Bloodhound.W32.EP - Sécurité - Windows & Software
Marsh Posté le 26-07-2005 à 22:46:46
Bonsoir, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip
Important: Installer Hijackthis correctement
Linstaller sous C:\Hijackthis par exemple (pas dans un fichier temp)
Scan/save log (rapport)/copier&coller le contenu du rapport ici
Tutorial pour linstallation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
Démo en images ici
http://pageperso.aol.fr/balltrap34/demohijack.htm
Merci balltrap
Marsh Posté le 27-07-2005 à 13:46:05
Merci beaucoup pour ta réponse. C'est rare de trouver un tutoriel clair et en français. Voilà mon rapport, j'espère que j'ai tout bien fait comme il faut (au fait je fais quoi maintenant...?) :
Logfile of HijackThis v1.99.1
Scan saved at 13:41:08, on 27/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\atlox32.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\system32\appkm.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\Bab\LOCALS~1\Temp\QZTEMP\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hybeh.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hybeh.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hybeh.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hybeh.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hybeh.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hybeh.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hybeh.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {CB3F3E7C-119E-F9E7-9AC4-5F32D3180EFD} - C:\WINDOWS\system32\d3jz32.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [appkm.exe] C:\WINDOWS\system32\appkm.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://encyclo.voila.fr/JS/tdserver.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20ce0f [...] 601_fr.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6D99AF5-7E56-4B6C-8274-527447257932}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\atlox32.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Marsh Posté le 29-07-2005 à 11:17:30
Salut Kali-Yuga
http://eservice.free.fr/actualites [...] 32-ep.html
Marsh Posté le 29-07-2005 à 12:21:17
Re, installe Hijackthis correctement:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
Télécharge:
CCleaner
http://www.ccleaner.com/ccdownload.asp
Ewido
http://www.ewido.net/
Installe et mets à jour
About Buster de RubbeR DuckY
http://downloads.subratam.org/AboutBuster.zip
Installe le dans un répertoire dédié et place un raccourci sur le bureau et mets le à jour.
Clique sur Démarrer puis Exécuter, tape services.msc et clique sur OK. Dans la liste des services, cherche et sélectionne
Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I)
Double clique sur la ligne
Vérifie dans Chemin d'accès des fichiers exécutables qu'ils'agit bien de C:\WINDOWS\system32\atlox32.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.
Démarre en mode sans échec (F8 ou F5)
Assure toi d'avoir accès à tous les fichiers.
Citation : Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : |
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hybeh.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hybeh.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hybeh.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hybeh.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hybeh.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hybeh.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hybeh.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {CB3F3E7C-119E-F9E7-9AC4-5F32D3180EFD} - C:\WINDOWS\system32\d3jz32.dll
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [appkm.exe] C:\WINDOWS\system32\appkm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://encyclo.voila.fr/JS/tdserver.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20ce0f [...] 601_fr.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\atlox32.exe
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
Lance deux fois About:Buster
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
C:\WINDOWS\hybeh.dll
C:\WINDOWS\system32\d3jz32.dll
C:\WINDOWS\System32\P2P Networking
C:\WINDOWS\system32\appkm.exe
C:\WINDOWS\web\< le contenu du dossier
C:\WINDOWS\system32\atlox32.exe
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
Exécute CCleaner sur chaque session utilisateur
Scanne ton ordinateur avec Ewido
Redémarre normalement et poste un nouveau rapport Hijackthis avec celui d'Ewido pour vérification.
Fais les mises à jour via Windows Update (SP1)
Marsh Posté le 29-07-2005 à 21:43:39
Merci pour tout Stonangel ! J'ai réussi à tout supprimer avec Hijackthis, à télécharger Ccleaner et Ewido. Par contre About Buster ne marche pas, le lien marche mais quand je veux l'ouvrir ça me dit "The database is either corrupted or missing. Please download a new one."
Je l'ai téléchargé sur 3 sites différents mais toujours le même message. Est-ce que ça change quelque chose ? Je dois le remplacer par autre chose ou bien je te poste quand même mes rapports ?
PS : merci aussi à PitchFork même si malheureusement le lien que tu m'as donné c'était ma première tentative infructueuse.
Marsh Posté le 29-07-2005 à 22:48:07
Un nouveau lien pour About:Buster
http://www.malwarebytes.biz/
C'est bizarre le précédent fonctionne ici.
Marsh Posté le 29-07-2005 à 22:56:32
Merci mais ça me met toujours le même message quand je veux l'ouvrir. Maintenant on sait que ça vient de mon PC... peut-être à cause de mon problème justement. Là je dois partir mais au cas où je posterai demain le nouveau rapport Hijackthis et celui d'Ewido. Encore merci !
Marsh Posté le 30-07-2005 à 15:34:49
Voilà le nouveau rapport Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 15:31:48, on 30/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\AVLITE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\Hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2346EC13-9103-21E8-08CC-3B6A16FB3208} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6D99AF5-7E56-4B6C-8274-527447257932}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
Et celui d'Ewido :
---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------
+ Créé le: 22:51:24, 29/07/2005
+ Somme de contrôle: 73B8A34C
+ Résultats du scan:
HKLM\SOFTWARE\Classes\Interface\{8B8F6968-2F24-41E3-B653-E9613226F14D} -> Spyware.KeenValue : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{DE289BFA-737B-4ABB-A4EC-F8753551B875} -> Spyware.SearchUpgrader : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@ads.addynamix[2].txt -> Spyware.Cookie.Addynamix : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@bluestreak[1].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@counter14.sextracker[1].txt -> Spyware.Cookie.Sextracker : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@cz3.clickzs[2].txt -> Spyware.Cookie.Clickzs : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@cz4.clickzs[1].txt -> Spyware.Cookie.Clickzs : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@edge.ru4[2].txt -> Spyware.Cookie.Ru4 : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@ehg-francetel.hitbox[2].txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@ehg-kodak.hitbox[2].txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@ehg-nestlefr.hitbox[1].txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@ehg-nokiafin.hitbox[1].txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@ehg-sixapart.hitbox[2].txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@image.masterstats[1].txt -> Spyware.Cookie.Masterstats : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@tribalfusion[1].txt -> Spyware.Cookie.Tribalfusion : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@u2765.bins.lop[1].txt -> Spyware.Cookie.Lop : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@valueclick[1].txt -> Spyware.Cookie.Valueclick : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@valueclick[2].txt -> Spyware.Cookie.Valueclick : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@w1431.bins.lop[1].txt -> Spyware.Cookie.Lop : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@weborama[1].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Cookies\bab@www.smartadserver[2].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Local Settings\Temporary Internet Files\Content.IE5\8Z7VYKPP\connect[1].htm -> TrojanDownloader.JS.Small.ac : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Local Settings\Temporary Internet Files\Content.IE5\CNNN6GTX\input[2].php -> Not-A-Virus.Exploit.HTML.DragDrop : Nettoyer et sauvegarder
C:\Documents and Settings\Bab\Local Settings\Temporary Internet Files\Content.IE5\K9MBO5YR\connect[1].htm -> TrojanDownloader.JS.Small.ac : Nettoyer et sauvegarder
C:\WINDOWS\craq32.dll -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder
C:\WINDOWS\mfcsa.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder
C:\WINDOWS\nttc32.exe -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\WINDOWS\ODBC.INI:ipoekq -> Trojan.Agent.bi : Nettoyer et sauvegarder
C:\WINDOWS\OEWABLog.txt:xeklud -> Spyware.SearchPage : Nettoyer et sauvegarder
C:\WINDOWS\PB_setup.ini:krnme -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\WINDOWS\system32\addir.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder
C:\WINDOWS\system32\addyg.dll -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder
C:\WINDOWS\system32\javadj.dll -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder
C:\WINDOWS\system32\javalx32.exe -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\WINDOWS\system32\winfp.dll -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder
C:\WINDOWS\system32\__delete_on_reboot__craj32.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder
C:\WINDOWS\system32\__delete_on_reboot__ntoi32.dll -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder
C:\WINDOWS\VI_setup.ini:khdbtk -> Trojan.Agent.bi : Nettoyer et sauvegarder
C:\WINDOWS\_default.pif:ljusul -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\WINDOWS\_delis32.ini:blwjjt -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder
C:\WINDOWS\_delis32.ini:liyqu -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder
C:\WINDOWS\_delis32.ini:uloole -> Trojan.Agent.bi : Nettoyer et sauvegarder
::Fin du rapport
Voilà j'espère que c'est bon...
Marsh Posté le 30-07-2005 à 18:28:37
Presque... Vide la quarantaine d'Ewido.
Démarre en mode sans échec, assure toi d'avoir accès à tout les fichiers.
Lance Hijackthis, scan et coche les lignes suivantes:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {2346EC13-9103-21E8-08CC-3B6A16FB3208} - (no file)
Ferme toutes les fenêtres puis clique sur Fix checked.
Marsh Posté le 31-07-2005 à 17:06:19
Désolée d'être un boulet mais quand je redémarre en mode sans échec, ma souris ne marche plus (j'ai beau la brancher ailleurs mais rien n'y fait). J'arrive quand même à faire le scan dans Hijackthis mais au moment de sélectionner les lignes, la touche "entrée" n'est pas la bonne. Comment sélectionner ? J'ai essayé presque toutes les touches mais il faut peut-être une combinaison et je ne suis pas une pro de la manip au clavier. Merci de m'aider, c'est frustrant d'être dans la dernière ligne droite et de ne pas y arriver...
Marsh Posté le 31-07-2005 à 19:35:48
Ca y est c'est fait ? Est-ce que c'est terminé ? En tout cas je n'ai presque plus de problème.
Le seul qui persiste c'est l'anormale lenteur pour le lancement d'internet explorer (2 minutes entre le moment où je clique sur l'icône et le moment du lancement réel).
En tout cas c'est quand même beaucoup mieux. Merci beaucoup !
Marsh Posté le 31-07-2005 à 20:04:45
Re, désinstalle via ajout suppression de programmes Ewido. Restaure cette ligne:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Démarre Hijackthis> View the list of backups> Coche le ligne> Clque sur Restore
Dis ce qu'il en est
Marsh Posté le 31-07-2005 à 23:00:51
Bien supprimé Ewido mais après quand je clique sur "View the list of backups" c'est vide, il n'y a rien à cocher. J'ai vérifié en faisant un scan que j'avais pourtant bien supprimé la ligne. C'est bon signe ou pas ?
Marsh Posté le 31-07-2005 à 23:11:35
C'est pas normal qu'il n'y ait rien dans les backups. Comment fonctionne ton ordinateur?
Marsh Posté le 02-08-2005 à 14:44:12
Non en fait juste le lancement Internet qui est très long. J'ai calculé 3 minutes donc c'est bien chiant mais bon grâce à toi tout le reste c'est bon ! Merci pour tout !
Marsh Posté le 26-07-2005 à 22:45:44
Bonjour, je suis infectée par le virus Bloodhound.W32.EP
Norton le détecte mais ne peut pas le réparer. J'ai fait une recherche sur ce virus et suivi toute une procédure de suppression, mais il est toujours là. Est-ce que quelqu'un l'a eu et pourrait me dire comment s'en dépétrer ? Merci.