Problème au démarrage du PC et trojan récurrents - Sécurité - Windows & Software
Marsh Posté le 16-08-2005 à 06:14:38
Bonjour
1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
Ewido
http://www.ewido.net/fr/download/
Tu l'installes et tu le mets à jour.
2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.
3 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
Dans la liste des services, cherche et sélectionne
"Remote Procedure Call" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\System32\Rpcmon.exe " / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
Recommences avec RA Server et C:\WINDOWS\Slave.exe
4 Désinstalle ces applications (si tu les trouves) dans Ajout-Suppression de programmes :
SurfAccuracy
5 Relance un scan HijackThis et coche les lignes ci-dessous :
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [ABox] C:\WINDOWS\ABox.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pao_med.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/software [...] egular.cab
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe
O23 - Service: RA Server (Slave) - Unknown owner - C:\WINDOWS\Slave.exe (file missing)
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
6 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
7 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
C:\Program Files\SurfAccuracy
C:\WINDOWS\etb
C:\WINDOWS\ABox.exe
C:\WINDOWS\logon.exe
C:\WINDOWS\Slave.exe
C:\WINDOWS\System32\Rpcmon.exe
8 Lance et exécute Ewido
Sauvegarde le rapport.
9 Lance et exécute CCleaner.
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
10 Redémarre normalement.
11 Fais une analyse antivirus en ligne sur Panda
http://www.pandasoftware.com/activ [...] ncipal.htm
Colle ici les rapports d'Ewido et de Panda, avec un nouveau log HijackThis.
Marsh Posté le 16-08-2005 à 14:02:55
---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------
+ Créé le: 13:38:02, 15/08/2005
+ Somme de contrôle: 3423FAA4
+ Résultats du scan:
HKLM\SOFTWARE\Classes\CLSID\{02C20140-76F8-4763-83D5-B660107BABCD} -> Spyware.EliteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{86227D9C-0EFE-4f8a-AA55-30386A3F5686} -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{03B800F9-2536-4441-8CDA-2A3E6D15B4F8} -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{A74CD7DE-EA6F-11D4-ABF3-000102378429} -> Spyware.EliteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{DFBCC1EB-B149-487E-80C1-CC1562021542} -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{4EE12B71-AA5E-45EC-8666-2DB3AD3FDF44} -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{A74CD7DD-EA6F-11D4-ABF3-000102378429} -> Spyware.EliteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Ysb.YsbObj -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Ysb.YsbObj\CLSID -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Ysb.YsbObj\CurVer -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YourSiteBar -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\YourSiteBar -> Spyware.ISTBar : Erreur durant le nettoyage
HKLM\SOFTWARE\YourSiteBar\Historyfiles -> Spyware.ISTBar : Erreur durant le nettoyage
HKLM\SOFTWARE\YourSiteBar\Historysearch -> Spyware.ISTBar : Erreur durant le nettoyage
HKU\S-1-5-21-682003330-725345543-1587542522-1003\Software\IST -> Spyware.ISTBar : Nettoyer et sauvegarder
:mozilla.15:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder
:mozilla.17:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.18:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.19:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.27:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
:mozilla.30:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder
:mozilla.49:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Realmedia : Nettoyer et sauvegarder
:mozilla.56:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
:mozilla.57:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
:mozilla.58:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
:mozilla.59:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Cookies\system@paypopup[1].txt -> Spyware.Cookie.Paypopup : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Cookies\system@ysbweb[2].txt -> Spyware.Cookie.Ysbweb : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\joysaver[1].cab/m67m.ocx -> Spyware.MediaMotor : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\v3cab[1].cab/v3.dll -> Spyware.EliteBar : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\SAcc[1].prod.11jui2005.exe.dd2bfdb316c9bf8d02d2419aba787f66 -> Spyware.SurfAccuracy : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\G9QBRQLY\v3cab[1].cab/v3.dll -> Spyware.EliteBar : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\m11[1].jpg/y.bat -> Trojan.Zapchast : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\istsvc[1].exe -> TrojanDownloader.IstBar : Nettoyer et sauvegarder
C:\Program Files\ISTsvc -> Spyware.ISTBar : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\m67m.ocx -> Spyware.MediaMotor : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\v3.dll -> Spyware.EliteBar : Nettoyer et sauvegarder
C:\WINDOWS\y.bat -> Trojan.Zapchast : Nettoyer et sauvegarder
C:\WINDOWS\ra.reg -> Trojan.WinREG.LowZones.f : Nettoyer et sauvegarder
C:\c7kd45.exe/y.bat -> Trojan.Zapchast : Nettoyer et sauvegarder
::Fin du rapport
--------------------------------------------------------------------------
Incident Status Location
Spyware:Spyware/YourSiteBar No disinfected C:\Documents and Settings\FrancisFredo\Local Settings\Temp\ysb.dll
Spyware:spyware/istbar No disinfected C:\Documents and Settings\FrancisFredo\Local Settings\Temp\iinstall.exe
Adware:Adware/Tracking No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\advertising[2].htm
Adware:Adware/Tracking No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\advertising[1].htm
Virus:W32/Sdbot.EOO.worm Disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\G9QBRQLY\d[1].exe
Virus:Trj/Multidropper.ARV Disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\G9QBRQLY\m11[1].jpg
Virus:Trj/Multidropper.ARV Disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\G9QBRQLY\m11[2].jpg
Adware:Adware/SurfAccuracy No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\sacc_remove[1].exe
Spyware:Spyware/YourSiteBar No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\ysb[1].dll
Adware:Adware/EliteBar No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\js[1].htm
Spyware:Spyware/XXXToolbar No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\prompt[1].htm
Spyware:Spyware/YourSiteBar No disinfected C:\Program Files\YourSiteBar\ysb.dll
Spyware:Spyware/YourSiteBar No disinfected C:\Program Files\YourSiteBar\ys2.dll
Spyware:spyware/yoursitebar No disinfected C:\WINDOWS\Downloaded Program Files\ysbactivex.dll
Virus:W32/Gaobot.JLC.worm Disinfected C:\WINDOWS\system32\Netmon.exe
Virus:Trj/Wayphisher.A Disinfected C:\WINDOWS\system32\dllcache\javascript.dll
Virus:W32/Sdbot.EOO.worm Disinfected C:\WINDOWS\system32\Rpcmon.exe
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\symantec.css
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\symantec.html
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\symantec-scan.html
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\update-sp2.html
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\update-sp3.html
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\z.bat
Adware:adware/sahagent No disinfected C:\WINDOWS\unstall.exe
Virus:Trj/Multidropper.ARV Disinfected C:\c7kd45.exe
---------------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 14:01:27, on 16/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\sqlserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\FrancisFredo\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://imp4.free.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://192.168.0.4/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot
O4 - HKLM\..\Run: [3dfx Task Manager] "C:\Program Files\3dfx Interactive\3dfx Tools\Apps\3dfxMan.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/software [...] egular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 1378472968
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: AVPCC - Unknown owner - C:\PROGRA~1\ANTIVI~1\avpcc.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: sqlserver - Unknown owner - C:\WINDOWS\sqlserv.exe
Marsh Posté le 16-08-2005 à 18:55:49
Bonjour
On continue
1 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
5 Désinstalle ces applications (si tu les trouves) dans Ajout-Suppression de programmes :
YourSiteBar
3 Relance un scan HijackThis et coche les lignes ci-dessous :
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/software [...] egular.cab
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
4 Assure toi d'avoir accés à tous les fichiers.
5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
C:\Program Files\YourSiteBar
C:\WINDOWS\Downloaded Program Files\ysbactivex.dll
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD
C:\Documents and Settings\FrancisFredo\Local Settings\Temp\iinstall.exe
C:\Documents and Settings\FrancisFredo\Local Settings\Temp\ysb.dll
C:\WINDOWS\unstall.exe
C:\WINDOWS\z.bat
C:\WINDOWS\update-sp3.html
C:\WINDOWS\update-sp2.html
C:\WINDOWS\symantec-scan.html
6 Lance et exécute Ewido .
Sauvegarde le rapport.
7 Lance et exécute CCleaner.
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
8 Redémarre normalement.
9 Nouveau scan Panda.
Colle ici les rapports d'Ewido et de Panda, avec un nouveau log HijackThis.
Marsh Posté le 16-08-2005 à 21:28:40
---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------
+ Créé le: 20:57:52, 16/08/2005
+ Somme de contrôle: D434B68
+ Résultats du scan:
HKLM\SOFTWARE\Classes\CLSID\{39DA2444-065F-47CB-B27C-CCB1A39C06B7} -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{86227D9C-0EFE-4f8a-AA55-30386A3F5686} -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\ClickSpring -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\YourSiteBar -> Spyware.ISTBar : Erreur durant le nettoyage
HKLM\SOFTWARE\YourSiteBar\Historyfiles -> Spyware.ISTBar : Erreur durant le nettoyage
HKLM\SOFTWARE\YourSiteBar\Historysearch -> Spyware.ISTBar : Erreur durant le nettoyage
HKU\.DEFAULT\Software\IST -> Spyware.ISTBar : Nettoyer et sauvegarder
HKU\S-1-5-21-682003330-725345543-1587542522-1003\Software\IST -> Spyware.ISTBar : Nettoyer et sauvegarder
HKU\S-1-5-18\Software\IST -> Spyware.ISTBar : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Cookies\system@paypopup[1].txt -> Spyware.Cookie.Paypopup : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Cookies\system@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Cookies\system@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx -> Spyware.MediaTickets : Nettoyer et sauvegarder
C:\WINDOWS\ra.reg -> Trojan.WinREG.LowZones.f : Nettoyer et sauvegarder
C:\WINDOWS\hpdriver.exe -> Backdoor.SdBot.aad : Nettoyer et sauvegarder
C:\c7kd45.exe/y.bat -> Trojan.Zapchast : Nettoyer et sauvegarder
::Fin du rapport
------------------------------------------------------------------------------------------
Rapport Panda:
Incident Status Location
Adware:Adware/MediaTickets No disinfected C:\Documents and Settings\FrancisFredo\Bureau\read.txt
Virus:Trj/Multidropper.ARV Disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\m11[1].jpg
Possible Virus. No disinfected C:\Program Files\oreb\itee.exe
Spyware:spyware/yoursitebar No disinfected C:\WINDOWS\Downloaded Program Files\ysbactivex.dll
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.INF
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\z.bat
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\LastGood\Downloaded Program Files\MediaTicketsInstaller.INF
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\symantec-scan.html
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\update-sp2.html
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\update-sp3.html
Adware:Adware/PurityScan No disinfected C:\WINDOWS\system32\Shex.exe
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\symantec.css
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\symantec.html
Virus:Trj/Multidropper.ARV Disinfected C:\c7kd45.exe
---------------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 21:26:02, on 16/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\sqlserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\oreb\itee.exe
C:\WINDOWS\system32\??chost.exe
C:\Documents and Settings\FrancisFredo\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://imp4.free.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://192.168.0.4/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot
O4 - HKLM\..\Run: [3dfx Task Manager] "C:\Program Files\3dfx Interactive\3dfx Tools\Apps\3dfxMan.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Roep] C:\Program Files\oreb\itee.exe
O4 - HKCU\..\Run: [Lex] C:\WINDOWS\System32\??chost.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/software [...] egular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 1378472968
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTi [...] refid=4678
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: AVPCC - Unknown owner - C:\PROGRA~1\ANTIVI~1\avpcc.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: sqlserver - Unknown owner - C:\WINDOWS\sqlserv.exe
Marsh Posté le 16-08-2005 à 22:50:41
Bonsoir
Quel est le parefeu ?
1 Ouvre le Bloc-note et copie-colle les lignes entre --- ci-dessous (y compris la ligne vide à la fin)
-----------------------------------------------------------------------------------
REGEDIT4
[-HKLM\SOFTWARE\YourSiteBar]
[-HKLM\SOFTWARE\YourSiteBar\Historyfiles]
[-HKLM\SOFTWARE\YourSiteBar\Historysearch]
----------------------------------------------------------------------------------
Enregistre ce fichier sur ton bureau (Nom du fichier : "Fixme.reg " -sans inclure les guillemets- ; Type : Tous les fichiers).
2 Télécharge PocketKillBox
http://www.bleepingcomputer.com/fi [...] illBox.zip
Ensuite, tu le dézippes sur ton bureau.
Démo animée
http://pageperso.aol.fr/balltrap34/killbox.htm
Lance PocketKillBox, coche la case "Delete on reboot".
Colle tout le contenu du fichier suivant dans un fichier .texte que tu nommeras CODE.
Ensuite tu fais Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.
Citation : C:\Documents and Settings\FrancisFredo\Bureau\read.txt |
Sur PocketKillBox-->File-->Paste from Clipboard, tu cliques ensuite sur la croix rouge
Au deux messages qui vont s'afficher,tu réponds par "YES"
3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
4 Double-clique sur Fixme.reg
Clique sur Oui lorsqu'on te demande confirmation pour Fusionner.
Lorsque tu reçois un message du bon déroulement, supprime le fichier Fixme.reg.
5 Relance un scan HijackThis et coche les lignes ci-dessous :
O4 - HKCU\..\Run: [Roep] C:\Program Files\oreb\itee.exe
O4 - HKCU\..\Run: [Lex] C:\WINDOWS\System32\??chost.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/software [...] egular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTi [...] refid=4678
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
6 Lance et exécute Ewido
7 Lance et exécute CCleaner.
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
8 Redémarre normalement.
9 Nouveau scan Panda
Postes les rapports des scans d'Ewido, de Panda et d'HijackThis.
Marsh Posté le 17-08-2005 à 02:24:42
Le pare feu est celui d'xp.
-------------------------------------------------------------------------------
---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------
+ Créé le: 01:24:21, 17/08/2005
+ Somme de contrôle: C1818ED4
+ Résultats du scan:
HKLM\SOFTWARE\ClickSpring -> Spyware.PurityScan : Nettoyer sans sauvegarder
HKLM\SOFTWARE\YourSiteBar -> Spyware.ISTBar : Erreur durant le nettoyage
HKLM\SOFTWARE\YourSiteBar\Historyfiles -> Spyware.ISTBar : Erreur durant le nettoyage
HKLM\SOFTWARE\YourSiteBar\Historysearch -> Spyware.ISTBar : Erreur durant le nettoyage
:mozilla.22:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Mediaplex : Nettoyer sans sauvegarder
:mozilla.23:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer sans sauvegarder
:mozilla.24:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer sans sauvegarder
:mozilla.25:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer sans sauvegarder
C:\Documents and Settings\FrancisFredo\Cookies\francisfredo@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Nettoyer sans sauvegarder
C:\Documents and Settings\LocalService\Cookies\system@ysbweb[1].txt -> Spyware.Cookie.Ysbweb : Nettoyer sans sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\m11[1].jpg/y.bat -> Trojan.Zapchast : Nettoyer sans sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\sacc_remove[1].exe -> Spyware.SurfAccuracy : Nettoyer sans sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\SAcc[1].prod.11jui2005.exe.dd2bfdb316c9bf8d02d2419aba787f66 -> Spyware.SurfAccuracy : Nettoyer sans sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\optimize[1].exe -> TrojanDownloader.Dyfuca.ei : Nettoyer sans sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\8DKFGZ6V\bb[1].exe -> TrojanDownloader.Adload.a : Nettoyer sans sauvegarder
C:\Program Files\SurfAccuracy\SAccU.exe -> Spyware.SurfAccuracy : Nettoyer sans sauvegarder
C:\WINDOWS\ra.reg -> Trojan.WinREG.LowZones.f : Nettoyer sans sauvegarder
C:\c7kd45.exe/y.bat -> Trojan.Zapchast : Nettoyer sans sauvegarder
::Fin du rapport
----------------------------------------------------------------------------------------
Incident Status Location
Adware:Adware/Tracking No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\advertising[1].htm
Virus:Trj/Multidropper.ARV Disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\m11[1].jpg
Spyware:Spyware/YourSiteBar No disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\G9QBRQLY\ysb[1].dll
Virus:Trj/Downloader.DRJ Disinfected C:\Program Files\oreb\itee.exe
Spyware:spyware/yoursitebar No disinfected C:\WINDOWS\Downloaded Program Files\ysbactivex.dll
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\symantec.css
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\symantec.html
Adware:Adware/Abox No disinfected C:\WINDOWS\ABox.exe
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\symantec-scan.html
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\update-sp2.html
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\z.bat
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\update-sp3.html
Virus:Trj/Agent.AHB Disinfected C:\BHTREF.exe
Virus:Trj/Multidropper.ARV Disinfected C:\c7kd45.exe
---------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 02:17:41, on 17/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\FrancisFredo\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://imp4.free.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://192.168.0.4/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot
O4 - HKLM\..\Run: [3dfx Task Manager] "C:\Program Files\3dfx Interactive\3dfx Tools\Apps\3dfxMan.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AVPCC] C:\PROGRA~1\ANTIVI~1\avpcc.exe /wait
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: AVPCC - Unknown owner - C:\PROGRA~1\ANTIVI~1\avpcc.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
Le problème aussi c'est que avast s'affole à chaque redémarrage en mode normal.ca va tout de même nettement mieux qu'au début!
Marsh Posté le 18-08-2005 à 00:30:50
Bonsoir
Même traitement que le post du dessus. Mais il y en a moins.
1 Ouvre le Bloc-note et copie-colle les lignes entre --- ci-dessous (y compris la ligne vide à la fin)
-----------------------------------------------------------------------------------
REGEDIT4
[-HKLM\SOFTWARE\YourSiteBar]
----------------------------------------------------------------------------------
Enregistre ce fichier sur ton bureau (Nom du fichier : "Fixme.reg " -sans inclure les guillemets- ; Type : Tous les fichiers).
2 Lance PocketKillBox, coche la case "Delete on reboot".
Colle tout le contenu du fichier suivant dans un fichier .texte que tu nommeras CODE.
Ensuite tu fais Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.
Citation : C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\advertising[1].htm |
Sur PocketKillBox-->File-->Paste from Clipboard, tu cliques ensuite sur la croix rouge
Au deux messages qui vont s'afficher,tu réponds par "YES"
3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
4 Double-clique sur Fixme.reg
Clique sur Oui lorsqu'on te demande confirmation pour Fusionner.
Lorsque tu reçois un message du bon déroulement, supprime le fichier Fixme.reg.
5 Lance et exécute Ewido
6 Lance et exécute CCleaner.
Clique sur Lancer le nettoyage.
7 Redémarre normalement.
8 Nouveau scan Panda
Postes les rapports des scans d'Ewido et de Panda
Marsh Posté le 18-08-2005 à 21:56:38
Rapport ewiso:
---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------
+ Créé le: 21:36:32, 18/08/2005
+ Somme de contrôle: 44E81EF
+ Résultats du scan:
HKLM\SOFTWARE\YourSiteBar -> Spyware.ISTBar : Erreur durant le nettoyage
HKLM\SOFTWARE\YourSiteBar\Historysearch -> Spyware.ISTBar : Erreur durant le nettoyage
:mozilla.13:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder
:mozilla.15:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.16:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.19:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
:mozilla.25:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\FrancisFredo\Cookies\francisfredo@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\FrancisFredo\Cookies\francisfredo@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
C:\Documents and Settings\FrancisFredo\Cookies\francisfredo@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\FrancisFredo\Cookies\francisfredo@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\FrancisFredo\Cookies\francisfredo@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Cookies\system@paypopup[1].txt -> Spyware.Cookie.Paypopup : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ysbactivex.dll -> TrojanDownloader.IstBar : Nettoyer et sauvegarder
C:\WINDOWS\ra.reg -> Trojan.WinREG.LowZones.f : Nettoyer et sauvegarder
C:\WINDOWS\system32\orans.sys -> Trojan.Rootkit.Agent.ae : Nettoyer et sauvegarder
C:\WINDOWS\system32\hpr34k8.sys -> Trojan.Rootkit.Agent.ae : Nettoyer et sauvegarder
C:\WINDOWS\sqlserv.exe -> Backdoor.SdBot.aad : Nettoyer et sauvegarder
::Fin du rapport
----------------------------------------------------------------------------
Rapport Panda:
RAS
----------------------------------------------------------------------------
Merci pour tout, t'assures chercheurbis!
Marsh Posté le 19-08-2005 à 01:54:08
Bonsoir
Tout est propre sauf les traces dans le registre de YourSiteBar.
Je pars en vacances, donc soit quelqu'un d'autre t'aura aidé, soit on continuera dans une dizaine de jours.
A +
Marsh Posté le 16-08-2005 à 01:02:33
Bonjour, désolé mais j'ai un problème avec un autre PC (boulot). Voici le log Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 01:00:54, on 15/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\etb\pokapoka63.exe
C:\Program Files\SurfAccuracy\SAcc.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\hpdriver.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\System32\Rpcmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ABox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\FrancisFredo\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://imp4.free.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://192.168.0.4/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot
O4 - HKLM\..\Run: [3dfx Task Manager] "C:\Program Files\3dfx Interactive\3dfx Tools\Apps\3dfxMan.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [ABox] C:\WINDOWS\ABox.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pao_med.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/software [...] egular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 1378472968
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: AVPCC - Unknown owner - C:\PROGRA~1\ANTIVI~1\avpcc.exe (file missing)
O23 - Service: hpdriver - Unknown owner - C:\WINDOWS\hpdriver.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe
O23 - Service: RA Server (Slave) - Unknown owner - C:\WINDOWS\Slave.exe (file missing)