problèmes !! analyse hijackThis posible ?

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

problèmes !! analyse hijackThis posible ?

Messagede ERICVDB » 11 Avr 2006, 18:21

Bonjour,

J'ai un soucis depuis quelques jours qui m'empêche de dormir...
J'ai en effet contracter un "virus" lors d'un stupide surf...
Mon NAV à découvert ceci:

Catégorie de menace : Logiciel publicitaireSource :C:\WINDOWS\system32\pgnsa.dll,Description :Le fichier C:\WINDOWS\system32\pgnsa.dll est une menace Logiciel publicitaire.
Catégorie de menace : Risque lié à la sécuritéSource :C:\Recycled\Dc46\UnSpyPCUpdate.exe,Description :Le fichier C:\Recycled\Dc46\UnSpyPCUpdate.exe est une menace Risque lié à la sécurité.
Catégorie de menace : Risque lié à la sécuritéSource :C:\Recycled\Dc46\UnSpyPC.exe,Description :Le fichier C:\Recycled\Dc46\UnSpyPC.exe est une menace Risque lié à la sécurité.
Catégorie de menace : Logiciel publicitaireSource :C:\WINDOWS\system32\pgnsa.dll,Description :Le fichier C:\WINDOWS\system32\pgnsa.dll est une menace Logiciel publicitaire.
Source :C:\WINDOWS\system32\favset.exe
Source :C:\WINDOWS\system32\howiper.exe
Source :C:\WINDOWS\system32\howiper.exe
Catégorie de menace : Logiciel publicitaireSource :setup.exe,Description :Le fichier compressé setup.exe dans D:\Recycled\Dd34.zip est une menace Logiciel publicitaire.
Catégorie de menace : Logiciel publicitaireSource :1.wmv,Description :Le fichier compressé 1.wmv dans D:\Recycled\Dd32.zip est une menace Logiciel publicitaire.
Catégorie de menace : Logiciel publicitaireSource :D:\Recycled\Dd32.zip,Description :Le fichier D:\Recycled\Dd32.zip est une menace Logiciel publicitaire.
Catégorie de menace : Logiciel publicitaireSource :setup.exe,Description :Le fichier compressé setup.exe dans D:\Recycled\Dd30.zip est une menace Logiciel publicitaire.
Catégorie de menace : Logiciel publicitaireSource :setup.exe,Description :Le fichier compressé setup.exe dans D:\Recycled\Dd29.zip est une menace Logiciel publicitaire.
Catégorie de menace : Logiciel publicitaireSource :1.wmv,Description :Le fichier compressé 1.wmv dans D:\Recycled\Dd27.zip est une menace Logiciel publicitaire.
Catégorie de menace : Logiciel publicitaireSource :D:\Recycled\Dd27.zip,Description :Le fichier D:\Recycled\Dd27.zip est une menace Logiciel publicitaire.

j'ai réussi à me débarrasser d'une barre d'outil malveillante
fait un scan avec NAV
j'ai installer Spybot, Ad-aware et Pestpatrol qui ont trouver pas mal de truc à éliminer

Il n'empêche que lorsque j'utilise google, il m'envoit sur des sites qui ne sont pas recherchés. C'est très chiant !
je pense que je reste pas mal infecté...
Ci-dessous mon log

Logfile of HijackThis v1.99.1
Scan saved at 22:57:36, on 10/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\ssoftsrv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Arcade\PCMService.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Mes Documents Eric\Téléchargements\Applications\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{469B9F14-1A2B-49D9-9E09-7A4691FBB2E7}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{974DDDE6-C5D2-46F1-BE4B-ACE160274159}: NameServer = 85.255.116.103,85.255.112.185
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Cryptainer service (ssoftservice) - Cypherix - C:\WINDOWS\SYSTEM32\ssoftsrv.exe

Pourriez-vous m'aider svp
J'enrage d'avoir été bêtement attiré par le net sans me prémunir de adware, spyware et autres trojan et backdoors...
Tout ce que je veux, c'est ne pas devoir reformater mon disque dur.
Milles mercis d'avance pour votre aide

ERIC
RICKY
ERICVDB
 
Messages: 19
Inscription: 11 Avr 2006, 17:44

Messagede ERICVDB » 11 Avr 2006, 20:03

Rebonjour,

En fait, lorsque je clique sur un lien dans google, il se produit un double-clic qui me renvoie vers d'autres sites de recherhce tel que lycos ???

désolé pour mes fautes d'orthographes... et ses smileys incorporés dans mon message. Je n'y suis pour rien...

ERIC
RICKY
ERICVDB
 
Messages: 19
Inscription: 11 Avr 2006, 17:44

Messagede Sévérian » 11 Avr 2006, 22:17

Boujour,

en attendant une vraie analyse par quelqu'un de comptétent (NickW pour ne pas la citer), j'ai jeté un oeil et tes lignes O17 m'ont attiré l'oeil : en double et les ip fournies :

Voici les résultats du whois pour l'adresse IP 85.255.112.185


C'est le serveur whois.ripe.net qui possède l'information suivante :

% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-propo ... 50331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
remarks: -----------------------------------
remarks: Abuse notifications to: abuse@inhoster.com
remarks: Network problems to: noc@inhoster.com
remarks: Peering requests to: peering@inhoster.com
remarks: -----------------------------------
country: UA
org: ORG-EST1-RIPE
admin-c: AK4026-RIPE
tech-c: AK4026-RIPE
tech-c: FWHS1-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: RECIT-MNT
mnt-routes: RECIT-MNT
mnt-domains: RECIT-MNT
mnt-by: DAV-MNT
mnt-routes: DAV-MNT
mnt-domains: DAV-MNT
source: RIPE # Filtered

organisation: ORG-EST1-RIPE
org-name: INHOSTER
org-type: NON-REGISTRY
remarks: *************************************
remarks: * Abuse contacts: abuse@inhoster.com *
remarks: *************************************
address: OOO Inhoster
address: Poltavskij Shliax 24, Xarkov,
address: 61000, Ukraine
phone: +38 066 4633621
e-mail: support@inhoster.com
admin-c: AK4026-RIPE
tech-c: AK4026-RIPE
mnt-ref: DAV-MNT
mnt-by: DAV-MNT
source: RIPE # Filtered

person: Andrei Kislizin
address: OOO Inhoster,
address: ul.Antonova 5, Kiev,
address: 03186, Ukraine
phone: +38 044 2404332
nic-hdl: AK4026-RIPE
source: RIPE # Filtered

person: Fast Web Hosting Support
address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 201.
address: UA
phone: +357 99 117759
e-mail: support@fwebhost.com
nic-hdl: FWHS1-RIPE
source: RIPE # Filtered


ça fait penser à wareout, mais à confirmer (en plus faut faire gaffe il y a plusieurs faux outils pour le virer qui sont de vraies saloperies...)

Je creuse...


édit : heu est ce que tu as installé les antichoses nécéssaires ?

Spybot : http://newpages.safer-networking.org/in ... ge=mirrors

Ewido :
NickW a écrit:Ewido :Télécharger la version d'essai de ewido anti-malware depuis http://www.ewido.net/fr/download/
L'installer. Important: Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".
Lancer ewido anti-malware. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire).
Attendre la fin de cette mise à jour puis fermer le programme
.

Et un outil de nettoyage préliminaire : CCleaner
NickW a écrit:Ccleaner
Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp
Note: Lors de l'installation, sur l'écran "Options d'installation", décocher la case située devant "Ajouter la barre d'outils Yahoo! CCleaner"

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers, Vieilles données du Prefetch
*- Dans l'onglet Options-Avancé, décocher:
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures
*- Dans l'onglet Nettoyeur-Applications, cocher:
Internet: Sun Java

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Puis fais mouliner tout ça (y compris en mode sans échec : http://assiste.com.free.fr/p/comment/de ... _echec.php )
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.

Enfin re édite un log HJT en mode normal en y joignant les rapports de spybot et ewido. Ca donnera plus d'éléments (et avec un peu de chance ça ira mieux)
Mes configs
"Lisez !!! ça reposera le clavier"
Avatar de l’utilisateur
Sévérian
 
Messages: 813
Inscription: 02 Sep 2005, 16:47
Localisation: devant le clavier

Messagede nickW » 11 Avr 2006, 22:23

Bonsoir,

Commentaire (à lire après avoir effectué la manip ci-dessous, si tu veux comprendre ce qui s'est passé :wink: ):
Les adresses des DNS (serveurs de noms de domaine) ont été détournées pour pointer sur:
inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
Des explications: http://assiste.com.free.fr/p/internet_l ... te_dns.php


Remarque préliminaire:
Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.
Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe.
Si tu le laisses tel qu'il est actuellement pas de sauvegardes aisément exploitables (donc plus aucune possibilité de faire "marche arrière").


Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 4).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".


Étape 1: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/an ... aximum.php
Norton: http://assiste.com.free.fr/p/internet_u ... ivirus.php


Étape 2: Ccleaner
Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp
Note importante: Lors de l'installation, sur l'écran "Options d'installation", décocher la case située devant "Ajouter la barre d'outils Yahoo! CCleaner"

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers, Vieilles données du Prefetch
*- Dans l'onglet Options-Avancé, décocher:
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 3: ewido anti-malware
Télécharger la version d'essai de ewido anti-malware depuis http://www.ewido.net/fr/download/
L'installer. Important: Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".
Lancer ewido anti-malware. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire).
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 4: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 5: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items"
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked:
(si des lignes sont absentes, le signaler en réponse).

O17 - HKLM\System\CCS\Services\Tcpip\..\{469B9F14-1A2B-49D9-9E09-7A4691FBB2E7}: NameServer = 85.255.116.103,85.255.112.185
O17 - HKLM\System\CCS\Services\Tcpip\..\{974DDDE6-C5D2-46F1-BE4B-ACE160274159}: NameServer = 85.255.116.103,85.255.112.185


Étape 6: ewido anti-malware
Lancer ewido anti-malware et cliquer sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). Cocher aussi la case située devant "Effectuer cette action avec toutes les infections".
A la fin du scan, Sauver le rapport (Fichier--->Enregistrer sous...).


Étape 7: Nettoyage
Exécuter l'antivirus, réglé au maximum.
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 8: Redémarrage
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).


Étape 9: Paramètres de connexion
Il faut re-saisir les adresses des DNS de ton fournisseur d'accès qui est, je crois, skynet.be:
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau
Faire un clic droit sur la connexion et choisir Propriétés
Sélectionner la ligne Protocole Internet (TCP/IP) puis cliquer sur le bouton Propriétés
Saisir les adresses des deux DNS (préféré alias primaire et auxiliaire alias secondaire)
Pour skynet.be, j'ai trouvé:
DNS primaire---->195.238.2.21 et DNS secondaire---->195.238.2.22
(à vérifier sur la lettre envoyée par ton FAI contenant les codes d'accès)
Cliquer sur OK (2 fois)


Étape 10: Résultats
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport d'ewido

en précisant si le problème est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

merci pour les réponses

Messagede ERICVDB » 12 Avr 2006, 08:39

merci les gars :D ,

je ne pensais pas recevoir de réponse aussi vite.
Milles mercis
J'effectue les différentes opérations proposées dès que le temps me le permettera (demain au plus tard) et je vous tiens au courant du résultat des manip.
Si mon problème venait à disparaître, je vous revaudrai ça, en particulier au promoteur du site :wink:

ERIC
RICKY
ERICVDB
 
Messages: 19
Inscription: 11 Avr 2006, 17:44

Messagede ERICVDB » 12 Avr 2006, 09:57

salut,

Je n'ai pu attendre ce soir pour commencer la manip...

je suis mainteant boqué en mode sans échec ? Aucune possibilité de cliquer sur quoi que ce soit ?
Le sablier est là en permanence lorqsue je suis sur "démarrer" et si je clique sur mon bureau, rien en se passe ?
j'ai essayé de lancer via "administrateur" et via "Eric" mais c'est la même chose...
Help !
RICKY
ERICVDB
 
Messages: 19
Inscription: 11 Avr 2006, 17:44

Messagede nickW » 12 Avr 2006, 17:41

Bonjour,

Éric a écrit:merci les gars

Comme d'habitude, jamais rien pour moi!! :cry:

Pour en revenir à nos moutons, essaie de faire la manip en mode normal.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede ERICVDB » 12 Avr 2006, 22:13

je disais un nouveau virus détecté :twisted:
Source :L'enregistrement principal d'amorce du disque #0 est infecté par le virus Bloodhound.MBR.
amorce 128 je pense...
échec de la réparation

Logfile of HijackThis v1.99.1
Scan saved at 22:56:59, on 12/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\ssoftsrv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Arcade\PCMService.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.skynet.be/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = by ERIC VDB
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Cryptainer service (ssoftservice) - Cypherix - C:\WINDOWS\SYSTEM32\ssoftsrv.exe

C'est la merde !!!
Et bien sûr si je vais sur google, le resultat est toujours la même chose: les deux premiers liens sont faux !!! :twisted:
RICKY
ERICVDB
 
Messages: 19
Inscription: 11 Avr 2006, 17:44

Messagede ERICVDB » 12 Avr 2006, 22:17

Mon premier message de ce soir n'est pas apparu dans le forum ???

Il s'agissait de ceci

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 22:12:13, 12/04/2006
+ Somme de contrôle: 1EB4D9CE

+ Résultats du scan:

[464] VM_034E0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[800] VM_00C00000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1480] VM_009C0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1536] VM_009E0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[3568] VM_00980000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[3616] VM_00AB0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[3688] VM_00920000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[3820] VM_009E0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[3840] VM_009E0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[3868] VM_00BA0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[3928] VM_00B80000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[164] VM_00C10000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[2008] VM_003F0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[2016] VM_00870000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[2624] VM_00AF0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[2972] VM_00380000 -> Downloader.Agent.uj : Erreur durant le nettoyage


::Fin du rapport
RICKY
ERICVDB
 
Messages: 19
Inscription: 11 Avr 2006, 17:44

petite intervention ,

Messagede bellafago » 12 Avr 2006, 22:23

Bonsoir ,

Petite intervention de ma part, n'y voyez là aucune forme d'immiscion de ma part, ou de désobligeance ,mais ... NickW , est une femme ..., visiblement , vous n'avez pas réagi à son allusion qui est pourtant plutot significative ... non ...? :wink: bien le bonsoir à vous Ericvdb ...
en toute fraternité entre " p'tits mecs "... :(

@+
Avatar de l’utilisateur
bellafago
 
Messages: 5389
Inscription: 14 Avr 2005, 12:49

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 35 invités