AntiSpywareBox

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

AntiSpywareBox

Messagede laurent7892001 » 08 Juin 2006, 00:06

Bonjour à tous

Voila bientot 4 heures que je planche sur un gros problème.
Un virus ou spyware ou "saleté" quelconque m'empoisonne.
Au démarrage de IE j'ai une page qui me demande de scanner
Je ferme la page et deux fenetres genre "sécurité NT autorité" me renvoient vers AntiSpywareBox.com

Les processus dans le gestionnaire des taches sont "grisés"
Idem pour le regedit


J'ai TrendAntivirus en résident, j'ai chargé aussi Avast qui m'a viré quelques trucs au 1er démarrage.
J'ai passé spybot, adaware, CWS, mode normal et sans echec, viré plein de nuisibles et certains se régénèrent.

Merci d'avance pour votre aide.

Voici mon log :
Pour des raisons de confidentialité j'ai mis des xxxx à la place de mon nom de domaine


Logfile of HijackThis v1.99.1
Scan saved at 00:17:53, on 08/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\WINDOWS\TEMP\OR423C.EXE
C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\system32\ICO.EXE
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Trend Micro\Tmas\Tmas.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\users32.exe
C:\Documents and Settings\mohayon\Bureau\HijackThis\HijackThis.exe
C:\WINDOWS\system32\qjrkvy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: adobepnl.ADOBE_PANEL - {5E8FA924-DEF0-4E71-8A82-A11CA0C1413B} - C:\WINDOWS\system32\adobepnl.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [PDService.exe] C:\Program Files\Utimaco\SafeGuard PrivateDisk\pdservice.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Biomenu] "C:\Program Files\Protector Suite QL\menusw.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3623909890
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxxxx
O17 - HKLM\Software\..\Telephony: DomainName = xxxxxxx
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxxxx
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxxxxxx
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Scan en temps réel Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe" -service (file missing)
laurent7892001
 
Messages: 7
Inscription: 07 Juin 2006, 22:32

Messagede nickW » 09 Juin 2006, 00:04

Bonsoir,

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 6).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".

Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/an ... aximum.php


Étape 3: Ccleaner
Télécharger et installer Ccleaner Basic dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/downloadbuilds.asp

Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp
Note: Lors de l'installation, sur l'écran "Options d'installation", décocher la case située devant "Ajouter la barre d'outils Yahoo! CCleaner"

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers, Vieilles données du Prefetch
*- Dans l'onglet Options-Avancé, décocher:
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures
*- Dans l'onglet Nettoyeur-Applications, cocher:
Internet: Sun Java

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 4: ewido anti-malware
Télécharger la version d'essai de ewido anti-malware depuis http://www.ewido.net/en/download/
L'installer. Important: Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".
Lancer ewido anti-malware. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire), puis sur Démarrer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 5: Restauration système
Désactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


Étape 6: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 7: DLLs
Désenregistrer une DLL (si cela est possible):

Démarrer--->Exécuter--->taper
regsvr32.exe /u "C:\WINDOWS\system32\adobepnl.dll"
puis cliquer sur OK


Étape 8: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" (ou "Scanner seulement" en vf)
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items" (ou "Proteger les objets avt de fixer" en vf), puis cliquer sur le bouton "Back" (ou "Ret" en vf).
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked (ou Fixer objet en vf):
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O2 - BHO: adobepnl.ADOBE_PANEL - {5E8FA924-DEF0-4E71-8A82-A11CA0C1413B} - C:\WINDOWS\system32\adobepnl.dll
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe


Étape 9: ewido anti-malware
Lancer ewido anti-malware et cliquer sur scanner puis sur Scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). Cocher aussi la case située devant "Effectuer cette action avec toutes les infections".
A la fin du scan, Sauver le rapport (Menu Fichier--->Enregistrer sous...).


Étape 10: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse, après la fin de l'ensemble des étapes
Renommer (clic droit sur le nom du fichier) les fichiers ci-dessous en ajoutant .non derrière leur extension:

C:\WINDOWS\system32\adobepnl.dll (à renommer en adobepnl.dll.non)
C:\WINDOWS\system32\susp.exe (à renommer en susp.exe.non)
C:\WINDOWS\system32\qjrkvy.exe (à renommer en qjrkvy.exe.non)
C:\WINDOWS\system32\users32.exe (à renommer en users32.exe.non)


Étape 11: Nettoyage
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage".
Exécuter l'antivirus, réglé au maximum (si l'antivirus ne démarre pas en mode sans échec, le signaler en réponse, après la fin de l'ensemble des étapes).
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage".


Étape 12: Redémarrage
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport d'ewido

en précisant si le problème est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede laurent7892001 » 09 Juin 2006, 11:18

Bonjour NickW

Merci pour tes conseils.

Depuis mon log, j'ai passé spyware doctor (Est ce que j'ai bien fait ?). Il trouve tout ou presque. Tout redevient normal (regedit, Msconfig, gestionnaire de tache, etc...) sauf lorsque je lance IE.
Les éléments que tu me demande de supprimer ont déjà été fait (mais ils se régénèrent).
Par contre je n'avais pas viré le ADOBE PANEL que j'avoue ne pas avoir vu.

Je refais toute ta manip dans l'ordre et je te tiens au courant.

A + tard
Laurent
laurent7892001
 
Messages: 7
Inscription: 07 Juin 2006, 22:32

Messagede laurent7892001 » 09 Juin 2006, 20:14

Bonsoir

Merci beaucoup tout fonctionne parfaitement (ou presque) j'ai un peu forcé certains trucs et maintenant je n'ai plus accès à "mon coffre" (il s'agit d'un dossier spécial sur sony vaio dans lequel on peu enregistrer des données cryptées. Je n'avais rien dedans de toute façon.

Alors je récapitule :

Etape 1 - Affichage de tout les fichiers
Problème : pas d'accès à l'affichage "grisé"
J'ai passé d'abord Spyware Doctor : toujours grisé (voir rapport à la fin - 145 Malware)
Je suis donc passé en mode sans echec pour le faire et revenu sur le mode normal. OK
Je me suis connecté sur le poste lui même et pas sur le domaine pour poursuivre la manip.

Etape 2 - Reglage antivirus
Lorsque je ne suis pas sur le domaine le client Trend Antivirus ne monte pas

Etape 3 - CCleaner
OK

Etape 4 - Ewido
OK

Etape 5 - Restauration Systeme
OK

Etape 6 - Mode sans echec
OK

Etape 7 - DLL
OK

Etape 8 - HijackThis
Ok mais la ligne 02 en début et fin était NoName et NoFile je l'ai quand même cochée

Etape 9 - Ewido
OK Log ci-après

Etape 10 - Renommage
OK sauf c:\windows\sytem32\susp.exe qui n'existait pas

Etape 11 - Nettoyage
* Ccleaner OK
* Antivirus (comme Trend ne monte pas j'ai passé Avast)
- C'est là ou j'ai fait des bétises : Fin de scan il me dit qu'il n'avait pas accès à certains fichiers (protégés par
mot de passe ou autre) je lui ai dit de supprimer !!! (certainement des fichiers d'accès au coffre)
* Spybot OK
* Ccleaner OK

Etape 12 - Redemarrage
OK

Voici les rapports :

Spyware Doctor Activity Report
Generated on 09/06/2006 14:27:17


Scan Results :
scan start: 09/06/2006 14:27:53
scan stop: 09/06/2006 14:49:39
scanned items: 78164
found items: 145
found and ignored: 0
tools used: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts file scanner, Browser Defaults, Favorites and ZoneMap Scanner, ActiveX Scanner, Browser Activity Scanner, Disk Scanner

Infection Name Location Risk
Admess HKCR\AppID\{F6BDB4E5-D6AA-4D1F-8B67-BCB0F2246E21} High
Admess HKCR\AppID\{F6BDB4E5-D6AA-4D1F-8B67-BCB0F2246E21}## High
Admess HKCR\AppID\WStart.DLL High
Admess HKCR\AppID\WStart.DLL## High
Admess HKCR\AppID\WStart.DLL##WStart High
Admess HKCR\WStart.WHttpHelper High
Admess HKCR\WStart.WHttpHelper## High
Admess HKCR\WStart.WHttpHelper.1 High
Admess HKCR\WStart.WHttpHelper.1## High
Admess HKLM\SOFTWARE\WSoft High
Admess HKLM\SOFTWARE\WSoft## High
Admess HKLM\SOFTWARE\WSoft##WSoft High
Admess HKLM\software\classes\appid\wstart.dll High
Admess HKLM\software\classes\appid\wstart.dll## High
Admess HKLM\software\classes\appid\wstart.dll##WStart High
Admess HKLM\SOFTWARE\Classes\AppID\{F6BDB4E5-D6AA-4D1F-8B67-BCB0F2246E21} High
Admess HKLM\SOFTWARE\Classes\AppID\{F6BDB4E5-D6AA-4D1F-8B67-BCB0F2246E21}## High
Alexa HKCR\Interface\{0BBB0424-E98E-4405-9A94-481854765C80} Low
Alexa HKCR\Interface\{0BBB0424-E98E-4405-9A94-481854765C80}## Low
Alexa HKCR\Interface\{0F3332B5-BC98-48AF-9FAC-05FEC94EBE73} Low
Alexa HKCR\Interface\{0F3332B5-BC98-48AF-9FAC-05FEC94EBE73}## Low
Alexa HKCR\Interface\{3E60160F-0ED6-4DCC-B6B6-850CDE4FD217} Low
Alexa HKCR\Interface\{3E60160F-0ED6-4DCC-B6B6-850CDE4FD217}## Low
Alexa HKCR\Interface\{A69107CC-BEC8-4A34-B474-211B0F46A764} Low
Alexa HKCR\Interface\{A69107CC-BEC8-4A34-B474-211B0F46A764}## Low
Alexa HKCR\Interface\{B7B84995-8B92-46BF-94AA-FA2F3DD23B84} Low
Alexa HKCR\Interface\{B7B84995-8B92-46BF-94AA-FA2F3DD23B84}## Low
Alexa HKCR\Interface\{FA77AD79-09CF-41FB-B171-CC856F9E737F} Low
Alexa HKCR\Interface\{FA77AD79-09CF-41FB-B171-CC856F9E737F}## Low
Alexa HKCR\TypeLib\{547AB549-4DD8-4EA0-B070-F6EA062148FF} Low
Alexa HKCR\TypeLib\{547AB549-4DD8-4EA0-B070-F6EA062148FF}## Low
Alexa HKCR\alxtb.bho Low
Alexa HKCR\alxtb.bho## Low
Alexa HKCR\popmenu.menu Low
Alexa HKCR\popmenu.menu## Low
Alexa HKCR\popmenu.menu##PopMenu Low
Alexa HKCR\Popup.PopupKiller Low
Alexa HKCR\Popup.PopupKiller## Low
Alexa HKCR\Popup.PopupKiller##PopupKiller Low
Alexa HKLM\software\alexa internet Low
Alexa HKLM\software\alexa internet## Low
Alexa HKLM\software\alexa internet##Alexa Internet Low
Alexa HKLM\software\Alexa Toolbar Low
Alexa HKLM\software\Alexa Toolbar## Low
Alexa HKLM\software\Alexa Toolbar##\Alexa Toolbar Low
Alexa HKLM\software\microsoft\windows\currentversion\uninstall\Alexa Toolbar Low
Alexa HKLM\software\microsoft\windows\currentversion\uninstall\Alexa Toolbar## Low
Common Components for Transponders HKLM\software\transponder High
Common Components for Transponders HKLM\software\transponder## High
Common Components for Transponders HKLM\software\transponder##Adware.Srv32 High
DailyToolbar HKLM\SOFTWARE\DailyToolbar High
DailyToolbar HKLM\SOFTWARE\DailyToolbar## High
DailyToolbar HKLM\SOFTWARE\DailyToolbar##DailyToolbar High
DailyToolbar HKLM\SOFTWARE\NIX Solutions High
DailyToolbar HKLM\SOFTWARE\NIX Solutions## High
DailyToolbar HKLM\SOFTWARE\NIX Solutions\DailyToolbar High
DailyToolbar HKLM\SOFTWARE\NIX Solutions\DailyToolbar## High
DailyToolbar HKLM\SOFTWARE\NIX Solutions\DailyToolbar##DailyToolbar High
DailyToolbar HKLM\SOFTWARE\Classes\AppID\{951B3138-AE8E-4676-A05A-250A5F111631} High
DailyToolbar HKLM\SOFTWARE\Classes\AppID\{951B3138-AE8E-4676-A05A-250A5F111631}## High
DailyToolbar HKLM\SOFTWARE\Classes\AppID\DailyToolbar.DLL High
DailyToolbar HKLM\SOFTWARE\Classes\AppID\DailyToolbar.DLL## High
DailyToolbar HKLM\SOFTWARE\Classes\AppID\DailyToolbar.DLL##DailyToolbar High
DailyToolbar HKLM\SOFTWARE\Classes\DailyToolbar.IEBand High
DailyToolbar HKLM\SOFTWARE\Classes\DailyToolbar.IEBand## High
DailyToolbar HKLM\SOFTWARE\Classes\DailyToolbar.IEBand##DailyToolbar High
DailyToolbar HKLM\SOFTWARE\Classes\DailyToolbar.SysMgr High
DailyToolbar HKLM\SOFTWARE\Classes\DailyToolbar.SysMgr## High
DailyToolbar HKLM\SOFTWARE\Classes\DailyToolbar.SysMgr##DailyToolbar High
DailyToolbar HKLM\SOFTWARE\Classes\IEToolbar.AffiliateCtl High
DailyToolbar HKLM\SOFTWARE\Classes\IEToolbar.AffiliateCtl## High
DailyToolbar HKLM\SOFTWARE\Classes\IEToolbar.AffiliateCtl##IEToolbar High
DailyToolbar HKLM\SOFTWARE\Classes\interface\{10195311-e434-47a9-adba-48839e3f7e4e} High
DailyToolbar HKLM\SOFTWARE\Classes\interface\{10195311-e434-47a9-adba-48839e3f7e4e}## High
DailyToolbar HKLM\SOFTWARE\Classes\interface\{abafa0b4-f78d-42e5-8c31-1a441d01c1df} High
DailyToolbar HKLM\SOFTWARE\Classes\interface\{abafa0b4-f78d-42e5-8c31-1a441d01c1df}## High
Trojan.Downloader.CashDeluxe HKCR\CLSID\{60e2e76b-60e2e76b-60e2e76b-60e2e76b-60e2e76b} Elevated
Trojan.Downloader.CashDeluxe HKCR\CLSID\{60e2e76b-60e2e76b-60e2e76b-60e2e76b-60e2e76b}## Elevated
Trojan.Downloader.CashDeluxe HKCU\Software\Microsoft\IPCheck##IPCheck Elevated
Trojan.Downloader.CashDeluxe HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Srv32 spool service##Adware.Srv32 Elevated
Trojan.Downloader.CashDeluxe HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Srv32 spool service##Adware.Srv32 Elevated
Trojan.Downloader.CashDeluxe HKLM\Software\Software\TPS108##Adware.Srv32 Elevated
URL Replacer HKCR\url_relpacer.URLResolver Elevated
URL Replacer HKCR\url_relpacer.URLResolver## Elevated
URL Replacer HKCR\url_relpacer.URLResolver##url_relpacer Elevated
VX2.RespondMiter HKLM\Software\RespondMiter High
VX2.RespondMiter HKLM\Software\RespondMiter## High
VX2.RespondMiter HKLM\Software\RespondMiter##Adware.Srv32 High
Zestyfind HKCR\Interface\{4FDBDBAD-FEFE-4C4C-9CC1-1181052AFB12} Elevated
Zestyfind HKCR\Interface\{4FDBDBAD-FEFE-4C4C-9CC1-1181052AFB12}## Elevated
Zestyfind HKCR\TypeLib\{C094876D-1B0E-46FA-B6A6-7FFC0F970C27} Elevated
Zestyfind HKCR\TypeLib\{C094876D-1B0E-46FA-B6A6-7FFC0F970C27}## Elevated
Zestyfind HKLM\Software\Classes\Bridge.brdg Elevated
Zestyfind HKLM\Software\Classes\Bridge.brdg## Elevated
Zestyfind HKLM\Software\Classes\Bridge.brdg##Bridge Elevated
Zestyfind HKLM\Software\Classes\Jao.jao Elevated
Zestyfind HKLM\Software\Classes\Jao.jao## Elevated
Zestyfind HKLM\Software\Classes\Jao.jao##jao Elevated
Zestyfind HKLM\Software\Microsoft\Windows\CurrentVersion\UNinstall\bridge Elevated
Zestyfind HKLM\Software\Microsoft\Windows\CurrentVersion\UNinstall\bridge## Elevated
Admess HKCR\CLSID\{9896231A-C487-43A5-8369-6EC9B0A96CC0} High
Admess HKLM\Software\Classes\CLSID\{9896231A-C487-43A5-8369-6EC9B0A96CC0} High
Alexa HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CEFF6CD-6F08-4E4D-BCCD-FF7415288C3B} Low
Alexa HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CEFF6CD-6F08-4E4D-BCCD-FF7415288C3B}\iexplore Low
Alexa HKCR\CLSID\{F1FABE79-25FC-46DE-8C5A-2C6DB9D64333} Low
Alexa HKLM\Software\Classes\CLSID\{F1FABE79-25FC-46DE-8C5A-2C6DB9D64333} Low
DailyToolbar HKCR\CLSID\{58F9B276-E1CC-458E-8159-21CBC021874B} High
DailyToolbar HKLM\Software\Classes\CLSID\{58F9B276-E1CC-458E-8159-21CBC021874B} High
DailyToolbar HKCR\CLSID\{8333C319-0669-4893-A418-F56D9249FCA6} High
DailyToolbar HKLM\Software\Classes\CLSID\{8333C319-0669-4893-A418-F56D9249FCA6} High
DailyToolbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8333C319-0669-4893-A418-F56D9249FCA6} High
DailyToolbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8333C319-0669-4893-A418-F56D9249FCA6}\iexplore High
TIBS Premium Rate Dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7B55BB05-0B4D-44FD-81A6-B136188F5DEB} Elevated
TIBS Premium Rate Dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7B55BB05-0B4D-44FD-81A6-B136188F5DEB}\iexplore Elevated
Transponder.BTGrab HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-F09C-02B4-6EC2-AD0300000000} Elevated
Transponder.BTGrab HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-F09C-02B4-6EC2-AD0300000000}\iexplore Elevated
Transponder.DLMax HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-59D4-4008-9058-080011001200} High
Transponder.DLMax HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-59D4-4008-9058-080011001200}\iexplore High
Transponder.SiteHelper HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFD2825E-0785-40C5-9A41-518F53A8261F} Low
Transponder.SiteHelper HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFD2825E-0785-40C5-9A41-518F53A8261F}\iexplore Low
Transponder.Zserv HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-C1EC-0345-6EC2-4D0300000000} Elevated
Transponder.Zserv HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-C1EC-0345-6EC2-4D0300000000}\iexplore Elevated
URL Replacer HKCR\CLSID\{E52DEDBB-D168-4BDB-B229-C48160800E81} Elevated
URL Replacer HKLM\Software\Classes\CLSID\{E52DEDBB-D168-4BDB-B229-C48160800E81} Elevated
URL Replacer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E52DEDBB-D168-4BDB-B229-C48160800E81} Elevated
URL Replacer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E52DEDBB-D168-4BDB-B229-C48160800E81}\iexplore Elevated
Zestyfind HKCR\CLSID\{80BB7465-A638-43B5-9827-8E8FE38DFCC1} Elevated
Zestyfind HKLM\Software\Classes\CLSID\{80BB7465-A638-43B5-9827-8E8FE38DFCC1} Elevated
Zestyfind HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9C691A33-7DDA-4C2F-BE4C-C176083F35CF} Elevated
Zestyfind HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9C691A33-7DDA-4C2F-BE4C-C176083F35CF}\iexplore Elevated
Alexa C:\WINDOWS\alexaie.dll Low
Alexa C:\WINDOWS\alxie328.dll Low
Alexa C:\WINDOWS\alxtb1.dll Low
Transponder.BTGrab C:\WINDOWS\BTGrab.dll Elevated
Transponder.DLMax C:\WINDOWS\dlmax.dll High
Transponder.Pynix C:\WINDOWS\Pynix.dll High
Alexa C:\WINDOWS\system32\alxres.dll Low
Zestyfind C:\WINDOWS\system32\bridge.dll Elevated
DailyToolbar C:\WINDOWS\system32\dailytoolbar.dll High
Trojan.Downloader.CashDeluxe C:\WINDOWS\system32\runsrv32.dll Elevated
Trojan.Downloader.CashDeluxe C:\WINDOWS\system32\runsrv32.exe Elevated
Admess C:\WINDOWS\system32\tcpservice2.exe High
Desktop Hijacker C:\WINDOWS\system32\txfdb32.dll High
Admess C:\WINDOWS\system32\wstart.dll High
Transponder.Zserv C:\WINDOWS\ZServ.dll Elevated


Rapport HijackThis
ATTENTION RAPPORT FAIT EN ETANT CONNECTE SUR LE POSTE (PAS AU DOMAINE)

Logfile of HijackThis v1.99.1
Scan saved at 20:10:54, on 09/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\TEMP\OR327D.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Documents and Settings\mohayon\Bureau\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Switcher.exe] C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Biomenu] "C:\Program Files\Protector Suite QL\menusw.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk.disabled
O4 - Global Startup: Bluetooth Manager.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3623909890
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****
O17 - HKLM\Software\..\Telephony: DomainName = *****
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = *****
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Scan en temps réel Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe" -service (file missing)


Rapport Ewido

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 16:49:18, 09/06/2006
+ Somme de contrôle: AA9A1B00

+ Résultats du scan:

HKLM\SOFTWARE\Alexa Internet -> Adware.Alexa : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\AlxTB.BHO -> Adware.Alexa : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\AppID\DailyToolbar.DLL -> Adware.DailyToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Bridge.brdg -> Adware.BlazeFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{E52DEDBB-D168-4BDB-B229-C48160800E81} -> Hijacker.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\DailyToolbar.IEBand -> Adware.DailyToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\DailyToolbar.SysMgr -> Adware.DailyToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\IEToolbar.AffiliateCtl -> Adware.DailyToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\jao.jao -> Adware.BlazeFind : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\PopMenu.Menu -> Adware.Alexa : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Popup.PopupKiller -> Adware.Alexa : Nettoyer et sauvegarder
HKLM\SOFTWARE\DailyToolbar -> Adware.DailyToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e52dedbb-d168-4bdb-b229-c48160800e81} -> Hijacker.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\NIX Solutions -> Adware.DailyToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\NIX Solutions\DailyToolbar -> Adware.DailyToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\RespondMiter -> Adware.VX2 : Nettoyer et sauvegarder
HKU\S-1-5-21-3182311013-4042920266-742984932-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E52DEDBB-D168-4BDB-B229-C48160800E81} -> Hijacker.Generic : Nettoyer et sauvegarder
C:\Documents and Settings\mohayon\Cookies\mohayon@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

::Fin du rapport


Ensuite tu me parlais de conseils de sécurité ! Je suis preneur.

Je suis aussi interressé par un audit informatique en matière de sécurité de tout mon systeme : 2 serveurs sur deux sites et environ 30 PC.

Est ce que tu fais ça à titre professionnel ? Sinon une adresse à me conseiller ?

La SSII qui me suis est passé à coté de la bestiole. Ils m'ont dit qu'il n'y avait pas encore de solutions. !!!

Quel est le meilleur AntiSpyware-Malware- et autres bestioles (payant) pour un réseau sachant que j'ai déjà la suite TrendAntivirus ?

Merci pour tout tes conseils champion
Moi je dis bravo (et tout ça sans être devant le PC !!!)

Laurent
laurent7892001
 
Messages: 7
Inscription: 07 Juin 2006, 22:32

Messagede nickW » 09 Juin 2006, 22:21

Bonsoir,

Laurent a écrit:Merci pour tout tes conseils champion

Perdu! :D

Je ne connais pas Spyware Doctor, mais a-t-il nettoyé tout ce qu'il a trouvé, ou a-t-il seulement effectué un scan?

Je regarde ton nouveau log ....

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 09 Juin 2006, 22:53

Re-bonsoir,

Ton log est beaucoup plus "propre".

Il reste deux lignes qu'il faudrait supprimer via HijackThis en mode sans échec (cf les étapes 6 et 8 ci-dessus):

O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)

Ensuite, nouveau scan ewido en mode sans échec.

Puis tu redémarres en mode normal, et tu envoies le log d'ewido ainsi qu'un nouveau log HijackThis.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede bellafago » 10 Juin 2006, 06:33

Bonjour Laurent,

NickW , vous a écrit "perdu", car il ne s'agit pas d'un champion ... :shock: , oui , oui, mais d'UNE championne... :wink: , mais vous ne pouviez pas le devinner , ... quoique la Coccinelle fut un indice ... :idea:

@+
Avatar de l’utilisateur
bellafago
 
Messages: 5389
Inscription: 14 Avr 2005, 12:49

Messagede laurent7892001 » 19 Juin 2006, 12:55

Bonjour à tous et toutes

Me revoila j'étais en déplacement. Bien alors on reprend depuis la semaine dernière.

Voici mes logs depuis les corrections :

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 15:59:15, 12/06/2006
+ Somme de contrôle: C14C1963

+ Résultats du scan:

C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

::Fin du rapport


HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 16:00:45, on 12/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Switcher.exe] C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Biomenu] "C:\Program Files\Protector Suite QL\menusw.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk.disabled
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3623909890
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****
O17 - HKLM\Software\..\Telephony: DomainName = *****
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = *****
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Scan en temps réel Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe" -service (file missing)

NickW a ecrit :
Je ne connais pas Spyware Doctor, mais a-t-il nettoyé tout ce qu'il a trouvé, ou a-t-il seulement effectué un scan?

Oui il a tout nettoyé tout ce qu'il a trouvé

Merci bellafago pour tes précisions, et félicitations au femmes du forum.

Au fait NickW as tu une réponse sur un programme anti-bestiole pour un réseau
Il faut que cela soit complétement transparent pour les utilisateurs, car ils ne comprennent pas lorsque un programme résident leur demande s'ils acceptent tel ou tel modification. (ex: TeaTimer)

Merci

PS : C'était encore un log en étant autonome. Est ce que je dois faire un log en étant connecté au réseau ?

Tiens pendant qu'on discute mon antivirus vient de mettre en quarantaine deux virus qui étaient dans system32. J'ai l'impression que mon réseau est une passoire.
laurent7892001
 
Messages: 7
Inscription: 07 Juin 2006, 22:32

Messagede nickW » 19 Juin 2006, 23:37

Bonsoir,

Pour des raisons de confidentialité j'ai mis des xxxx à la place de mon nom de domaine

..... il ne faut pas les oublier ces ***** :wink: :wink:


mon antivirus vient de mettre en quarantaine deux virus qui étaient dans system32

Je ne comprends pas très bien: c'est un scan de l'antivirus qui a détecté deux fichiers infectés, ou c'est le module en temps réel qui en a bloqué l'installation?
Quels étaient les noms de ces deux fichiers?


Ne connaissant pas l'architecture exacte de ton réseau, il m'est difficile de te donner des conseils.
Comment sont configurés tes serveurs proxies? (Windows/Linux, Squid, SpamAssassin, ...)

Tu pourrais dans un premier temps abandonner Internet Explorer (et ses failles de sécurité, et ses ActiveX infectants, et ...etc...) pour Firefox, ce qui ne devrait pas troubler outre mesure les utilisateurs.

Ensuite, pour le courrier électronique, utiliser ThunderBird de préférence à Outlook Express.

Il existe une version "Entreprise" de Spybot-S&D, mais je ne la connais pas.
http://www.safer-networking.ie/en/index.html

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 19 Juin 2006, 23:44

Re-

Pour ton propre PC,

1/ Deux actions à entreprendre rapidement:

Un conseil important:
Dans Internet Explorer, il faut mieux gérer les contrôles ActiveX:
Ce qu'ils sont: http://assiste.com.free.fr/p/internet_a ... ctivex.php
S'en protéger: http://assiste.com.free.fr/p/internet_c ... ctivex.php


Un conseil:
Il faudrait modifier la gestion des cookies, et ne plus accepter n'importe quoi.
Dans Firefox, Outils--->Options, Menu Vie privée, Onglet Cookies, si "Autoriser les sites à créer des cookies" est coché, cocher la case devant "pour le site Web d'origine seulement".
Dans IE, Outils--->Options internet, Onglet Confidentialité, Bouton Avancé dans le paragraphe Paramètres. Cocher "Ignorer la gestion automatique des cookies", cocher "Demander" pour les cookies internes, et cocher "Refuser" pour les Cookies tierce partie.


2/ Une autre action à réaliser:

Un conseil important:
Il faut créer un nouveau point de restauration système.
Réactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


3/ Enfin, pour l'optimisation:

Un conseil:
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Note:
En ce moment, la version téléchargeable est la plus à jour.
Clic droit sur le lien: http://assiste.files.free.fr/h/Startups-vf.chm
Enregistrer le fichier, puis double clic dessus pour l'ouvrir.

Sont dans ce cas:
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe--->lire attentivement la liste de Pacman
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe--->mise à jour automatique: mieux vaut la faire soi-même
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe--->lui préférer Adobe Reader SpeedUp 1.35

Voilì, voilò, voilà.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 25 invités

cron