Sujet Précédent Sujet Suivant

Virus reboot automatique - rapport HijackThis

Résolu/Fermé
armelilla - 6 janv. 2008 à 03:08
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 - 13 avril 2008 à 23:46
Bonjour (et bonne année, tant qu'on y est),

J'ai un problème de virus/troyen (??) sur mon PC.
Je ne m'y connais pas du tout mais bon, en gros, les symptômes sont les suivants : la machine est très franchement ralentie voire complètement bloquée et, de temps en temps, l'ordi s'éteint et redémarre tout seul en quelques secondes.

J'ai un firewall (ZoneAlarm) et un anti-virus (Avira AntiVir), et ce dernier m'a détecté pas mal de petites choses qui trainaient par-ci par-là et qui ont été mise en "quarantaine".
Mais il y a un autre truc : à chaque démarrage, un exe Wintcps tente d'accéder à internet (troyen, n'est-ce pas ??).

J'ai aussi une vieille version de F-secure qui tourne encore et me détecte très régulièrement un "virus inconnu".

J'ai fait un scan HijackThis que voici juste en dessous.
Remarque : par souci d'anonymat et de sécurité, j'ai ajouté des "[...]" par 4 fois pour remplacer des détails du log, notamment la fin d'un url en "impot.gouv.fr/..." (?!??).


-------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:22:05, on 06/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\WINNT\system32\dllcache\wintcps.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSOffice] C:\WINNT\system32\MSOffice\services.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.windupdates.com
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/ [...]
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - https://www.afternic.com/domains/downloadv3.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = [...]
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINNT\system32\dllcache\wintcps.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: Security - C:\WINNT\desktop.html
A voir également:

46 réponses

Réponse 1 / 46
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
6 janv. 2008 à 03:37
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Ensuite :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Doubles cliques sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarres ton ordinateur en mode sans echec et exécute le logiciel .
Postes ensuite le rapport ici stp.


Et avec highjackthis ,fais scan seulemenr ou scan only (En hors connection) et coches toutes ces lignes :


O4 - HKLM\..\Run: [MSOffice] C:\WINNT\system32\MSOffice\services.exe
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.windupdates.com
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/ [...]
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = [...]
-----------------------------------------------------------------------------
Puis cliques sur Fixed check.

Et installes ceci en suivant le tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/SpywareBlaster.htm

@ Suivre @ + jal

017 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = [...]
1
Réponse 2 / 46
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
7 janv. 2008 à 01:03
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)


Ok Tu es de retour je t'avais oublié ,,,

Ouais ta bête est : Win32.Sdbot.DIY
Mais je crois qu'elle a de la compagnie alors nous verrons .
1: À la fois.
JE reste ici.

Et coches en bas sur: Recevoir les réponses par Email, ce sera plus vite.
1
Réponse 3 / 46
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
7 janv. 2008 à 02:14
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Ouais sur Ccleaner tu as registres .
Tu dois corriger toutes les erreurs.
Sauf erreur' tu n'as absolument rien changé Fixé ???
Tu as le même log ou quoi ?

Et il y a vraiment un gros problème de mises à jour sur ta machine c'est vraiment insécure le PACK 1 et IE 6 c'est la M&?&()(&.

Ok nous reprendrons demain.
1
Réponse 4 / 46
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
7 janv. 2008 à 21:14
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Ouais, il s'est ajouté de belles saloperies dans ta 'supposée ' zone de confiance.
Il y a beaucoup à faire !!!
Mais en premier lieu: Ne retournes pas sur IE.
Seulement Firefox.
Et nous allons couper les ponts à ces merdouilles en premier.
ET----------------------------

As-tu fais ceci ou non ?


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Doubles cliques sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarres ton ordinateur en mode sans echec et exécute le logiciel .
Postes ensuite le rapport ici stp.


Et avec highjackthis ,fais scan seulemenr ou scan only (En hors connection) et coches toutes ces lignes :


O4 - HKLM\..\Run: [MSOffice] C:\WINNT\system32\MSOffice\services.exe
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.windupdates.com
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/ [...]
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = [...]
-----------------------------------------------------------------------------
Puis cliques sur Fixed check.
Et le rapport de SDFIX ????
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 46
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
8 janv. 2008 à 00:08
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)


Et installes ceci au plus vite : https://jesses.pagesperso-orange.fr/Docs/Logiciels/SpywareBlaster.htm

colles-moi les rapports ici surtout stp.
1
Réponse 6 / 46
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
9 janv. 2008 à 00:02
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Que demander de plus !
C'est bien !

Alors maintenant: Etant donné que je suis ultra pris 3 recommandations:

Vas ici sur mon site: https://jalobservateurtextes.wordpress.com/

et combles les protections qui te manque, puis: Une fois ceci fait Y compris Sur le site Secunia inspector ou tu mettras tout à jour, vas ensuite sur ajouts et suppression de programmes et supprimes toutes les traces de vieux Java ((Sauf la 1.6.0_3)).
mais fais tout ce que je dis sur les protections.

Repasses Ccleaner et à tous les soirs avant dodo. ^-)

Finalement :1: Fais ceci : https://www.informatruc.com /Redémarres/ Réactives la resto/

2: Vas sur Demarrer/Tous les programmes/Accessoires/Outils système/Restoration du système/ Crée un point de restoration 'propre'
Avec la date et une note comme: Jalobservateur LOlll!!!

3: donnes-moi ensuite tes impressions sur le rendement de ta machine.
1
Réponse 7 / 46
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
10 janv. 2008 à 01:46
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

re bonsoir armelilla

Tu me rassures un peu car j'ai lu aujourd'hui que mes explications sont compliquées !
Possiblement mon accent ?

Bref!
Super pour Antivir et Zone Alarm !

Spyware Blaster = ok (mais pas de petit icône à droite en bas d'écran ; est-ce normal ?)

Oui normal ,car ''Simplement'' , il est en gardien sur tes Navigateurs. IE et Firefox, puis les sites à risques.
IE bien entendu que pour moi ce n'est pas un navigateur , mais un ''naufrageur'', comme tu peut le constater ici sur le forum par exemple...

------------------------------------------------------------------------------------------------------------------------------------------

Spybot Search & Destroy = problème à l'installation : marche pas. Enfin en tout cas je n'arrive jamais sur la fenêtre qui est montrée dans les tutos et donc je ne peux pas faire les réglages. Et dès le départ je n'avais pas la possibilité de le lancer en mode "avancé"... Bizarre. J'ai par contre un petit icône en bas à droite (carré blanc/bleu avec cadenas), et quand on passe le curseur dessus il apparait ceci :
Résident de Spybot-SD
58189 processus mis en liste noire.

Spybot en version 1.5.1 a un problème de surcharge depuis cette version.
Tu devrais avoir 58980 processus dans la liste noire à cette date ,donc il te manque des MaJ.

Il est 1: très long à démarrer (Env de 20 à 40 secondes).
Je vais aviser l'équipe de Patrick Kolla aussitöt que je pourrai.
C'est un type super.

J'ai par contre un petit icône en bas à droite (carré blanc/bleu avec cadenas), et quand on passe le curseur dessus il apparait

Tu as le Tea Timer et oui il est actif.
Mais relis le tuto et essaies de mettre le resident par le mode avancé.
Sinon Clique droite sur le raccourci de spyot et ''exécuter en tant qu'administrateur''.

Tu as de bonnes protections là !
Le reste est de l'optimisation et des habitudes de surfs réfléchis .

Alors tentes pour Spybot de le mettre fonctionnel.
Sinon supprimes /nettoies avec ccleaner + erreurs de registres et /remets Spybot.

Quand tout est fontionnel: Tu installes ceci : https://www.toucharger.com/fiches/windows/regseeker/10824.htm
Il y a langage fr aussi dessus.
Tu fais un nettoyage automatique , il repassera 2 fois et up Voilà,

Puis tu installes ceci : https://www.clubic.com/telecharger-fiche26672-auslogics-disk-defrag-free.html
Vas en mode sans echec et pareil 1 fois par mois puis défragmentes , tu verras c rapide et plus efficace que celui de Windows.

Finalement : fais ceci : https://www.informatruc.com
Puis mets une date à ta restoration
Puis voilà tu as une machine propre efficace et protégée.

Redis-moi ;^)
1
Réponse 8 / 46
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
14 janv. 2008 à 01:15
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Ok lol! C'est que c'est plus long souvent expliquer et surtout sur un forum c'est pénible d'attendre les réponses.
Toi tu as juste un interlocuteur mais pas moi.
Retournes sur Secunia et cliques sur Start scan ,Si je me souviens vien car je ne peux pas y aller car le programme Secunia inspector est installé sur ma machine en tant que programme et de ce fait je ne peut pas aller sur le site, car Firefox se ferme.

Tu auras une page 2 tu coches et start scan.
Tu le laisses aller.
Une fois fini il te le dira.
Les x rouges sont pas bons , alors tu cliques sur les liens qu'il te donne pour faire les mises à jour.
Et spybot prends environ 20 à 30 minutes pour scanner .
3 ou 4, que tu as vu, bien il manque des 0.
1
Réponse 9 / 46
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
15 janv. 2008 à 23:38
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Bonsoir armelilla

on va vérifier une chose ok ?

Fais ceci au cas ou !
1. Télécharges combofix.exe (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
SUR LE BUREAU !

Fermes Antivir,
Exécutes le programme,( Lui seul ) Déconnectes-toi du net. Tu fermes 'toutes les autres applications'.

Il va travailler, laisses-le aller.
Ensuite il va te produire un rapport que tu me colles ici stp.
OUBLIES PAS DE RÉACTIVER ANtIVIR !!!

Et pour ceci !« Generic Host Process for Win32 Services is trying to access the internet ». Qu'est-ce que ça signifie ?

C'est légitime acceptes sinon tu pourras même plus te connecter à Internet !
NB: Quand tu sais pas une chose... Interroge Google ,il sait tout !

Tapes simplement: Generic Host Process Tu verras
1
Réponse 10 / 46
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
18 janv. 2008 à 16:21
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Re bonjour!

Déjà une grosse bête saisie !

WORM/VanBot.IY Est une belle saloperie . Il est aussi un analyseur de frappe, puis peut à sa guise télécharger des fichiers et voler des infos sur demande !
Un gros poisson dans les filets de Antivir!!!
Donc vas dans sa quarentaine et supprimes cette merde!
---------------------------------------------------------------------------------------------------------------------------------------------------------

Oui c'est ce que l'on nommes,: un log optimisé.Tu dois te rendre compte de la différence de vitesse au démarrage surtout..
Tu sembles dire que tu as Spybot...
Alors tu dois l'optimiser en configuration lui aussi.
Comme suit:
Configuration sécuritaire et efficace de Spybot Search & Destroy.

NB: Cette configuration est idéal surtout comme bouclier 'protecteur'.
Si votre machine est loudement infectée, spybot pourrait 'cacher' ou nuire à la découverte de Rootkits ou de virus implantés.
Alors pour tout scans de Fix spéciaux, vous devrez désactiver 'temporairement' le 'Tea Timer' et le 'resident' .
PS: Ce qui n'est plus ton cas, alors tu procèdes.
----------------------------------------------------------------------------------------
1: en installant Spybot: Laissé comme demandé le Tea Timer.

2: Laissé le faire toutes les étapes qu'il veut. Soit, Sauvegarde du registre à la vaccination du systeme.

3: faire un scan 'complet' et corriger les problêmes trouvés.
Il est possible qu'en scannant avec Spybot que votre Anti virus se réveille !
Surtout si vous avez Avast qui est de moins en moins réactif et dort souvent debout.
Alors il se peut qu'il vous signale un virus qu'en fait Spybot par son scan en profondeur aura "tatillé" un peu.

4: Le nettoyage terminé: Revenez sur Spybot et dans l'onglet 'Mode', cochez 'mode avancé'.

5: Vous aurez un avertissement mais ne faite que ce que je vous indique sur les points suivants.

6: Cliquez sur 'Resident' afin que vous ayez cochés 'resident' et 'Tea Timer'.

7: Cliquez sur : Outil qui est un nouvel onglet apparu en bas.

8: Cochez toutes les cases.

9: Cliquez à gauche sous Resident 'Actives X'. Vous verrez à droite les Actives X chargés sur IE. Donc vous devez prendre le 'contrôle' de ceux-ci.
En cliquant gauche sur chacun d'eux,vous pouvez lire leur description et choisir de les supprimer à votre guise avec le 'Portier' Spybot.
Attention! Si vous lui donnez un ordre, il vous répondra et si vous désirez que cette ordre soit retenue, alors indiquez-lui, puis autorisez.
NB: Si vous avez des versions de Java ,parmis les ActivesX et que celle-ci ne sont pas absolument la dernière version, supprimez.
N'oubliez pas ensuite d'aller dans : Démarrer/Pabbeau de configuration/ Ajouts et Suppressions de programmes et supprimez les vieilles versions de Java ,'Dangeureuses' et Exploitables.
Si vous ne connaissez pas la description de Spybot, alors recherchez sur Google.

10: BHOs ou Browsers Helpers: Ceci sont les Pages de navigations, souvent détournées et bordéliques.
NB: Vous devez impérativement limiter celles-ci!!! Comme pour les activesX Vous avez la possibilité d'en supprimer.

11: Démarrage du systême : Vous montre les processus des programmes qui démarrent et fonctionnent en 'arrière plan' .
Vous devez aussi limiter ceux-ci aux utiles et nécessaires.
Car ceci aussi peut devenir bordelique.
Vous pouvez voir assez rapidement ici les programmes,'non légitimes' ou Même dangeureux que vous pouvez aussi avoir autorisé par erreur ou à votre insu.
----------------------------------------------------------------------------------------------
Je me limite à ces fonctions et onglets et je vous invite à en faire autant , pas moins, pas plus.

------------------------------------------------------------------------------------------------------------------------------------------------------------

Je ne vois pas de traces de Ccleaner ?
Si tu as pas, tu installes la version slim ici : https://www.ccleaner.com/ccleaner/download
Un bon tuto ici: https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm

------------------------------------------------------------------------------------------------------------------------------------------------------------

Tu as ie6, car tu as pas le choix avec ton Win 2000.
Mais ie pour Naviguer =Dangers !
Ne navigues que sur Firefox.
------------------------------------------------------------------------------------------------------------------------------------------------------------
Je vois :Spyware Guard ! Super, mais as-tu mis Spyware Blaster ? sinon mets-le.

https://jesses.pagesperso-orange.fr/Docs/Logiciels/SpywareBlaster.htm

Fais un scan complet de A2Square à jour aussi.
Et donnes-moi un compte-rendu de tout stp.
Et je t'indiquerai les derniers points. A@+
1
Réponse 11 / 46
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
6 janv. 2008 à 03:16
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Allo! Tu as déjà un gros problème ici, j'ai pas encre regardé ton log ,mais tu dois absolument supprimer FSecure !
Jamais 2 AV !!!
Ensuite nettoies tout avac Ccleaner + les erreurs de registres,puis remet un log Hjts stp
0
Réponse 12 / 46
armelilla
7 janv. 2008 à 00:53
Ok, je vais y aller étape par étape avec suppression FSecure et nettoyage Ccleaner et je reviens ensuite avec un nouveau rapport HijackThis.
Merci beaucoup en tout cas ; @+ !
0
Réponse 13 / 46
armelilla
7 janv. 2008 à 01:50
Me-revoici !

J'ai supprimé F-Secure et appliqué Ccleaner : voilà ci-dessous le nouveau log HijackThis.

-------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:36:38, on 07/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\dllcache\wintcps.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSOffice] C:\WINNT\system32\MSOffice\services.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.windupdates.com
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/ [...]
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - https://www.afternic.com/domains/downloadv3.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = [...]
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINNT\system32\dllcache\wintcps.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: Security - C:\WINNT\desktop.html
0
Réponse 14 / 46
armelilla
7 janv. 2008 à 19:28
Hello !

J'ai refait un nettoyage + "registres" avec Ccleaner, puis refait un scan avec HijackThis, dont le rapport est juste en dessous.
Qu'en penses-tu ?

Si tu penses qu'il y a un souci et que je n'utilise pas correctement Ccleaner, dis-moi !
(et j'ai peur que ce soit le cas car à première vue je ne vois pas de grande différence entre ce log et le précédent...)

Merci !

---------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:16:39, on 07/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\dllcache\wintcps.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.windupdates.com
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr [...]
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - https://www.afternic.com/domains/downloadv3.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = [...]
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINNT\system32\dllcache\wintcps.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: Security - C:\WINNT\desktop.html
0
Réponse 15 / 46
armelilla
8 janv. 2008 à 00:01
Ok, je vais appliquer SDFix en mode sans échec, mais ensuite la manip avec HijackThis je la fais aussi en mode sans échec ?
(désolée, ça s'appelle être totalement novice !! :)
0
Réponse 16 / 46
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
8 janv. 2008 à 00:02
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Ok c normal
HJKTS fais-le oui aussi en sans echec.
0
Réponse 17 / 46
armelilla
8 janv. 2008 à 00:48
Ok, me revoici !

Pour le rapport SDFix, voilà ce que ça donne :

========================


SDFix: Version 1.124

Run by Administrateur on mar. 08/01/2008 at 0:16

Microsoft Windows 2000 [Version 5.00.2195]

Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix\SDFix

Safe Mode:
Checking Services:

Name:
Microsoft Windows TCP Protocol

Path:
"C:\WINNT\system32\dllcache\wintcps.exe"

Microsoft Windows TCP Protocol - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\temp.bat - Deleted
C:\WINNT\system32\dllcache\wintcps.exe - Deleted
C:\WINNT\system32\TFTP100 - Deleted
C:\WINNT\system32\TFTP1040 - Deleted
C:\WINNT\system32\TFTP1084 - Deleted
C:\WINNT\system32\TFTP1116 - Deleted
C:\WINNT\system32\TFTP1140 - Deleted
C:\WINNT\system32\TFTP1160 - Deleted
C:\WINNT\system32\TFTP1232 - Deleted
C:\WINNT\system32\TFTP1252 - Deleted
C:\WINNT\system32\TFTP1296 - Deleted
C:\WINNT\system32\TFTP1336 - Deleted
C:\WINNT\system32\TFTP1348 - Deleted
C:\WINNT\system32\TFTP1352 - Deleted
C:\WINNT\system32\TFTP1372 - Deleted
C:\WINNT\system32\TFTP1396 - Deleted
C:\WINNT\system32\TFTP244 - Deleted
C:\WINNT\system32\TFTP732 - Deleted
C:\WINNT\system32\TFTP904 - Deleted
C:\WINNT\system32\TFTP948 - Deleted




Removing Temp Files...

ADS Check:

C:\WINNT
No streams found.

C:\WINNT\system32
No streams found.

C:\WINNT\system32\svchost.exe
No streams found.

C:\WINNT\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 00:22:23
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Remaining Files:
---------------

File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sat 12 Oct 2002 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 12 Oct 2002 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv15.bak"
Thu 15 May 2003 43,008 ...H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"

Finished!
0
Réponse 18 / 46
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
8 janv. 2008 à 00:51
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
excellent!
La suite HJKTS.
0
Réponse 19 / 46
armelilla
8 janv. 2008 à 00:56
Du côté de HijackThis, il y a une ligne que je n'ai pas pu sélectionner car elle n'apparaissait pas quand j'ai fait le "scan only" en mode sans échec : O4 - HKLM\..\Run: [MSOffice] C:\WINNT\system32\MSOffice\services.exe

J'ai refait un scan HijackThis à l'instant en mode "normal" (??) ; le log est en dessous.
(et je vais de ce pas installer le "SpywareBlaster" dont tu parles...


=================================


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:46:10, on 08/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - https://www.afternic.com/domains/downloadv3.com
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: Security - C:\WINNT\desktop.html
0
Réponse 20 / 46
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
8 janv. 2008 à 01:09
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Ok En mode normal mais déconnectes-toi du net,

coches __

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll


O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot


O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime


O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')


O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE


O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present


O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present



O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing)
(HKCU)


O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - https://www.afternic.com/domains/downloadv3.com


O24 - Desktop Component 0: Security - C:\WINNT\desktop.html

Fixes-les toutes et vérifies surtout les lignes en gras et assures-toi qu'elles sont parties.
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
écrire un rapport de travail
asi -
REGINALD -

3 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses