Page 1 sur 2

Plantage, virus: PC besoin d'un grand nettoyage!!!

MessagePosté: 30 Aoû 2006, 06:29
de Dorothée
Bonjour,

lors d'une soirée des amis ont rien trouvé de mieux que de faire que n'importe quoi avec mon pc... Je sais, super les amis...
en effet j'étais pas vraiment contente le lendemain de voir qu'il était infecté de Trojan et autre, et qu'il plantait un peu partout pour n'importe quoi...

Voici un log de son état actuel...

Logfile of HijackThis v1.99.1
Scan saved at 13:17:46, on 29/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Lexmark 5200 series\lxbtbmgr.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Windows Media Connect 2\WMCCFG.exe
C:\Program Files\Lexmark 5200 series\lxbtbmon.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Dorothee\Bureau\Dorothée\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LyraHD2TrayApp] "C:\Program Files\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Program Files\Lexmark 5200 series\lxbtbmgr.exe"
O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Program Files\Windows Media Connect 2\WMCCFG.exe" /StartQuiet
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [Winlogin] C:\Documents and Settings\Dorothee\Mes documents\Temp\svchost.exe
O4 - HKCU\..\Run: [Winlogon] C:\Documents and Settings\Dorothee\Mes documents\Temp\winlogin.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe

J'attends la marche à suivre avec impatience.
Merci d'avance

MessagePosté: 30 Aoû 2006, 14:51
de nickW
Bonjour,

Dans ton précédent sujet, tu ne m'as pas dit comment s'étaient terminées les manips!


Étape 1: Création du fichier liste-hku-run.bat
Faire un copier/coller de la ligne ci-dessous (dans la zone "Code") dans un éditeur de texte (Bloc-notes, Notepad, Wordpad par exemple) et enregistrer le fichier sous le nom de liste-hku-run.bat
Attention: l'extension doit être .bat , choisir Tous les fichiers dans la liste déroulante de Type lors du Enregistrer sous..
Si l'extension est .bat.txt, renommer le fichier en .bat
Code: Tout sélectionner
regedit /e c:\reg-hku-run.txt "HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run"



Étape 2: Utilisation du fichier liste-hku-run.bat
Faire un double clic sur liste-hku-run.bat (une petite fenêtre à fond noir va apparaître puis disparaître très rapidement).


Étape 3: RegSearch
Télécharger RegSearch (de Bobbi Flekman) (clic droit sur le lien ci-dessous, enregistrer le fichier sur le bureau):
http://www.bleepingcomputer.com/files/m ... Search.zip
Décompresser cette archive dans un dossier qui lui sera réservé (par exemple, C:\Program Files\RegSearch).

Lancer RegSearch par un double clic sur RegSearch.exe (dans le dossier C:\Program Files\RegSearch).
Dans la zone "Enter search strings (case independent) and click OK"
saisir winlogin sur la 1ère ligne

ne rien saisir dans la zone "Enter string to exclude from results (optional)"

puis cliquer sur le bouton OK

Le programme recherche dans le Registre les éléments demandés.
Attendre, sans rien faire d'autre (durée: jusqu'à 5 minutes, ce qui semble bien long.....).
Il y a ensuite ouverture d'une fenêtre du Bloc-notes, enregistrer ce fichier (Menu Fichier ---->Enregistrer sous..., donner le nom rech2-winlogin.txt).
Fermer RegSearch en cliquant sur le bouton "Cancel"


Étape 4: Résultats
Copier en réponse:
*- le contenu du fichier c:\reg-hku-run.txt
*- le contenu du fichier rech2-winlogin.txt

A suivre,

MessagePosté: 31 Aoû 2006, 06:54
de Dorothée
oui je m'excuse, je ne sais pas où j'ai la tête en ce moment... :oops:

en effet, et bien ça ne c'est pas bien passé, je n'ai pas pu fusionner le fichier tuer-Winlogin.reg.
J'ai eu ce message d'erreur: "impossible d'importer tuer-Winlogin.reg: erreur d'accès au registre"

Je suis vraiment bête de ne pas te l'avoir dit surtout que je crois qu'on ne peut pas avancer sans ça... :oops:

Du coup j'attends ta réponse et je ne tenterai ta dernière manip qu'après ton feu vert.

(déjà que l'informatique c'est pas simple... mais si on est plusieurs boulets comme moi, ben c'est pas gagné... :? )

MessagePosté: 31 Aoû 2006, 07:28
de Jim Rakoto
Salut

déjà que l'informatique c'est pas simple... mais si on est plusieurs boulets comme moi, ben c'est pas gagné...


Tss, tss

Et apprendre la cuisine, le repassage, passer son permis de conduire, faire un bac, voire un master, élever un enfant, gérer un budget, est-ce donc plus simple ?? :D :D

A+

MessagePosté: 31 Aoû 2006, 09:20
de nickW
Bonjour,

Pourrais-tu ouvrir le fichier tuer-Winlogin.reg avec le Bloc-notes et en envoyer une copie.

Ensuite, tu effectues les étapes décrites ci-dessus.

A suivre,

MessagePosté: 05 Sep 2006, 18:37
de Dorothée
Bonjour,
Désolé pour le temps que je mets à répondre.
J'ai un problème de plus en plus réccurant: plantage de PC toutes les 15, 20 min et pas d'autre soluce que redémarrer...

voici ce que vous aviez demandé, je vais faire les dernières étapes que vous m'aviez donné:

REGEDIT4

[HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Winlogin"=-

[HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Winlogon"=-

MessagePosté: 05 Sep 2006, 18:51
de Dorothée
voici le contenu de c:\reg-hku-run.txt

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"WOOKIT"="C:\\PROGRA~1\\Wanadoo\\Shell.exe appLaunchClientZone.shl|PARAM= cnx"
"Winlogin"="C:\\Documents and Settings\\Dorothee\\Mes documents\\Temp\\svchost.exe"
"Winlogon"="C:\\Documents and Settings\\Dorothee\\Mes documents\\Temp\\winlogin.exe"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"

et voici rech2-winlogin.txt

REGEDIT4

; Registry Search by Bobbi Flekman © 2005
; Version: 1.0.2.4

; Results at 05/09/2006 19:42:30 for strings:
; 'winlogin'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Winlogin"="C:\\Documents and Settings\\Dorothee\\Mes documents\\Temp\\svchost.exe"

[HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Winlogon"="C:\\Documents and Settings\\Dorothee\\Mes documents\\Temp\\winlogin.exe"

; End Of The Log...

MessagePosté: 06 Sep 2006, 00:14
de nickW
Bonsoir,

Ouvrir une session sous le nom d'utilisateur qu'ont utilisé tes "amis".

Étape 1: Création du fichier tuer-Winlogin-2.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans un éditeur de texte (Bloc-notes, Notepad, Wordpad par exemple) et enregistrer le fichier sous le nom de tuer-Winlogin-2.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir Tous les fichiers dans la liste déroulante de Type lors du Enregistrer sous..
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Winlogin"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Winlogon"=-





Étape 2: Création du fichier listeruns.bat
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad) et enregistrer le fichier sur le Bureau sous le nom de listeruns.bat
Attention: l'extension doit être .bat , choisir Tous les fichiers dans la liste déroulante de Type lors du Enregistrer sous..
Si l'extension est .bat.txt, renommer le fichier en .bat
Code: Tout sélectionner
regedit /e lireg1.txt "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
regedit /e lireg2.txt "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce"
regedit /e lireg3.txt "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunonceEx"
regedit /e lireg4.txt "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run"
regedit /e lireg5.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
regedit /e lireg6.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce"
regedit /e lireg7.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunonceEx"
regedit /e lireg8.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run"
copy lireg1.txt + lireg2.txt + lireg3.txt + lireg4.txt + lireg5.txt + lireg6.txt + lireg7.txt + lireg8.txt  listeruns.txt
del lireg1.txt
del lireg2.txt
del lireg3.txt
del lireg4.txt
del lireg5.txt
del lireg6.txt
del lireg7.txt
del lireg8.txt
notepad.exe listeruns.txt



Étape 3: Utilisation du fichier tuer-Winlogin-2.reg
Faire un clic droit sur tuer-Winlogin-2.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le registre.
Redémarrer.


Étape 4: RegSearch
Lancer RegSearch par un double clic sur RegSearch.exe (dans le dossier C:\Program Files\RegSearch).
Dans la zone "Enter search strings (case independent) and click OK"
saisir winlogin sur la 1ère ligne

ne rien saisir dans la zone "Enter string to exclude from results (optional)"

puis cliquer sur le bouton OK

Le programme recherche dans le Registre les éléments demandés.
Attendre, sans rien faire d'autre (durée: jusqu'à 5 minutes, ce qui semble bien long.....).
Il y a ensuite ouverture d'une fenêtre du Bloc-notes, enregistrer ce fichier (Menu Fichier ---->Enregistrer sous..., donner le nom rech3-winlogin.txt).
Fermer RegSearch en cliquant sur le bouton "Cancel"


Étape 5: Utilisation du fichier listeruns.bat
Faire un double clic sur listeruns.bat
Une fenêtre du Bloc-notes (Notepad) s'ouvre (contenant le fichier listeruns.txt).


Étape 6: Résultats
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le contenu du fichier listeruns.txt
*- le contenu du fichier rech3-winlogin.txt

Indiquer aussi les difficultés rencontrées au cours des différentes étapes.

A suivre,

MessagePosté: 06 Sep 2006, 18:49
de Dorothée
Bonjour,

avant de vous donner la suite, des précisions sur les plantages de mon PC.

Il plante toujours toutes les 15/20 min environ. Quand je le redémarre, si je vais directement sur ma boite mail (incredimail), il plante de suite.

Je le trouve assez lent pour ouvrir les documents (comme poste de travail, mes documents ou autre).

Une petite bétise de moi (et oui encore... :oops: ), en voulant télécharger des cracks de jeu (hum..), ben il y a un fichier:(keygen) Guild Wars [p2p-11066].exe (dans:C:\Program Files\eMule\Incoming), dont je n'arrive plus à me débarasser. Quand je fais suprimer il me dit qu'il est ouvert ou utilisé par quelqu'un d'autre. Ca me fait un peu peur...

Régulièrement j'ai msn qui se connecte tout seul et pas forcément au démarrage.

Enfin, un dernier petit soucis dont je n'arrive plus à me sortir: j'ai Windows XP Professionnel service pack 2, mais bien cracké donc avec accès au mise à jour sans problème. Et comme beaucoup, je me suis fais avoir par une mise à jour automatique.. Du coup à chaque démarrage il me dit que je suis peut-être victime d'une contre-façon de logiciel (étonnant! Mouaaarrrrffffffff).
Je ne sais pas si vous avez une solution pour améliorer ça, au moins que le message ne s'affiche plus, si c'est le cas je suis preneuse! :Mouaaarrrrffffffff:

Il me paraissait important de vous signaler tout ça :?

voici donc les résultat de la manip:

1: log HijackThis:


Logfile of HijackThis v1.99.1
Scan saved at 19:28:29, on 06/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Lexmark 5200 series\lxbtbmgr.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\Lexmark 5200 series\lxbtbmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Windows Media Connect 2\WMCCFG.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Documents and Settings\Dorothee\Bureau\Dorothée\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LyraHD2TrayApp] "C:\Program Files\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Program Files\Lexmark 5200 series\lxbtbmgr.exe"
O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Program Files\Windows Media Connect 2\WMCCFG.exe" /StartQuiet
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe

2: listeruns.txt:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"WOOKIT"="C:\\PROGRA~1\\Wanadoo\\Shell.exe appLaunchClientZone.shl|PARAM= cnx"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"LyraHD2TrayApp"="\"C:\\Program Files\\Thomson\\Lyra Jukebox\\LyraHDTrayApp\\LYRAHD2TrayApp.exe\""
"MMTray"="\"C:\\Program Files\\Musicmatch\\Musicmatch Jukebox\\mm_tray.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"eBayToolbar"="C:\\Program Files\\eBay\\eBay Toolbar2\\eBayTBDaemon.exe"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"Lexmark 5200 series"="\"C:\\Program Files\\Lexmark 5200 series\\lxbtbmgr.exe\""
"LXBTCATS"="rundll32 C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\LXBTtime.dll,_RunDLLEntry@16"
"FaxCenterServer"="\"C:\\Program Files\\Lexmark Fax Solutions\\fm3032.exe\" /s"
@=""
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_07\\bin\\jusched.exe"
"DAEMON Tools"="\"C:\\Program Files\\DAEMON Tools\\daemon.exe\" -lang 1033"
"Windows Media Connect 2"="\"C:\\Program Files\\Windows Media Connect 2\\WMCCFG.exe\" /StartQuiet"
"mmtask"="\"C:\\Program Files\\Musicmatch\\Musicmatch Jukebox\\mmtask.exe\""
"WOOWATCH"="C:\\PROGRA~1\\Wanadoo\\Watch.exe"
"WOOTASKBARICON"="C:\\PROGRA~1\\Wanadoo\\GestMaj.exe TaskBarIcon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunonceEx]

3: rech3-winlogin.txt:

REGEDIT4

; Registry Search by Bobbi Flekman © 2005
; Version: 1.0.2.4

; Results at 06/09/2006 19:22:47 for strings:
; 'winlogin'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"c"="C:\\Program Files\\RegSearch\\rech2-winlogin.txt"

[HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"d"="C:\\Program Files\\RegSearch\\tuer-Winlogin-2.reg"

[HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\reg]
"a"="C:\\Program Files\\RegSearch\\tuer-Winlogin-2.reg"

[HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\txt]
"a"="C:\\Program Files\\RegSearch\\rech2-winlogin.txt"

; End Of The Log...




Voilà. et pas de problème pendant la manip.

MessagePosté: 06 Sep 2006, 23:56
de pierre
Bonjour,

Nous n'allons pas nous en sortir si vous compromettez votre machine plus vite que nous n'arrivons à la désinfecter et la décontaminer.

Après avoir téléchargé KeyGen (avec Firefox bien entendu et sous droits restreints), est-ce que vous avez eu l'idée et la présence d'esprit normale d'aller immédiatement ici ?

Outils de scan antivirus en ligne
http://assiste.com.free.fr/p/antivirus_ ... ligne.html

Vous utilisez le premier de la liste, cela suffit :
http://assiste.com.free.fr/p/antivirus_ ... ligne.html

KeyGen aurait été analysé par 27 antivirus qui vous auraient dit que c'est un cheval de Troie.

D'ailleur, on parle de KeyGen sur le site, en ces termes :
http://assiste.com.free.fr/p/abc/a/troj ... mples.html
KeyGen
Vous piratez des logiciels et utilisez un célèbre générateur de clés pour obtenir des clés de licence ? C'est un trojan sévèrement piégé d'un backdoor. On peut d'ailleurs penser que ce genre d'utilitaires est développé par les éditeurs eux-mêmes ou les sociétés de détectives privés qu'ils ont mandatés (par exemple NetResult Ltd, basée à Londres, pour ce qui est de l'Europe) et qu'ils génèrent des clés identifiables comme étant pirates en plus du backdoor permettant de venir voir ce qu'il y a sur nos ordinateurs.


Rien n'est gratuit sur le Net ! Vous croyiez naïvement que les cracks sont faits dans la joie par des petits boutonneux en mal être de puberté passant la nuit à casser des protections pour le bien être de la communauté ? Mais pas du tout ! Ils sont faits par des criminels, des gangs maffieux russes et des triades chinoises extrêmement dangereux pour zombiifier votre machine et en tirer de l’argent.

Réveillez-vous !

Je vous demande de lire, avant toute chose, cette page :

la sécurité est un problème de comportement individuel
http://assiste.com.free.fr/p/abc/a/comp ... naute.html

puis celle-ci

éradication d'un virus particulier, le virus PEBCAK (également connu sous le nom de PELCEC)
http://assiste.com.free.fr/p/virus/viru ... elcec.html

et enfin, très sérieusement, ces 2 là

Zombies et Botnets
http://assiste.com.free.fr/p/abc/a/zomb ... tnets.html

et

Risque de complicité
http://assiste.com.free.fr/p/spam/risqu ... naute.html

Maintenant, outre la décontamination sur laquelle NickW va peut-être se repencher, si vous lui prouvez que ce n'est pas vain, vous allez me faire le plaisir de :

lire et faire DropMyRights :
http://assiste.com.free.fr/p/logitheque ... ights.html

A+