Cheval Troie WIN32 Agent -Lnk à l'aide

Résolu
Ophelie77 Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   -  
DeNisCoOl Messages postés 2802 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
je suis infecté par le virus CHEVAL TROIEWIN 32 Agent-LnK
Pouvez m'aider merci Ophélie

Mon analyse donne
Logfile of HijackThis v1.99.1
Scan saved at 23:10:23, on 23/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\EzButton\EzButton.EXE
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Dominique\Bureau\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fnhotmail%2fhelp%2f%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: Zango Toolbar - {5CBE2611-C31B-401F-89BC-4CBB25E853D7} - C:\Program Files\ZangoToolbar\Bin\4.8.2.0\ZbHostIE.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Zango Toolbar - {5CBE2611-C31B-401F-89BC-4CBB25E853D7} - C:\Program Files\ZangoToolbar\Bin\4.8.2.0\ZbHostIE.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Program Files\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
A voir également:

35 réponses

  • 1
  • 2
Réponse 1 / 35
DeNisCoOl Messages postés 2802 Date d'inscription   Statut Membre Dernière intervention   224
 
salut Ophelie77,

Bienvenue dans la communauté CCM.

Évites de renvoyer 3 fois le même message ;-)
Il suffit de rajouter un mot du genre **UP** pour montrer que personne n'a encore répondu et faire remonter le message dans la liste :-)

Pour commencer
----------------------
Je conseillerais de changer d'AV pour passer à Antivir de Avira, car Avast n'a que peu voir, pas évolué, depuis 3ans, il vient de te montrer ses limites.

Pour vous faire une idée voici 2 comparatifs:
http://forum.malekal.com/ftopic3528.php
https://www.av-comparatives.org/

Pour le télécharger cliquer sur Antivir le sauvegarder dans votre bureau.
Télécharger le patch pour enlever Avast ICI et le sauvegarder dans votre bureau également.

Voir tutoriel de Antivir ici : http://forum.malekal.com/ftopic4192.php (merci malekal)
Il est en anglais mais très simple, les antivirus en français n’utilisent que des termes en anglais également.

Ensuite installer Antivir, puis après qu’il vous ait été demandé de redémarrer, faire les mises de Antivir puis lancer une analyse complète.

Pendant ce temps fermer Avast, puis aller dans le panneau de configuration et ajout/suppr. de programme, supprimer Avast, ensuite exécuter aswClear.exe.

On continuera la désinfection ensuite.
Tiens moi au courant je vais me coucher pour le moment.


A+
6
Ophelie77 Messages postés 48 Date d'inscription   Statut Membre Dernière intervention  
 
Bonsoir
Me revoilà.
Sorry pour les 3 messages.

J'ai fait comme tu as dit et j'ai viré beacoup de détections...
Quand il propose " à deleter" ou "quarantaine" = c'est quoi le mieux?

Maintenant toutes les 2 mintues il me demande de deleter un fichier et j'ai çà comme rapport
que dois faire
merci
Ophelie
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:23:48, on 24/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Module - {E1290342-AAFF-4f7c-9F45-D665E4BF1A00} - btask.dll (file missing)
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684CC} - (no file)
O2 - BHO: Microsoft copyright - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - socketa.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FFI - Unknown owner - C:\WINDOWS\system32\svchost.exe:exm.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Spouleur d'impression SpoolerImapiService (SpoolerImapiService) - Unknown owner - C:\WINDOWS\
0
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602 > Ophelie77 Messages postés 48 Date d'inscription   Statut Membre Dernière intervention  
 
Ophélie
Ça, ce n'est pas le rapport de ANTIVIR
Pour ce que trouve ANTIVIR, tu peux "deleter" ce qu'il demande.
Mais nous avons toujours besoin de rapports.

Bonne nuit
Al
0
Réponse 2 / 35
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
Salut DeNisCoOl,

Peux-tu tester ceci SVP (dans une première action TOOLBAR) :

Télécharge BTFix 1.017 (de bibi26)
BTFix vous propose de détecter et de désinstaller les barres d'outils publicitaires, qui s'invitent souvent lors de l'installation d'applications. Ce programme vous permet d'éliminer facilement les toolbars indésirables telles que Zango, MyWebSearch, MySearch, WhenU, Spam Blocker Utility, EZshopper, Browser Accelerator et beaucoup d'autres.

TELECHARGEMENT
< http://cluster1.easy-hebergement.net/ >

RECHERCHE
* Décompresse l'archive sur ton Bureau (Clique-Droit/Extraire tout).
* Ouvre le dossier "BTFix"
* Double clique sur "BTFix.exe"
* Clique sur "Rechercher"
* Un rapport va apparaître, copie/colle-le dans ta prochaine réponse
NETTOYAGE
* Ouvre "BTFix"
* Clique sur "Nettoyer"
* Un rapport va apparaître, copie/colle-le dans ta prochaine réponse


Ophélie, connais-tu ce service O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) ??

Merci
Bonne nuit
Al.
2
Réponse 3 / 35
DeNisCoOl Messages postés 2802 Date d'inscription   Statut Membre Dernière intervention   224
 
Ophelie,

Merci à afideg, je suis très occupée en ce moment, beaucoup de travail.
Suis les instructions sur le message 4 pour commencer.

A+
2
Réponse 4 / 35
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
Salut DeNisCoOl,

Je veux bien essayer; mais ce topic est mal parti.
En effet, non seulement nous ne recevons aucun rapport de l'analyse réalisée par ANTIVIR,
... mais sur le log HJT reçu post # 3 il semble que l'on ait affaire avec un autre PC.

Si ça peut te décharger un moment, je vais faire de mon mieux.
J'attends donc des explications de l'internaute.
Ophélie, quelles sont les opérations effectuées sur ce PC entre le post #0 et le post #3 ?
Ton TOSHIBA est-il passé par la fenêtre ?

Merci
Al.
2

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 35
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
Up

Pour suivre ce topic
Merci

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: Zango Toolbar - {5CBE2611-C31B-401F-89BC-4CBB25E853D7} - C:\Program Files\ZangoToolbar\Bin\4.8.2.0\ZbHostIE.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Zango Toolbar - {5CBE2611-C31B-401F-89BC-4CBB25E853D7} - C:\Program Files\ZangoToolbar\Bin\4.8.2.0\ZbHostIE.dll
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000


Al.
1
Réponse 6 / 35
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
OK
Installe le pare-feu du post # 23 !

Toi, comme nous, nous sommes sur un forum d'entraide et non pas de dépannage.
Chacun de nous partage avec les internautes ce qu'il a acquis avec le temps.
Tu peux faire de même si tu crois avoir des éléments susceptibles de répondre aux interrogations que tu croises.

Nous faisons cela bénévolement, et pour la plupart, nous nous mettons le plus souvent notre ménage à dos.
Ne ne sommes pas une hotline, ni un employé attitré au service clientèle CCM.

"On a toujours tort d'essayer d'avoir raison avec les gens qui ont toutes les bonnes raisons de croire qu'ils n'ont pas tort" [Raymond Devos]
"Je ne suis ni pour, ni contre, bien au contraire" [Coluche, citant Lecanuet]


Al.
1
Réponse 7 / 35
Ophelie77 Messages postés 48 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour

En fait j'ai 2 PC qui ont le même problème = le PC fixe et mon Toshiba c'est pour çà que j'avais envoyé plusieurs messages et rapport au début mais je souhaite régler d'abord ce problème
Ma dernière conversation était sur le problème de mon PC fixe. Je préfère régler le problème de mon fixe.
Merci de ton aide.

Je me connecte de chez moi ce soir pour appliquer ta procédure et envoyer le rapport

merci

Ophélie
0
Réponse 8 / 35
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
Salut Ophélie

Bon; j'avais préparé le travail sur le PC correspondant à ce log HJT :
« Logfile of HijackThis v1.99.1
Scan saved at 23:10:23, on 23/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574) »



Il me serait donc agréable de poursuivre le travail commencé.
Si tu le veux bien. Merci.

Poste-moi d'abord le premier rapport de l'analyse faite avec ANTIVIR sur ce PC Toshiba.

A)- Donc, pour ce premier log HJT sur PC Toshiba, veux-tu bien :
« Télécharger BTFix 1.017 (de bibi26)
BTFix vous propose de détecter et de désinstaller les barres d'outils publicitaires, qui s'invitent souvent lors de l'installation d'applications. Ce programme vous permet d'éliminer facilement les toolbars indésirables telles que Zango, MyWebSearch, MySearch, WhenU, Spam Blocker Utility, EZshopper, Browser Accelerator et beaucoup d'autres.

TELECHARGEMENT
< http://cluster1.easy-hebergement.net/ >

RECHERCHE
* Décompresse l'archive sur ton Bureau (Clique-Droit/Extraire tout).
* Ouvre le dossier "BTFix"
* Double clique sur "BTFix.exe"
* Clique sur "Rechercher"
* Un rapport va apparaître, copie/colle-le dans ta prochaine réponse
NETTOYAGE
* Ouvre "BTFix"
* Clique sur "Nettoyer"
* Un rapport va apparaître, copie/colle-le dans ta prochaine réponse »




B)- Et ensuite relancer une analyse complète de HijackThis (=HJT) mais en faisant comme ceci, SVP
(c'est-à-dire en utilisant la dernière version de l'outil!):

a)- Avec connexion au Net en service,
- Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < [ http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download ] > avec un installeur.
- Sur la page, choisis « Download HijackThis Installer » http://img265.imageshack.us/img265/4575/screenshot127sd3.png
et enregistre-le sur le bureau.
Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau.

b)- Installation :
•- Se déconnecter du Net, soit en coupant la connexion de son modem (débranche-le),
- Ça peut être un routeur et tu es relié par un câble, tu débranches le cable.
- Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle).
•- Clic-droit sur l’ icône « HJTInstall.exe » présente sur ton bureau et clic sur "Ouvrir" dans le menu contextuel.
- Ensuite, clic sur « Exécuter », puis sur « Install ».
- Accepte la licence en cliquant sur le bouton "I Accept"
- Le programme s’installe de lui-même dans un dossier dédié.
- Par défaut, il s'installera en C:\Program Files\Trend Micro\HijackThis
- Et un raccourci pour lancer l’analyse apparaît sur le bureau.
•- Reconnecte ton modem.
•- Arrête puis Redémarre ton PC impérativement.

c)- Analyse :
•-Important à faire en priorité si tu possèdes le logiciel Spybot S&D > Désactive le Tea Timer de Spybot en passant par les options de Spybot: il faut une fois dans le logiciel il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" .
- Tu ne dois plus voir l'icône du Tea Timer dans la barre de tâches (Systray près de l’horloge)!
•-Arrête tous les programmes en cours et ferme toutes les fenêtres.

•- Puis, double-clic sur le raccourci HJT créé sur le bureau, et clic sur "Do a system scan and save a logfile" pour lancer l'analyse.

d)- Rapport:
- À la fin du scan le bloc-notes va s'ouvrir sur le bureau
- Tu fais un copier/coller de tout son contenu.
- Et tu le postes sur le forum.
- (Il sera enregistré dans le dossier C:\Program Files\Trend Micro\HijackThis, sous hijackthis.log).

e)- Tutoriel : < [ http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ] >
Tutorial de BipBip < [ http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm ] >




C)- Télécharge et installe AVG anti-spyware :
----> http://www.infos-du-net.com/telecharger/Anti-Spyware-AVG,0301-7063.html
Si tu as besoin d'aide avec Ewido(devenu AVG-antispyware) regarde ce tutoriel:
---> http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html
---> https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/

Mais sur la page "Analyse", tu choisis d'abord l'onglet "Paramètres" > « Comment réagir »
- clic sur « Action recommandées » et dans le menu déroulant, choisir « Supprimer »
-< http://bp3.blogger.com/... >

Tu fais un scan complet de ton système, dès qu'il a fini.
Si il te trouve des espions, supprime-les.
Enregistre le rapport et colle-le ici stp

Tu dois garder un anti-spyware sur ton P; il est gratuit après sa période d'essai; mais il garde toutes ses fonctionnalités, SAUF la mise à jour ( que tu feras manuellement à chaque utilisation = 1 fois par mois ) et le bouclier résident ( qui lance le programme au démarrage, mais donc ralenti le PC ).




D)- Ophélie, connais-tu ce service O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) ??


Merci
Al.


0
Ophelie77 Messages postés 48 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour Al.
Le rapport Antivir du Toshiba
Je continue ta procédure
Bye
ophélie
AntiVir PersonalEdition Classic
Report file date: jeudi 24 janvier 2008 19:46

Scanning for 1067417 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: YOUR-F6E97467AA

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 18:45:05
ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15/01/2008 18:45:06
ANTIVIR3.VDF : 7.0.2.43 376832 Bytes 24/01/2008 18:45:06
AVEWIN32.DLL : 7.6.0.53 3211776 Bytes 24/01/2008 18:45:09
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 24/01/2008 18:45:10
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: jeudi 24 janvier 2008 19:46

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'hposts08.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'MDM.EXE' - '1' Module(s) have been scanned
Scan process 'CFSvcs.exe' - '1' Module(s) have been scanned
Scan process 'CeEPwrSvc.exe' - '1' Module(s) have been scanned
Scan process 'hpoevm08.exe' - '1' Module(s) have been scanned
Scan process 'rapimgr.exe' - '1' Module(s) have been scanned
Scan process 'ApntEx.exe' - '1' Module(s) have been scanned
Scan process 'hpotdd01.exe' - '1' Module(s) have been scanned
Scan process 'hpohmr08.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'wcescomm.exe' - '1' Module(s) have been scanned
Scan process 'TOSCDSPD.exe' - '1' Module(s) have been scanned
Scan process 'qttask.exe' - '1' Module(s) have been scanned
Scan process 'NDSTray.exe' - '1' Module(s) have been scanned
Scan process 'SmoothView.exe' - '1' Module(s) have been scanned
Scan process 'ZoomingHook.exe' - '1' Module(s) have been scanned
Scan process 'TPTray.exe' - '1' Module(s) have been scanned
Scan process 'EzButton.EXE' - '1' Module(s) have been scanned
Scan process 'CeEKey.exe' - '1' Module(s) have been scanned
Scan process 'CePMTray.exe' - '1' Module(s) have been scanned
Scan process 'agrsmmsg.exe' - '1' Module(s) have been scanned
Scan process 'ltmoh.exe' - '1' Module(s) have been scanned
Scan process 'PadExe.exe' - '1' Module(s) have been scanned
Scan process 'Apoint.exe' - '1' Module(s) have been scanned
Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
47 processes with 47 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '35' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\System Volume Information\_restore{3B0B07F2-42FE-4807-B606-4B97DC04CDF5}\RP471\A0172414.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was deleted!
C:\System Volume Information\_restore{3B0B07F2-42FE-4807-B606-4B97DC04CDF5}\RP477\A0173940.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was deleted!
C:\System Volume Information\_restore{3B0B07F2-42FE-4807-B606-4B97DC04CDF5}\RP480\A0174258.exe
[DETECTION] Contains detection pattern of the dropper DR/NaviPromo.BV.25
[INFO] The file was deleted!
C:\System Volume Information\_restore{3B0B07F2-42FE-4807-B606-4B97DC04CDF5}\RP481\A0174293.exe
[DETECTION] Contains detection pattern of the dropper DR/FraudTool.SpywareSecure.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{3B0B07F2-42FE-4807-B606-4B97DC04CDF5}\RP481\A0174294.exe
[DETECTION] Contains detection pattern of the dropper DR/FraudTool.SpywareSecure.A
[INFO] The file was deleted!


End of the scan: jeudi 24 janvier 2008 20:22
Used time: 36:56 min

The scan has been done completely.

5086 Scanning directories
199444 Files were scanned
5 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
5 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
199439 Files not concerned
6789 Archives were scanned
2 Warnings
1 Notes
0
Réponse 9 / 35
Ophelie77 Messages postés 48 Date d'inscription   Statut Membre Dernière intervention  
 
Al.

Analyse
BTFix 1.071 (par bibi26) - 25/01/2008 17:14:19 - Analyse
Lancé depuis C:\Documents and Settings\Dominique\Bureau\BTFix\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés

- C:\Program Files\ZangoToolbar\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\
- C:\Documents and Settings\Dominique\Menu Démarrer\Programmes\WhenU\

---> Analyse terminée

Après nettoyage
BTFix 1.071 (par bibi26) - 25/01/2008 17:16:48 - Nettoyage - Mode normal
Lancé depuis C:\Documents and Settings\Dominique\Bureau\BTFix\BTFix\BTFix.exe

---> Fichiers/dossiers supprimés (Première passe)

- Fichiers temporaires effacés
- C:\Program Files\ZangoToolbar\Bin\4.8.2.0\
- C:\Program Files\ZangoToolbar\Bin\
- C:\Program Files\ZangoToolbar\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\IESkins\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\ZangoOI\dynamic\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\ZangoOI\static\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\ZangoOI\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\ZangoOL\dynamic\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\ZangoOL\static\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\ZangoOL\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\ZangoToolbar\dynamic\TooltipXML\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\ZangoToolbar\dynamic\ustat\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\ZangoToolbar\dynamic\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\ZangoToolbar\static\1\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\ZangoToolbar\static\2\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\ZangoToolbar\static\DownLoad\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\ZangoToolbar\static\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\ZangoToolbar\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\v3.0\
- C:\Documents and Settings\Dominique\Application Data\ZangoToolbar\
- C:\Documents and Settings\Dominique\Menu Démarrer\Programmes\WhenU\

---> Nettoyage terminé

Je tenvoie ces données pour ne pas les perdre

bye

Ophélie
0
Réponse 10 / 35
Ophelie77 Messages postés 48 Date d'inscription   Statut Membre Dernière intervention  
 
Al

Mon analyse Hijack
Je ne sais pas à quoi correspond "Remote Packet Capture Protocol v.0 (experimental) (rpcapd) "???
Je passe à l'étape C) AVG anti spyware
Bye Ophélie


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:44:12, on 25/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\EzButton\EzButton.EXE
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Program Files\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
0
Réponse 11 / 35
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
OK
Merci
Moi, je passe à table

Fixe déjà cette saleté en relançant HJT, et en cochant la case devant cette BHO:
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

à+...
Al.
0
Réponse 12 / 35
Ophelie77 Messages postés 48 Date d'inscription   Statut Membre Dernière intervention  
 
Al
Le rapport AVG spyware qui a détecté 1 erreur que j'ai corrigé
Tiens moi informée de la suite si tu sembles que tout est ok
merci
Ophelie
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 18:34:06 25/01/2008

+ Résultat de l'analyse:



C:\System Volume Information\_restore{3B0B07F2-42FE-4807-B606-4B97DC04CDF5}\RP499\A0178346.dll -> Adware.HotBar : Nettoyé.


Fin du rapport
0
Réponse 13 / 35
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
OK,

Tout cela paraît correct.




Je souhaiterais que tu exécutes cette manipulation.

A)- Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]


B)- As-tu fixé cette saleté en relançant HJT, et en cochant la case devant cette BHO:
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
Si NON, alors fais-le maintenant impérativement ( tu as le tuto ).


C)- Télécharge ToolsCleaner (de A.Rothstein) < http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe > sur ton Bureau.
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Clique sur Quitter, pour que le rapport puisse se créer.
•- Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


D)- Supprime ce service Remote Packet Capture Protocol v.0 , comme ceci:
Clic sur « Démarrer » > « Exécuter » > taper cmd dans la lucarne, puis valider par OK ==> dans la fenetre d'invite de commande (page noire), là où un tiret clignote, colle la commande suivante : sc delete rpcapd ; et valide par [Enter].


E)- Arrêter puis redémarrer le PC


F)- Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]


G)- Termine par un scan en ligne Kaspersky < https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr > sous Internet Explorer :
Branche ton Disque Externe (clé USB) éventuellement
- Clique sur " Démarrer Online-Scanner" ( en bas à droite de la page) .
- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
Clic sur « Paramètres d'analyse »
Coche la case « Étendue » >> Ok
- Choisis par la suite l'analyse du Poste de travail pour faire un « Scan complet ».
- Sauvegarde puis colle le rapport généré en fin d'analyse.

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans "Ajout/Suppression de programmes" puis désinstalle "On-Line Scanner", reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
Ou alors prends cette adresse :< https://www.kaspersky.fr/downloads >
Tuto ici < http://www.infos-du-net.com/forum/267224-11-scan-ligne-kaspersky >



Dis-nous comment se comporte le PC
Merci pour ta collaboration et ta dextérité.

Al.


0
Réponse 14 / 35
Ophelie77 Messages postés 48 Date d'inscription   Statut Membre Dernière intervention  
 
Hello

Rapport Tcleaner
>- Recherche:

C:\Program Files\Trend Micro\HijackThis: trouvé !

---------------------------------
-->- Suppression:

C:\Program Files\Trend Micro\HijackThis: supprimé !

Par contre j'ai pas réussi à me connecter sur Kaspersky qui me rejette quelquesoit les manip. ou adresses.

Mais le PC fonctionne très bien y'a plus de "spyware trial seccure.exe" ni de cheval de troie qui apparait c'est super

Merci de ton aide as tu le temps de faire l'analyse de mon PC fixe car il m'envoie des erreurs toutes les 2 minutes via Antivir

merci

Ophélie
0
Réponse 15 / 35
Ophelie77 Messages postés 48 Date d'inscription   Statut Membre Dernière intervention  
 
J'avais aussi fait les étapes sans problème bye


D)- Supprime ce service Remote Packet Capture Protocol v.0 , comme ceci:
Clic sur « Démarrer » > « Exécuter » > taper cmd dans la lucarne, puis valider par OK ==> dans la fenetre d'invite de commande (page noire), là où un tiret clignote, colle la commande suivante : sc delete rpcapd ; et valide par [Enter].


E)- Arrêter puis redémarrer le PC
0
Réponse 16 / 35
Ophelie77 Messages postés 48 Date d'inscription   Statut Membre Dernière intervention  
 
merci beaucoup Al. pour ton aide
dois je relancer 1 autre discussion pour l'autre PC fix?
dans l'attente de ton info
bye Ophélie
0
Réponse 17 / 35
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
Re,

Tout ça est parfait
Pas de problème pour HijackThis (pas besoin de le garder dans le PC) ==> le concepteur fait régulièrement des "mises à jour".
Garde seulement en mémoire le lien de téléchargement et la procédure d'utilisation.

Gênant cet "échec" avec Kasperky.


Tente de télécharger Bitdefender Internet Security, là il est en version d'évaluation mais il se met à jour comme si tu l'avais acheté. Voilà le lien : < http://perf.weborama.fr/fcgi-bin/performance.fcgi?ID=210919&A=1&L=19545&C=803&P=1825&T=I&URL=ftp%3A%2F%2Fftp.editions-profil.fr%2FVersions_Evaluation%2FBitDefender%2FWindows%2FPostesdeTravail%2Fbitdefender_isecurity.exe >
Installe-le, mets-le à jour, et fais une analyse approfondie du système.
Et poste le rapport.
Ce prog est fiable à 99%... Si rien n'avance par la suite re-contacte le forum...
Tuto https://secure.mailsoft.fr/docs/editions-profil/Manuel_BDIS.pdf

Avais-tu un pare-feu sur le PC Toshiba ?




Demain avec ta permission, on nettoyera le PC fixe.
Il est très contaminé; et dangereusement.
Quelle est sa page d’accueil ?
- O14 - IERESET.INF: START_PAGE_URL=[http://home.free.fr/]


Je te suggère de déjà faire ceci aujourd'hui :

Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe > -1,41 Mo (1.483.997 octets)
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles.
Laisse se dérouler le scan ± 20 minutes. ==> patiente, il y a des moments d'apparente inactivité.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum

Tu poursuivras, dans l'ordre, avec une analyse complète d'ANTIVIR, suivie de AVG anti-spyware, et terminer par HijackThis .

Par précaution, je ne trouve pas intéressant de jouer sur MSN, alors qu’on sait son PC infecté.
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab  Related to a game for MSN messenger


Bonne nuit et à demain dans la journée
Al

0
Ophelie77 Messages postés 48 Date d'inscription   Statut Membre Dernière intervention  
 
Al,

Je souhaiterais définitvement desinstaller toutes applications MSN = comment fait-on?
0
Réponse 18 / 35
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
Re,

Quelles applications ?
MSN Messenger
MSN Windows Messenger
WLM
HotmailMSN explorer
Etc..

De toute manière, je ne sais pas.
Rien à voir avec le forum Sécurité.

Possible ouvrir une discussion sur Forum Internet ??


PS Pour l'infection de ton desktop, pense à avertir ta banque éventuellement.

à+..
0
Réponse 19 / 35
Ophelie77 Messages postés 48 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour Al,

j'ai installé Bitdefender et il m'a sorti çà sur le Toshiba = qu'en penses tu?
J'ai le Parefeu Windows
Bye
Ophelie

//-----------------------------------------------------------------
//
// Produit BitDefender Internet Security v10
// Produit 10.2
//
// Créé le: 27/01/2008 10:48:04
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: C:\
Dossiers : 4973
Fichiers : 38848
Processus Mémoire analysés : 41
Archives : 2
Fichiers enpaquetés : 3841
Virus trouvés : 1
Fichiers infectés : 1
Processus Mémoire infectés : 0
Fichiers suspects : 0
Alertes : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers déplacés : 1
Erreurs I/O : 7
Temps d'analyse :=00:25:07
Fichiers/seconde :25

Statistiques Spywares

Registres analysés : 320
Registres infectés : 0
Cookies analysés : 0
Cookies infectés : 0
Fichiers spyware infectés : 0
Menaces Spyware détectées : 0


Définitions virus : 977441
Plugins d'analyse : 16
Plugins archives : 41
Plug-ins décompression : 7
Plug-ins messagerie : 6
Plug-ins système : 5

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Processus mémoire
[ ] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie

Masque fichiers
[X] Programmes
[ ] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[X] Mettre en quarantaine
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[ ] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\full_scan\1201427284.log

Options d'analyse Spyware

[X] Analyse contre les risques non-viraux
[ ] Ecarter de l'analyse les dialers et les applications
[X] Clés de registres
[X] Cookies


Résumé:

C:\Documents and Settings\Dominique\Bureau\messengerskinner.exe Détecté: Adware.Navipromo.BYD
C:\Documents and Settings\Dominique\Bureau\messengerskinner.exe Désinfection impossible
C:\Documents and Settings\Dominique\Bureau\messengerskinner.exe Déplacé
0
Réponse 20 / 35
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
Bonjour Ophélie,

Je pense que AVG-AS aurait dû le dénicher bien plus tôt.
Qu'a-tu fait avec le PC entretemps ?

Suis cette procédure SVP.

Clique sur < http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe >
et enregistre-le sur ton bureau.

Ensuite double clique sur l’icône "Navilog1.exe " pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.

(Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1).

Laisse-toi guider.
Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)





Tantôt, après élimination de l'infection, tu installeras ceci :
Télécharge ce pare-feu KERIO:
( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) ,
ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe >
ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html >

•- Ensuite lancer l'installation de ce pare-feu, comme ceci :

- Impérativement couper la connexion de ton modem (débranche-le),
- Ça peut être un routeur et tu es relié par un câble, tu débranches le cable.
- Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle).
-
-- Ensuite installer ce pare-feu une fois téléchargé ,
-- et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé
-- si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". ) < https://www.vulgarisation-informatique.com/pare-feu-xp.php >
-
--- Enfin si tout s'est bien déroulé, rétablir ta connexion à Internet.

•- Mais n'hésite pas à profiter des dernières versions si possible (Eventuellement mettre à jour Kério).

•- Visite ceci: < http://kerio.probb.fr/Securiser-et-desinfecter-c6/Configurer-parametrer-Kerio-4-version-gratuite-f2/Tutoriel-pour-Kerio-43635-p1012.htm > ; c'est ton intérêt .
Et clic là où renvoient les flèches < http://img249.imageshack.us/img249/1538/screenshot254tq8.gif > Sur ce site, tu seras aidée spécifiquement à Kerio par mon Ami Boulepate.

Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio
- http://www.chez.com/leppa/scripts/kpfV4.html
- https://www.vulgarisation-informatique.com/kerio.php
Et pour bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php >

Il vaut mieux procéder comme cela: Tout est interdit, sauf ce qui est explicitement autorisé.
Pour savoir ce qu'est un port:
•- C'est quoi TCP/IP? À quoi ça sert ? Comment ça marche ?< http://sebsauvage.net/comprendre/tcpip/ >
•- C'est quoi un firewall ? Comment ça marche ?< http://sebsauvage.net/comprendre/firewall/ >



Merci
Al.
0

Discussions similaires

Comment ouvrir fichier avec extension .lnk
Cyberdarlac -
gr79 -

4 réponses
QuickShare c'est quoi ce truc
edelweiss2604 -
edelweiss2604 -

41 réponses
application pour fichiers "lnk"
mc102 -
Utilisateur anonyme -

2 réponses
ouvrir les fichiers lnk
Elinux -
Elinux -

18 réponses
Boucle sur la première diapositive d'une présentation
ND83 -
ndubau -

3 réponses