B3864DA32E6B3D1EF0524E663A23
PID: 2072 (   0) C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
 size: 6731312
  MD5: CC6BC45DD5A58158645E7FB2953604FE
PID: 2140 (   0) C:\Program Files\MSN Messenger\MsnMsgr.Exe
 size: 5674352
  MD5: A7EFC7EA7EF6FB022A8A95813EDCBE5D
PID: 2152 (   0) C:\WINDOWS\system32\ctfmon.exe
 size: 14336
  MD5: FB998BE9A46C81797CF66878E9C283DD
PID: 2172 (   0) C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
 size: 1460560
  MD5: B7D4586BFC0DD6C3BE7DCCC252A3E97E
PID: 2444 (   0) C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
 size: 4943184
  MD5: C92780F50B8BB7A89E919585916494A9
PID: 2488 (   0) C:\Program Files\Mozilla Firefox\firefox.exe
 size: 7649128
  MD5: 451F674EA11D8570690E5150C86FA2F7


--- Browser start & search pages list ---
Spybot - Search & Destroy browser pages report, 2007-11-24 23:59:22

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
  C:\WINDOWS\system32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
  http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
  https://ici.radio-canada.ca/
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page
  %SystemRoot%\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
  http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
  http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
  http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
  http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
  https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
  https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm


--- Winsock Layered Service Provider list ---
Protocol  0: MSAFD Tcpip [TCP/IP]
        GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP IP protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD Tcpip [*]

Protocol  1: MSAFD Tcpip [UDP/IP]
        GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP IP protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD Tcpip [*]

Protocol  2: MSAFD Tcpip [RAW/IP]
        GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP IP protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD Tcpip [*]

Protocol  3: RSVP UDP Service Provider
        GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
    Filename: %SystemRoot%\system32\rsvpsp.dll
 Description: Microsoft Windows NT/2k/XP RVSP
 DB filename: %SystemRoot%\system32\rsvpsp.dll
 DB protocol: RSVP * Service Provider

Protocol  4: RSVP TCP Service Provider
        GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
    Filename: %SystemRoot%\system32\rsvpsp.dll
 Description: Microsoft Windows NT/2k/XP RVSP
 DB filename: %SystemRoot%\system32\rsvpsp.dll
 DB protocol: RSVP * Service Provider

Protocol  5: MSAFD NetBIOS [\Device\NetBT_Tcpip_{9CDDAD70-15E5-4CAD-977A-BDCBBABDF938}] SEQPACKET 0
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol  6: MSAFD NetBIOS [\Device\NetBT_Tcpip_{9CDDAD70-15E5-4CAD-977A-BDCBBABDF938}] DATAGRAM 0
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol  7: MSAFD NetBIOS [\Device\NetBT_Tcpip_{3B34AF63-E26D-441A-8E98-4883B2CD5663}] SEQPACKET 1
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol  8: MSAFD NetBIOS [\Device\NetBT_Tcpip_{3B34AF63-E26D-441A-8E98-4883B2CD5663}] DATAGRAM 1
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol  9: MSAFD NetBIOS [\Device\NetBT_Tcpip_{89E75401-5CDD-4BAB-91F5-C5E11C0A267E}] SEQPACKET 2
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol 10: MSAFD NetBIOS [\Device\NetBT_Tcpip_{89E75401-5CDD-4BAB-91F5-C5E11C0A267E}] DATAGRAM 2
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Namespace Provider  0: Tcpip
        GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B}
    Filename: %SystemRoot%\System32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP TCP/IP name space provider
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: TCP/IP

Namespace Provider  1: NTDS
        GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC}
    Filename: %SystemRoot%\System32\winrnr.dll
 Description: Microsoft Windows NT/2k/XP name space provider
 DB filename: %SystemRoot%\system32\winrnr.dll
 DB protocol: NTDS

Namespace Provider  2: Network Location Awareness (NLA) Namespace
        GUID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83}
    Filename: %SystemRoot%\System32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP name space provider
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: NLA-Namespace


Mon ordi est-il correct ???

jalobservateur · Answer

Loll! Rapport en Araméen !!!.
Non normal!
On vois ce qui fonctionne en arrière et avant plan sur ta machine.
Et tout est ok !
Tu n'as pas besoin de faire un autre scan.

-------------
NB: Cette configuration est idéal surtout comme bouclier 'protecteur'.
Si votre machine est loudement infectée, spybot pourrait 'cacher' ou nuire à la découverte de Rootkits ou de virus implantés.
Alors pour tout scans de Fix spéciaux, vous devrez désactiver 'temporairement' le 'Tea Timer' et le 'resident' .
Ici ceci ne s'applique pas chez-toi.
Car ta machine n'est pas infectée.
Les Rootkits,sont simplement dit: Des genres de virus qui se logent tout au fond du coeur de Windows et qui sont difficilement détectables par les antivirus communs.

Les Fix : Sont des programmes fabriqués spécifiquement par des débrouillards et des petits genies que l'on connais tous plus ou moins, 
et qui comblent les lacunes des logiciels commerciaux, mal adaptés.
Des logiciels qui ciblent et qui sont très efficaces.
Parcontre,la plupart,doivent fonctionner seul et donc spybot entre-autre et ses boucliers peuvent empêcher une détection voilà.

jalobservateur · Answer

Et pour cette ligne inutile de ton log Hjkts : 
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) 
Fais scan only avec hjts et coches cette ligne puis clic fixed. 
Alors Spybot va t'avertir et dis-lui de se souvenir puis acceptes la modification. 
Puis passes un coup de Ccleaner et corriges les erreurs de registres avec.

Oupsss ! sauf que ta version de java est désuette.
Alors dans ajouts et suppression de programmes  supprimes la  et vas ici pour mettre à jour ce qu'il t'indiquera.
Vas sur :   https://www.flexera.com/products/operations/software-vulnerability-management.html
Sur Firefox.

gadjodilo · Answer

Mais que de découvertes ce soir ! N'est-ce pas magnifique ! ;) Je vais sincèrement garder cette page dans mes favoris !!!

Pendant que j'attendais la réponse, j'ai refait un scan AVG (spyware) tout ce qui était là avant est disparu, mais maintenant il m'a trouvé :
ADWARE.NaviPromo

que fais-je, que peux-je, que m'eu-je ? Aaaaaaaaa y'en a marre !!! 

Gadjo

(Sioux, tu m'a donné un sacré coup de pouce avec Jenny. Maintenant que j'ai bien configuré le tout sur l'ordi de maman...ne reste plus qu'à le refaire chez moi lol).

Gadjo

jalobservateur · Answer

Loll! Il vient d'ou lui?
Navipromo ?
 
Et bien voila tu vas être initié à un fix loll!
Installe ceci et fait l'étape #1 
http://mickael.barroux.free.fr/securite/navilog.php cliques sur Il mafioso .
suis les instructions et colle le résultat ici.
Donc là tu vas cliquer droite sur spybot pres de l'horloge et fermer.
 ensuite tu dézippe le fix.
Elle est bien bonne celle-là.
L'ordi de maman et Navipromo ! Loll!
En plus pas de pub ???
Bizarre.
Bon attendons le résultat.;-)

jalobservateur · Answer

Hey le sioux, tu en pense quoi toi de ceci ?
Namespace Provider 2: Network Location Awareness (NLA) Namespace
GUID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: NLA-Namespace 
Je ne suis pas sûr si relié à une corruption de MSN  ou Newdotnet ? 
Ou légitime? je vais rechercher.

gadjodilo · Answer

Bonjour,
tel que demandé Jal, voici le rapport demandé:

Et oui, c'est vraiment l'ordi de maman ! lol
______________________________________

Search Navipromo version 3.3.6 commencé le 2007-11-25 à  0:59:04,65

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 6.0.2900.2149 


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Administrator\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\STARTM~1\PROGRAMS ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse terminée le 2007-11-25 à  1:00:38,40 ***

jalobservateur · Answer

Ok il me semblait bien aussi !

Parcontre, on va investiguer plus loin si tu veut ?Ok ?

gadjodilo · Answer

OK, que dois-je faire maitenant ? :)

jalobservateur · Answer

Remets-moi un log nouveau complet de HJKTs stp.
Et oui je riais car Navipromo s,attrappe sur des sites de Q, loll!
Surtout que tu dis : Il n'y a pas de problème quelconque avec l'ordi, pas de "manoeuvres fantômes" douteuses ou de fenêtres pop-up. Seulement, j'aimerais que mon ordi soit PROPRE ! :D

jalobservateur · Answer

Pendant que je vais passer au peigne fin ton log, Vas ici et suis la procedure: http://siri.urz.free.fr/Fix/SmitfraudFix.php
NB: fermes spybot et ton Antivirus  mais oublies pas ensuite de remettre ton AV

gadjodilo · Answer

OH MON DIEU !!!! Avoir su !
Cet ordi était entre d'autres main avant d'"atterir" chez ma mère (de 63 ans). Il a dû être reformater. Au scan, il y avait qq 300 cochonneries là-dessus. IL n'y avait ni fire wall, ni anti-virus, ni ...!!!!!!!!!!!!!!!!!!!!!!!! Bref, une maman qui ne fait pas encore la différence entre Explorer et Messenger. Je suis la prof quoi ! ;)

Bon, assez parlé, voici le log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:19:43, on 2007-11-25
Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://ici.radio-canada.ca/
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

gadjodilo · Answer

NB: fermes spybot et ton Antivirus mais oublies pas ensuite de remettre ton AV

Est-ce que je dois fermé les icône en temps réelles près de l'horloge aussi (en passant j'ai AVG anti-virus ET anti-spyware, donc deux icônes différentes, en plus de celle de spybot) ???????????

jalobservateur · Answer

Oupsss Ceci est encore pareil NONONONONNN!!! !!!! BYE IE6 !!!!
Important ici.IE7 .
et... Mais changes de navigateur stp !
Firefox 2.0.0.9 et ne navigues que sur lui. https://www.pc-infopratique.com/telecharger-335-firefox.html
tuto : http://www.tutopat.com/viewtopic.php?t=116 
Important aussi, je vais te gronder toi ! GrRRRRRR""""!!!!


Oui fermes tout 
Et quand tu auras installé IE7 , Enlèves les raccourcis et fout les à la poubelle!
Gardes juste les raccourcis Firefox 

[URL=https://imageshack.com/][IMG]http://img232.imageshack.us/img232/7899/ff9kldm6.gif[/IMG][/URL]
C'est ceci que je veux voir Loll!

gadjodilo · Answer

Mais je suis sûre Firefox 2.0.0.9. Je l'ai même par défaut. C'est de lui que je t'écris en ce moment ! Je comprends pu. Et tu vas me gronder...j'ai fait qqc ? *mal aise* Je ne te suis plus là :( Là je me sens plutôt blonde ! lol 

OK, en passant, je suis en train de faire le fix que tu m'as demandé. Dans les directives, ils disent redémarer en mode sans échec... ca peut avoir l'air con mais....c'est quoi en anglais ? Je vien de faire le F8 en redémarrant mon ordi, mais je ne sais pas quelle option prendre !

jalobservateur · Answer

Je ne comprends pas pkoi je vois pas firefox sur ton log ?
Ok je suis fatigué mais ...il est pas là ?
Safe mode.
Mais gardes moi les rapports stp.
Avec Windows XP Allumez le PC et, quand la barre blanche de progression apparaît au bas de l'écran (elle n'y reste que quelques secondes), appuyez sur la touche F8 de votre clavier. Choisissez alors l'option Mode sans échec dans le menu qui apparaît. Windows a changé d'aspect : l'affichage est automatiquement réglé sur 640 x 480 points. C'est normal !
Ou aussitot il repart tapottes plusieurs fois f8 pour safe mode .

Le sioux · Answer

Retour sur CCM

Vous en avez fait des choses pendant que je fouettais d'autres chats ...

Pour répondre a ton post 18, je pense cela légitime
http://www.castlecops.com/lsp-196.html

Pour Navipromo/Magic control, je rajouterai qu' ils  s installent tous 2  avec 
    * Go-astro
    * GoRecord
    * HotTVPlayer
    * MailSkinner
    * Messenger Skinner
    * Instant Access
    * InternetGameBox
    * Sudoplanet

Et en surfant sur  le site www.games-desktop.com   (n'y allez pas)

Mais aussi, comme le dis Jalobservateur par l'intermédiaire de l'installation de 

    * WebMediaplayer (ne provenant pas du site : http://www.azertysite.new.fr/qui est sain) mais souvent de sites pétanques en effet

@+

PS : Pourquoi utiliser SmitFraudfix ?

jalobservateur · Answer

Loll! juste pour la chasse aux fantômes...
Avg  a rien trouvé sauf Navipromo ? Mais il l'a dégotté ou coudonc ?
Et la joke, vois-tu Firefox toi sur le log ? ???
Ok je suis sur la machine depuis 15 heures mais ...

Le sioux · Answer

Re

Ouaips des fantomes ;-)
SmitFraudFix  ne trouvera rien non plus, on aurait vu quelque chose via HijackThis sinon.

Vois-tu Firefox toi sur le log ?  ba , non pas sur le log HijackThis,  c'est normal qu'il n'y sois pas, preuve qu'elle/il a bien fermé tous les programmes avant d'éxecuter celui ci  ;-)

Tu es scotché a l'écran depuis trop longtemps toi aussi  lol 

Moi, je redéccroche un peu.

@+

jalobservateur · Answer

Loll! ouais surement et je deviens parano depuis mes 5 expérienxes Virut et ses merdes. lol!
Je vois des logs propres et je soupçonne !
C'est juste cette merde de Navipromo innatendue qui m'a fais douter.
C'est comme l'autre jour, je fais supprimer une vieille version java et Paf !! 3 nouvelles lignes dans le log ???
J'ai eu ma confirmation crois-moi!
J'ai dû utiliser des killers pour la dégommer la chipie , elle était exploitée ,! Alors j'ai depuis, la gachette facile ;-)

jalobservateur · Answer

Ok moi dodo on reprend demain, bien Heuuuh tantot ,je vois plus l"écran!
Bonne nuit à vous (++)

Le sioux · Answer

Re

Alors j'ai depuis, la gachette facile   -->  Je vois cela Cowboy  lol ...

Bonne nuit a vous 2.

gadjodilo · Answer

Merci de votre patience les gars. Je susi désolé, j'ai essayé par deux fois de vous faire un copier coller de mon rapport SmitFraud Fix et hop, dès que je l'ai posté, il n'a pas enregistré.

Bref, je disais que moi aussi yeux petits et comprends pu trop trop. 

En qq mots, (vous me le dirai demain) c'est tu une grosse affaire que l'ordi a ? Grave ou moyen ou bof ?

Bref, on s'en reparle.

Bonne nuit ! :D 
Et merci tout plein

xx

jalobservateur · Answer

Re !
Petit sommeil terminé ,
Tu dois avoir un log du rapport .txt  sur ton C;/ de Smithfraudfix.
Mais, je crois qu'il doit être propre.
Alors si c'est ta maman qui se servira de cette machine, il est préférable de lui mettre simple et efficace.
Car tu vois, les jeunes sembles être nés avec un 'chip' électronique dans la tête ,mais les personnes plus agées , pas du tout.
Donc afin de lui aider: Mets-lui sur le bureau les raccourcis qu'elle devra utiliser le plus souvent.
Et par exemple: Ses programmes de protection qu'elle devra mettre à jour régulièrement, cliques à droite sur ces raccourcis et renommes-les.

Exemple: Spybot 
            1 mise à jour 
               semaine
-----------------------------

          Ccleaner
            1 click
       avant Dodo
----------------------------

Défragmenteur autre que celui de Windows, genre JKDefrag.

        JKDefrag
          1 fois
         par mois
----------------------------

Spyware Blaster
1 update 1fois
    Par mois
Enable protect
-------------------------

Tu vois c'est ce que je fais en assistance à distance et les gens comprennent bien et ils deviennent fiers fiers d'eux et se sentent plus en maitrise tu vois ?

Ils me disent ouep ! Je connais bien mes programmes et je fais tout comme tu m'a indiqué et ... là ma machine va bien et je me sens plus sûr de moi !

L'important aussi c'est que tous doivent bien lire les avertissement de leurs protections et ralentir la souris puis analyser les demandes avant de jouer au Lucky Luke de la souris, c'est tout.
 Si ils ne sont pas assez renseigné ils doivent considérer Google comme un ami !

Alors nous allons compléter une bonne protection pour elle et y aller de simplicité.

j'attend ton retour .@+ Jal



Ainsi de suite

gadjodilo · Answer

Bonjour Jal,
je suis de retour (14h40 chez moi).

Et bien tu as vu juste, je vais faire simple pour ma mère. En attendant, je vais essayer de te copier-coller le rapport, mais hier à deux reprises, le site (ce forum) n'a pas enregistré. C'est comme si je ne t'Avais rien écris. Alors, QUE FAIRRRE ? ;)

Gadjo

jalobservateur · Answer

Re Bonjour!
Dis moi quand tu seras dispo .;-)

gadjodilo · Answer

Bonjour Jal,
désolé j'ai croisé mes nièces et on est allée jouer dans la neige ! :D

Donc là, je suis devant le poste pour au mions une bonne heure min.

J'ai réessayé entre temps de t'envoyer le rapport SmithFraud machin, mais décidément, il doit être trop long. Le site ne l'enregistre pas.
Que veux, tu que je fasse maintenant.

Mariso

jalobservateur · Answer

Ok dis moi seulement si il a trouvé des bibites ou non stp

gadjodilo · Answer

Tiens, je vais essayé de t'envoyer juste la fin du rapport

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9CDDAD70-15E5-4CAD-977A-BDCBBABDF938}: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9CDDAD70-15E5-4CAD-977A-BDCBBABDF938}: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9CDDAD70-15E5-4CAD-977A-BDCBBABDF938}: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=205.151.69.200 205.151.68.200


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

jalobservateur · Answer

Ok  et je me demandais, étant donné que tout semble clean, si tu as envi que je te donnes les bonnes configs et trucs pour ta maman, je peut le faire avec toi sur msn si tu veut.
Regardes sur mon profil  et il y a mon adresse  .
Fais-moi une demande de contact et celà va accélérer grandement nos échanges.

gadjodilo · Answer

Okidouki ! 
Je viens de t'ajouter à ma liste et je suis en ligne ! :D

Analyse Hijack svp (Doucleclick,Mediaplex...

42 réponses

Votre réponse

Discussions similaires

Newsletters