problème avec des trojan horses coriaces

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

problème avec des trojan horses coriaces

Messagede Helioss » 29 Juin 2007, 12:33

Bonjour !

Je suis infestée par des trojan horses depuis quelques temps, mais je pensais que c'était réglé avec mes scans (Ad Aware et AVG Free Edition), jusqu'au jour ou firefox commence à planter pas mal de fois. Donc la je tape trojan horse sur google, et je prend enfin connaissance de ce que c'est en gros.

J'ai donc télécharger la version d'essai de Trojan Remover, et me suis débarassé des virus... ou presque. La plupart a été éliminé, mais il en reste un petit peu, notamment concernant des drivers. A chaque fois que je démarre mon pc et arrive sur ma session, je vois notamment sur mon bureau une fenêtre de détection de nouveau matériel, or il n'y a rien de nouveau branché sur mon port usb. Trojan Remover tente de les enlever, lorsque je redémarre, mais ca ne marche pas, et il me dit d'essayer un scan en SAFE MODE (?).

Je ne sais pas trop comment faire...Après des multitudes de scans avec trojan remover, ad aware et avg free edition.
Merci de m'aider.

Image
Le log de trojan remover

Image
Une des erreurs détectées dans le fast scan.

Données : Windows XP - AVG Anti-virus Free edition - Ad-Aware - Mozilla Firefox
Helioss
 
Messages: 9
Inscription: 29 Juin 2007, 10:16

Messagede nickW » 29 Juin 2007, 15:13

Bonjour et Bienvenue,

Nettoyage:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 2).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: HijackThis (de Merijn)
Créer à la racine du disque système (généralement C:, symbolisé ci-dessous par µ) un dossier que tu nommeras HJT
Télécharger le fichier http://assiste.com.free.fr/ftp/anti_hij ... ckThis.exe
Note importante: faire un clic droit sur le lien ci-dessus, choisir "Enregistrer la cible du lien sous" et placer le fichier dans le dossier µ:\HJT


Étape 2: Rustbfix (de ejvindh)
Télécharger rustbfix depuis l'un des liens ci-dessous et enregistrer le fichier sur le Bureau:
http://www.uploads.ejvindh.net/rustbfix.exe
http://uploads.ejvindh.andymanchesta.com/Rustbfix.exe

Fermer toutes les fenêtres de programme: il va y avoir redémarrage(s).

Faire un double clic sur rustbfix.exe pour lancer l'outil.
Si une infection Rustock.b est détectée, une invite indiquera qu'il est nécessaire de redémarrer le PC.
Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient nécessaires.
Tout cela se fera automatiquement.

Après ce(s) redémarrage(s), deux fenêtres du Bloc-notes vont s'ouvrir, contenant les rapports %root%\avenger.txt et %root%\rustbfix\pelog.txt
Fermer ces deux fenêtres du Bloc-notes.


Étape 3: HijackThis (de Merijn)
Fermer absolument toutes les applications, les connexions et les navigateurs.
Lancer HijackThis par un double clic sur HijackThis.exe situé dans le dossier µ:\HJT
Cliquer sur le bouton "Do a system scan and save a logfile"
Attendre qu'une fenêtre du Bloc-notes s'ouvre.
Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer le fichier sous le nom HJT1.txt.


Étape 4: Résultats
Envoyer en réponse:
*- le log HijackThis (contenu du fichier HJT1.txt)
*- les deux rapports de Rustbfix (contenu des fichiers µ:\avenger.txt et pelog.txt situé dans le dossier µ:\rustbfix)

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Helioss » 29 Juin 2007, 15:48

J'ai effectué les manipulations ci-dessus, et voici les rapports :

Logfile of HijackThis v1.99.1
Scan saved at 16:40:40, on 29/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Arcade\PCMService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\WinTouch\WinTouch.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE HTD PC Camera
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinTouch] C:\Program Files\WinTouch\WinTouch.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Nphb] "C:\WINDOWS\SEMBLY~1\scanregw.exe" -vt yazb
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iajpktra

*******************

Script file located at: \??\C:\Program Files\ehehdwrn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver xpdx unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.


************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
29/06/2007 16:29:29,41

******************* Pre-run Status of system *******************

Rootkit driver xpdx is found. Starting the unload-procedure....

Rustock.b-ADS attached to the System32-folder:
No streams found.

Looking for Rustock.b-files in the System32-folder:
system32\xpdx.sys FOUND!
attempting to delete xpdx.sys from system32-folder


******************* Post-run Status of system *******************

Rustock.b-driver on the system: NONE!

Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************************* End of Logfile ********************************
Helioss
 
Messages: 9
Inscription: 29 Juin 2007, 10:16

Messagede nickW » 29 Juin 2007, 23:12

Bonsoir,

Il reste deux cochoncetés: NewDotNet et PurityScan


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 5).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).

Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: Ccleaner
Télécharger et installer Ccleaner Basic dans un dossier spécifique, par exemple C:\ccleaner
http://www.ccleaner.com/downloadbuilds.asp

Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
*- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 3: AVG Anti-Spyware
Télécharger la version d'essai de AVG Anti-Spyware depuis http://www.ewido.net/en/download/
L'installer.

Lancer AVG Anti-Spyware.
Cliquer sur le menu Analyse.
Cliquer sur l'onglet Paramètres.
Dans Comment réagir?, cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse?, vérifier que toutes les cases sont cochées.
Dans Programmes potentiellement dangereux, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Générer un rapport après chaque analyse est coché.

Cliquer sur le menu Mise à jour.
Si nécessaire, dans la colonne Paramètres (à droite), saisir les paramètres du proxy.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant!


Étape 4: RogueRemover (de RubbeR DuckY)
Télécharger RogueRemover depuis la page: http://www.malwarebytes.org/rogueremover.php
Faire un double clic sur le fichier téléchargé rr-free-setup.exe pour installer le programme.
Lancer RogueRemover via le lien trouvé sur le Bureau.
Cliquer sur Scan.
Lorsque le scan est terminé, cliquer sur Remove All.
Cliquer sur le bouton Save Logs.


Étape 5: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 6: Services
Arrêter, désactiver puis supprimer un service:

Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à Boonty Games
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK

Supprimer ce service:
Démarrer---->Exécuter
taper exactement
sc¤delete¤BOONTY
(le caractère ¤ représente un espace)
puis cliquer sur OK
Noter le message qui s'affiche (succès ou échec).


Étape 7: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" (ou "Scanner seulement" en vf)
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items" (ou "Proteger les objets avt de fixer" en vf), puis cliquer sur le bouton "Back" (ou "Ret" en vf).
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix checked (ou Fixer objet en vf):
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [Nphb] "C:\WINDOWS\SEMBLY~1\scanregw.exe" -vt yazb
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

Fermer HijackThis.


Étape 8: AVG Anti-Spyware
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse.
Cliquer sur Analyse complète du système.
IMPORTANT: Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.

A la fin de l'analyse, cliquer sur Appliquer toutes les actions
Ensuite Sauver le rapport: Enregistrer le rapport d'analyse puis Enregistrer le rapport sous.
Fermer AVG Anti-Spyware.


Étape 9: Renommage
Note 1: certains éléments seront peut-être absents, les noter et les signaler en réponse, après la fin de l'ensemble des étapes
Note 2: une dizaine de jours après la désinfection, après avoir vérifié que tous tes programmes fonctionnent correctement, ces dossiers/fichiers ainsi renommés pourront être définitivement supprimés.
Renommer (clic droit sur le nom du dossier) le dossier ci-dessous en ajoutant .non derrière son nom:

C:\Program Files\Fichiers communs\BOONTY Shared (à renommer en BOONTY Shared.non)


Étape 10: Nettoyage
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage". Fermer le programme.


Étape 11: Redémarrage et Résultats
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de AVG Anti-Spyware (qui se trouve, selon la version: soit dans le dossier C:\Documents and Settings\ton profil\Application Data\Grisoft\AVG Antispyware 7.5\Reports, soit dans le dossier Reports, lui-même sous-dossier du dossier d'installation de AVG Anti-Spyware)
*- le rapport de RogueRemover (contenu du fichier RRLogsxxxx.txt (les xxxxxxx sont des chiffres) trouvé dans le dossier d'installation de RogueRemover).

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Helioss » 30 Juin 2007, 14:13

Bonjour NickW,

C'était plus complexe la :p

Pour l'étape 7, il manquait une ligne, celle-ci : O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

Pour l'étape 8, j'ai fait deux scans, car la première fois, lorsque c'était terminé, l'option pour enrengistrer le rapport n'était pas active. La deuxième fois non plus. Puis après, j'ai trouvé le rapport dans le dossier correspondant ( il n'y était pas à la fin de la première analyse).

Pour l'étape 11,
*- après avoir redémarrer en mode normal, et arrivée sur mon bureau, je vois toujours la fenêtre d'assistant d'ajout de nouveau matériel détecté. Pas de nuisance visible toujours, juste cette fenêtre qui dérange à apparaître à chaque fois que j'arrive sur ma session.
*- Je sais effectivement qu'il y a des petits "trucs"dans mon démarrage. Il y a longtemps j'avais changé mon bootscreen, cela avait marché, puis j'ai essayé d'en mettre un nouveau, mais là, ca n'a pas marché. Puis je me retrouve avec un bootscreen autre que celui par défaut depuis, bleu avec marqué OS2 warp de IBM, qui est très .. laid.
*- Egalement, lorsque j'ai redémarré, windows affichait un écran ou je pouvais choisir des bootscreen, avec un temps limité. Puis arrivée sur ma session, une autre fenêtre est apparue, à propos du démarrage sélectif et de l'utilitaire de configuration système, (oublié de prendre un screen), qui disait en gros qu'il fallait que je redefinisse bien les paramètres du boot dans l'utilitaire.

Merci de me consacrer un peu de temps :).


---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 13:01:30 30/06/2007

+ Résultat de l'analyse:



C:\WINDOWS\system32\AdCache -> Adware.Cydoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\AdCache\B_329_0_0_106800.htm -> Adware.Cydoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\AdCache\B_329_0_0_107400.htm -> Adware.Cydoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\AdCache\B_329_1_0_449200.gif -> Adware.Cydoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\AdCache\B_329_1_0_449600.gif -> Adware.Cydoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\AdCache\B_329_1_0_454300.gif -> Adware.Cydoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\AdCache\B_329_2_0_106800.htm -> Adware.Cydoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\AdCache\B_329_2_0_107400.htm -> Adware.Cydoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\AdCache\B_329_3_0_106800.htm -> Adware.Cydoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\AdCache\B_329_3_0_107400.htm -> Adware.Cydoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\AdCache\B_329_4_0_111600.htm -> Adware.Cydoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\AdCache\B_329_4_0_152400.htm -> Adware.Cydoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\AdCache\B_329_4_0_155300.htm -> Adware.Cydoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\AdCache\B_329_4_0_164100.htm -> Adware.Cydoor : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\PreUninstallHL.exe -> Adware.LinkReplacer : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\NewDotNet -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\NewDotNet\newdotnet7_48.dll -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\NewDotNet\readme.html -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\NewDotNet\uninstall7_48.exe -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\NDNuninstall6_38.exe -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\NDNuninstall6_90.exe -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\NDNuninstall6_98.exe -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\NDNuninstall7_14.exe -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\NDNuninstall7_22.exe -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\NDNuninstall7_48.exe -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\Tldctl2.URLLink -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\Tldctl2.URLLink.1 -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\Tldctl2.URLLink\CLSID -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\Tldctl2.URLLink\CurVer -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\New.net -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\New.net -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKU\.DEFAULT\Software\New.net -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-18\Software\New.net -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-934852352-1973451534-1684421295-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-934852352-1973451534-1684421295-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-934852352-1973451534-1684421295-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-934852352-1973451534-1684421295-1005\Software\New.net -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\b138.exe~ -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\hlwin.dll -> Adware.Suggestor : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{C088B59D-00E1-4866-9985-462F55916981}\RP456\A0075509.exe -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{C088B59D-00E1-4866-9985-462F55916981}\RP471\A0081247.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\cbxvusp.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\mljjheb.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\аѕsembly\scanregw.exe~ -> Downloader.PurityScan.ej : Nettoyé et sauvegardé (mise en quarantaine).
C:\bwarny.exe -> Downloader.Tiny.ha : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.422:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.423:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.424:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.282:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.2o7 : Nettoyé.
:mozilla.283:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.2o7 : Nettoyé.
:mozilla.439:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.2o7 : Nettoyé.
:mozilla.629:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.2o7 : Nettoyé.
:mozilla.257:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.258:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.259:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.260:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.341:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.79:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.87:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.88:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.89:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Adrevolver : Nettoyé.
:mozilla.426:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Adtech : Nettoyé.
:mozilla.427:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Adtech : Nettoyé.
:mozilla.308:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Advertising : Nettoyé.
:mozilla.309:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Advertising : Nettoyé.
:mozilla.311:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Advertising : Nettoyé.
:mozilla.312:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Advertising : Nettoyé.
:mozilla.313:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Advertising : Nettoyé.
:mozilla.450:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Adviva : Nettoyé.
:mozilla.48:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.390:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.637:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Clickhype : Nettoyé.
:mozilla.761:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Comclick : Nettoyé.
:mozilla.762:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Comclick : Nettoyé.
:mozilla.764:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Comclick : Nettoyé.
:mozilla.473:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Cpvfeed : Nettoyé.
:mozilla.474:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Cpvfeed : Nettoyé.
:mozilla.475:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Cpvfeed : Nettoyé.
:mozilla.476:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Cpvfeed : Nettoyé.
:mozilla.116:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.131:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Estat : Nettoyé.
:mozilla.648:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Euroclick : Nettoyé.
:mozilla.649:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Euroclick : Nettoyé.
:mozilla.36:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.37:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.38:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.39:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.40:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.41:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.539:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Hitbox : Nettoyé.
:mozilla.540:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Hitbox : Nettoyé.
:mozilla.541:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Hitbox : Nettoyé.
:mozilla.791:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Hitbox : Nettoyé.
:mozilla.498:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Hitslink : Nettoyé.
:mozilla.646:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.647:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.297:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Mediaplex : Nettoyé.
:mozilla.14:C:\Documents and Settings\Tram\Application Data\Mozilla\Firefox\Profiles\xq8ca6ub.default\cookies.txt -> TrackingCookie.Netflame : Nettoyé.
:mozilla.127:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Overture : Nettoyé.
:mozilla.290:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Paypal : Nettoyé.
:mozilla.506:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Pointroll : Nettoyé.
:mozilla.507:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Pointroll : Nettoyé.
:mozilla.508:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Pointroll : Nettoyé.
:mozilla.509:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Pointroll : Nettoyé.
:mozilla.521:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Qksrv : Nettoyé.
:mozilla.523:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Qksrv : Nettoyé.
:mozilla.504:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Questionmarket : Nettoyé.
:mozilla.505:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Questionmarket : Nettoyé.
:mozilla.301:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Realmedia : Nettoyé.
:mozilla.302:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Realmedia : Nettoyé.
:mozilla.391:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Reliablestats : Nettoyé.
:mozilla.392:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Reliablestats : Nettoyé.
:mozilla.393:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Reliablestats : Nettoyé.
:mozilla.394:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Reliablestats : Nettoyé.
:mozilla.395:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Reliablestats : Nettoyé.
:mozilla.396:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Reliablestats : Nettoyé.
:mozilla.397:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Reliablestats : Nettoyé.
:mozilla.398:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Reliablestats : Nettoyé.
:mozilla.399:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Reliablestats : Nettoyé.
:mozilla.400:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Reliablestats : Nettoyé.
:mozilla.121:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Revsci : Nettoyé.
:mozilla.501:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Ru4 : Nettoyé.
:mozilla.503:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Ru4 : Nettoyé.
:mozilla.90:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.91:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.92:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.93:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.94:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.95:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.544:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Sitestat : Nettoyé.
C:\Documents and Settings\Tram\Cookies\tram@skype[1].txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.305:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.306:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.307:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.357:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Statcounter : Nettoyé.
:mozilla.358:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Statcounter : Nettoyé.
:mozilla.359:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Statcounter : Nettoyé.
:mozilla.360:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Statcounter : Nettoyé.
:mozilla.361:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Statcounter : Nettoyé.
:mozilla.362:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Statcounter : Nettoyé.
:mozilla.363:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Statcounter : Nettoyé.
:mozilla.495:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Toplist : Nettoyé.
:mozilla.29:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.30:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.10:C:\Documents and Settings\Tram\Application Data\Mozilla\Firefox\Profiles\xq8ca6ub.default\cookies.txt -> TrackingCookie.Tribalfusion : Nettoyé.
:mozilla.348:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Tribalfusion : Nettoyé.
:mozilla.9:C:\Documents and Settings\Tram\Application Data\Mozilla\Firefox\Profiles\xq8ca6ub.default\cookies.txt -> TrackingCookie.Tribalfusion : Nettoyé.
:mozilla.65:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Weborama : Nettoyé.
:mozilla.66:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Weborama : Nettoyé.
:mozilla.67:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Weborama : Nettoyé.
:mozilla.425:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Webtrendslive : Nettoyé.
:mozilla.645:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Yadro : Nettoyé.
:mozilla.12:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.13:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.14:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.15:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.6:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.7:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.8:C:\FOUND.000\FILE0002.CHK -> TrackingCookie.Yieldmanager : Nettoyé.


Fin du rapport



Malwarebytes' RogueRemover
Malwarebytes ©2007 http://www.malwarebytes.org
5387 total fingerprints loaded.

Loading database ...
Expanding environmental variables ...

Scanning files ... [ 100% ].
Scanning folders ... [ 100% ].
Scanning registry keys ... [ 100% ].
Scanning registry values ... [ 100% ].

RogueRemover has detected rogue antispyware components! Results below...

Type: Registry Value
Vendor: SpywareSoftStop
Location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|new.net startup
Selected for removal: Yes

RogueRemover has found the objects above.


Logfile of HijackThis v1.99.1
Scan saved at 14:48:47, on 30/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Arcade\PCMService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WinTouch\WinTouch.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HJT\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE HTD PC Camera
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinTouch] C:\Program Files\WinTouch\WinTouch.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

Helioss
 
Messages: 9
Inscription: 29 Juin 2007, 10:16

Messagede nickW » 30 Juin 2007, 23:59

Bonsoir,

Je te conseille de désinstaller Trojan Remover (qui a été inefficace sur le trojan "rootkité" et sur NewDotNet).


A propos du démarrage sélectif, cet avertissement est normal après un démarrage en mode sans échec.
Pour ne plus voir cet avertissement, il suffit de cocher la case lui indiquant de ne plus le rappeler.



Le log d'AVG Anti-Spyware montre que ton PC a été infecté par Vundo.
Pour s'assurer qu'il est totalement éliminé:

VundoFix (de Atribune)
Télécharger VundoFix.exe depuis:
http://www.atribune.org/ccount/click.php?id=4
Enregistrer le fichier sur le Bureau.
Fermer tous les programmes: il va y avoir arrêt du PC.
Lancer le programme en faisant un double clic sur VundoFix.exe
Cliquer sur le bouton Scan for Vundo
Lorsque le balayage (scan) est terminé, cliquer sur le bouton Remove Vundo
S'il y a infection, cliquer sur Yes sur l'invite de demande de suppression de fichiers
Le Bureau va disparaître un moment lors de la suppression des fichiers
Une fenêtre annonce que le PC va redémarrer: cliquer sur OK

Note:
Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer.
Si tel est le cas, l'outil se lancera au prochain redémarrage. Il faut simplement suivre les instructions ci-dessus, à partir de "Cliquer sur le bouton Scan for Vundo".



Envoyer en réponse le contenu du fichier rapport C:\vundofix.txt ainsi qu'un nouveau log HijackThis


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Helioss » 01 Juil 2007, 09:31

Bonjour,

j'ai désinstallé trojan horse remover.

voici les rapports :

Logfile of HijackThis v1.99.1
Scan saved at 10:29:03, on 01/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Arcade\PCMService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\WinTouch\WinTouch.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\wuauclt.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE HTD PC Camera
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinTouch] C:\Program Files\WinTouch\WinTouch.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe


VundoFix V6.5.4

Checking Java version...

Java version is 1.5.0.4
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 10:18:36 01/07/2007

Listing files found while scanning....

C:\windows\system32\cbaxv.dll
C:\windows\system32\vxabc.ini

Beginning removal...

Attempting to delete C:\windows\system32\cbaxv.dll
C:\windows\system32\cbaxv.dll Has been deleted!

Attempting to delete C:\windows\system32\vxabc.ini
C:\windows\system32\vxabc.ini Has been deleted!

Performing Repairs to the registry.
Done!
Helioss
 
Messages: 9
Inscription: 29 Juin 2007, 10:16

Messagede nickW » 01 Juil 2007, 10:56

Bonjour,

Vundofix a éliminé la dernière cochonceté visible, le log HijackThis est "propre".

Avant de continuer (si tu le désires) vers des conseils de sécurisation & optimisation, j'aimerais que tu me donnes des nouvelles de l'état de santé du PC.

Quels sont exactement les dysfonctionnements constatés?


Pour le problème de "détection de nouveau matériel", peux-tu faire ceci:

Clic droit sur l'icône du Poste de travail puis choisir Propriétés

Dans la fenêtre "Propriétés système", Onglet "Matériel", cliquer sur le bouton "Gestionnaire de périphériques"

Dans la fenêtre "Gestionnaire de périphériques", vois-tu des icônes rouges ou jaunes? Lesquelles?
(il faut "déplier" chaque élément en cliquant sur le petit + qui le précède.)

Dans la fenêtre "Gestionnaire de périphériques", dans le Menu Affichage (en haut) choisir "Afficher les périphériques cachés", vois-tu de nouvelles icônes rouges ou jaunes? Lesquelles?
(il faut "déplier" chaque élément en cliquant sur le petit + qui le précède.)


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Helioss » 01 Juil 2007, 12:17

Mon PC va très bien maintenant.

Pour la détection du matériel, dans le gestionnaire de périphérique, il y a un point d'exclamation jaune (enfin noir et entouré de jaune) pour Autres périphériques > Contrôleur de stockage de masse.

Pour l'affichage des périphériques cachés, il y a de nouvelles icônes jaunes dans la catégorie Pilotes non Plug-and-Play : IntelIde, PartMgr, Pilote de port série.
Helioss
 
Messages: 9
Inscription: 29 Juin 2007, 10:16

Messagede Helioss » 04 Juil 2007, 09:40

up?
Helioss
 
Messages: 9
Inscription: 29 Juin 2007, 10:16

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 42 invités