demande d'analyse de log

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

demande d'analyse de log

Messagede bay » 14 Oct 2007, 18:05

:( bonsoir, de passage chez une belle soeur , je constate pas mal de problèmes , et communique le log
Logfile of HijackThis v1.99.1
Scan saved at 19:02:12, on 14/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\Gothic.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\GSICON.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\etmttohaspn.exe
C:\WINDOWS\System32\ksomik\th7yax.exe
C:\WINDOWS\System32\mmdmm.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\GetWaylayer32.exe
C:\Program Files\Symantic\kiss.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\thd.exe
C:\WINDOWS\System32\wing32.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\WINDOWS\System32\LVComsX.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\wuauclt.exe
H:\manip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [Windows Service Svc] etmttohaspn.exe
O4 - HKLM\..\Run: [kiss] C:\Program Files\Symantic\pingy.exe
O4 - HKLM\..\Run: [Intec Service Drivers] C:\WINDOWS\System32\wing32.exe
O4 - HKLM\..\Run: [HOT FIX] Gothic.exe
O4 - HKLM\..\Run: [Critical Error Safe32] C:\WINDOWS\System32\GetWaylayer32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SECRETSERVICE] C:\WINDOWS\System32\ksomik\th7yax.exe
O4 - HKLM\..\Run: [mmsass] mmdmm.exe
O4 - HKLM\..\Run: [johkjh] C:\WINDOWS\System32\thd.exe
O4 - HKLM\..\Run: [MicroSoft sys3s1] h4ckn3t.exe
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOCUME~1\XP\LOCALS~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail
O4 - HKLM\..\RunServices: [Windows Service Svc] etmttohaspn.exe
O4 - HKLM\..\RunServices: [HOT FIX] Gothic.exe
O4 - HKLM\..\RunServices: [mmsass] mmdmm.exe
O4 - HKLM\..\RunServices: [MicroSoft sys3s1] h4ckn3t.exe
O4 - HKLM\..\RunOnce: [HOT FIX] Gothic.exe
O4 - HKLM\..\RunOnce: [MicroSoft sys3s1] h4ckn3t.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows Service Svc] etmttohaspn.exe
O4 - HKCU\..\Run: [Intec Service Drivers] C:\WINDOWS\System32\wing32.exe
O4 - HKCU\..\Run: [HOT FIX] Gothic.exe
O4 - HKCU\..\Run: [Critical Error Safe32] C:\WINDOWS\System32\GetWaylayer32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [johkjh] C:\WINDOWS\System32\thd.exe
O4 - HKCU\..\Run: [MicroSoft sys3s1] h4ckn3t.exe
O4 - HKCU\..\RunOnce: [HOT FIX] Gothic.exe
O4 - HKCU\..\RunOnce: [MicroSoft sys3s1] h4ckn3t.exe
O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B875EA71-8952-4825-AC9A-ACFEB5ED3024}: NameServer = 195.238.2.21 195.238.2.22
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Merci pour vos commentaires .Cordialement , bay
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede bay » 14 Oct 2007, 18:16

SmitFraudFix v2.240

Rapport fait à 19:15:02,62, dim. 14/10/2007
Executé à partir de H:\manip\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\XP


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\XP\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\XP\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede bay » 14 Oct 2007, 18:19

[10/14/2007, 19:18:41] - VirtumundoBeGone v1.5 ( "H:\manip\VirtumundoBeGone.exe" )
[10/14/2007, 19:18:50] - Detected System Information:
[10/14/2007, 19:18:50] - Windows Version: 5.1.2600,
[10/14/2007, 19:18:50] - Current Username: XP (Admin)
[10/14/2007, 19:18:50] - Windows is in NORMAL mode.
[10/14/2007, 19:18:50] - Searching for Browser Helper Objects:
[10/14/2007, 19:18:50] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[10/14/2007, 19:18:50] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[10/14/2007, 19:18:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/14/2007, 19:18:50] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[10/14/2007, 19:18:50] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[10/14/2007, 19:18:50] - BHO 3: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[10/14/2007, 19:18:50] - Finished Searching Browser Helper Objects
[10/14/2007, 19:18:50] - Finishing up...
[10/14/2007, 19:18:50] - Nothing found! Exiting...
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede nickW » 14 Oct 2007, 22:33

Bonsoir bay,

Il y a des traces de BitDefender Free Edition
Est-ce voulu?


Une belle collection de nuisibles divers et variés!

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 5).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.



Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: Ccleaner
Télécharger et installer Ccleaner Basic dans un dossier spécifique, par exemple C:\ccleaner
http://www.ccleaner.com/download/builds

Attention!
Ccleaner Basic n'existe pas encore pour la nouvelle version 2.01.507
Il faut donc télécharger la version "Standard", mais refuser l'installation de la Barre d'outils Yahoo!

Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
*- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 3: AVG Anti-Spyware
Télécharger la version d'essai de AVG Anti-Spyware depuis http://www.ewido.net/en/download/
L'installer.

Lancer AVG Anti-Spyware.
Cliquer sur le menu Analyse.
Cliquer sur l'onglet Paramètres.
Dans Comment réagir?, cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse?, vérifier que toutes les cases sont cochées.
Dans Programmes potentiellement dangereux, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Ne pas générer automatiquement de rapport est coché.

Cliquer sur le menu Mise à jour.
Si nécessaire, dans la colonne Paramètres (à droite), saisir les paramètres du proxy.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant!


Étape 4: DiagHelp (de malekal)
Télécharger DiagHelp.zip depuis http://www.malekal.com/download/DiagHelp.zip
Enregistrer le fichier sur le Bureau.
Décompresser la totalité de l'archive téléchargée (clic droit sur le fichier DiagHelp.zip, puis choisir Extraire tout/ici).
Fermer toutes les applications, les connexions et les navigateurs.
Ouvrir le nouveau dossier DiagHelp ainsi créé sur le Bureau.
Faire un double clic sur go.cmd
Dans la fenêtre qui s'est ouverte, taper 1 et faire Entrée.
Attendre patiemment la fin de l'analyse (quelques minutes), sans rien faire d'autre.
Suivre les messages affichés à l'écran, et appuyer sur la touche Entrée lorsque cela est demandé (Note: appuyer sur Entrée après affichage de la ligne "hidden files: x").
En fin d'exécution (message Opération terminée), sur l'affichage du message "Appuyer sur une touche pour continuer...", faire Entrée.
L'ordinateur va peut-être redémarrer.
Une fenêtre du Bloc-notes s'ouvre, contenant le rapport.
Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Fermer le Bloc-notes.


Étape 5: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 6: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" ou "Scan"
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items", puis cliquer sur le bouton "Back".
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix checked:
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O4 - HKLM\..\Run: [Windows Service Svc] etmttohaspn.exe
O4 - HKLM\..\Run: [kiss] C:\Program Files\Symantic\pingy.exe
O4 - HKLM\..\Run: [Intec Service Drivers] C:\WINDOWS\System32\wing32.exe
O4 - HKLM\..\Run: [HOT FIX] Gothic.exe
O4 - HKLM\..\Run: [Critical Error Safe32] C:\WINDOWS\System32\GetWaylayer32.exe
O4 - HKLM\..\Run: [SECRETSERVICE] C:\WINDOWS\System32\ksomik\th7yax.exe
O4 - HKLM\..\Run: [mmsass] mmdmm.exe
O4 - HKLM\..\Run: [johkjh] C:\WINDOWS\System32\thd.exe
O4 - HKLM\..\Run: [MicroSoft sys3s1] h4ckn3t.exe
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOCUME~1\XP\LOCALS~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail
O4 - HKLM\..\RunServices: [Windows Service Svc] etmttohaspn.exe
O4 - HKLM\..\RunServices: [HOT FIX] Gothic.exe
O4 - HKLM\..\RunServices: [mmsass] mmdmm.exe
O4 - HKLM\..\RunServices: [MicroSoft sys3s1] h4ckn3t.exe
O4 - HKLM\..\RunOnce: [HOT FIX] Gothic.exe
O4 - HKLM\..\RunOnce: [MicroSoft sys3s1] h4ckn3t.exe
O4 - HKCU\..\Run: [Windows Service Svc] etmttohaspn.exe
O4 - HKCU\..\Run: [Intec Service Drivers] C:\WINDOWS\System32\wing32.exe
O4 - HKCU\..\Run: [HOT FIX] Gothic.exe
O4 - HKCU\..\Run: [Critical Error Safe32] C:\WINDOWS\System32\GetWaylayer32.exe
O4 - HKCU\..\Run: [johkjh] C:\WINDOWS\System32\thd.exe
O4 - HKCU\..\Run: [MicroSoft sys3s1] h4ckn3t.exe
O4 - HKCU\..\RunOnce: [HOT FIX] Gothic.exe
O4 - HKCU\..\RunOnce: [MicroSoft sys3s1] h4ckn3t.exe

Fermer HijackThis.


Étape 7: AVG Anti-Spyware
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse.
Cliquer sur Analyse complète du système.
IMPORTANT: Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.

A la fin de l'analyse, cliquer sur Appliquer toutes les actions
Ensuite, Sauver le rapport: Enregistrer le rapport d'analyse puis Enregistrer le rapport sous.
Fermer AVG Anti-Spyware.


Étape 8: Renommage
Note 1: certains éléments seront peut-être absents, les noter et les signaler en réponse, après la fin de l'ensemble des étapes
Note 2: une dizaine de jours après la désinfection, après avoir vérifié que tous tes programmes fonctionnent correctement, ces dossiers/fichiers ainsi renommés pourront être définitivement supprimés.

Renommer (clic droit sur le nom du dossier) les dossiers ci-dessous en ajoutant .non derrière leur nom:
C:\Program Files\Symantic (à renommer en Symantic.non)
C:\WINDOWS\System32\ksomik (à renommer en ksomik.non)
C:\Documents and Settings\XP\Local SettingsTemp\ImInstaller (à renommer en ImInstaller.non)

Renommer (clic droit sur le nom du fichier) les fichiers ci-dessous en ajoutant .non derrière leur extension:
C:\WINDOWS\System32\etmttohaspn.exe (à renommer en etmttohaspn.exe.non)
C:\WINDOWS\System32\wing32.exe (à renommer en wing32.exe.non)
C:\WINDOWS\System32\Gothic.exe (à renommer en Gothic.exe.non)
C:\WINDOWS\System32\GetWaylayer32.exe (à renommer en GetWaylayer32.exe.non)
C:\WINDOWS\System32\mmdmm.exe (à renommer en mmdmm.exe.non)
C:\WINDOWS\System32\thd.exe (à renommer en thd.exe.non)
C:\WINDOWS\System32\h4ckn3t.exe (à renommer en h4ckn3t.exe.non)


Étape 9: Nettoyage
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage". Fermer le programme.


Étape 10: Redémarrage
Redémarrer en mode normal.


Étape 11: HijackThis (de TrendMicro)
Télécharger HijackThis de TrendMicro depuis la page:
http://www.trendsecure.com/portal/en-US ... e=download
Cliquer sur le lien: Download HijackThis Installer
Enregistrer ce fichier sur le Bureau.

Fermer absolument toutes les applications, les connexions et les navigateurs.
Lancer l'installation par un double clic sur HJTInstall.exe
Si elle s'affiche, lire et accepter la licence (cliquer sur le bouton I Accept)
Cliquer sur le bouton "Do a system scan and save a logfile"
Attendre qu'une fenêtre du Bloc-notes s'ouvre.
Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer le fichier sous le nom HJT1.txt.
Fermer le Bloc-notes. Fermer HijackThis.


Étape 12: Résultats
Envoyer en réponse:
*- le log HijackThis (contenu du fichier HJT1.txt)
*- le rapport de AVG Anti-Spyware enregistré lors de l'étape 7
*- le résultat de DiagHelp (contenu du fichier C:\resultat.txt dans un ou deux messages, si le fichier est très long)

Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede bay » 15 Oct 2007, 18:11

Bonsoir nickW et merci , je prends bonne note et effectue la manip dimanche sans doute , en attendant je lui ai conseillé de ne plus se connecter . a+ ,
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede bay » 20 Oct 2007, 10:06

Bonjour, première étape remplacement du modem USB par un modem ethernet ( speedtouch 510 ) .
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede bay » 27 Oct 2007, 20:27

Bonsoir, c'est plutôt mal parti , je me retrouve avec un ecran bleu et
"autochk program not found - skipping AUTOCHECK"
et une solution à ce problème sur le site de Bellamy j'approfondis la question ,car pour l'instant je suis en CD live sur ce PC :twisted:

Disk /dev/sda: 41.1 GB, 41110142976 bytes
255 heads, 63 sectors/track, 4998 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x93ff93ff

Device Boot Start End Blocks Id System
/dev/sda1 * 1 4997 40138371 7 HPFS/NTFS

Disk /dev/sdb: 40.0 GB, 40020664320 bytes
255 heads, 63 sectors/track, 4865 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x27c127c0

Device Boot Start End Blocks Id System
/dev/sdb1 * 1 4584 36820948+ 7 HPFS/NTFS
/dev/sdb2 4585 4865 2257132+ f W95 Ext'd (LBA)
/dev/sdb5 4585 4865 2257101 b W95 FAT32
Le fichier "autochk.exe " est bien présent et je vérifie sa signature
dd5c31fa20c88a3344d8cff329bf63f0
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede bay » 28 Oct 2007, 12:13

/media/disk/Documents and Settings
/media/disk/Drivers
/media/disk/Program Files
/media/disk/RECYCLER
/media/disk/System Volume Information
/media/disk/WINDOWS
/media/disk/AUTOEXEC.BAT
/media/disk/boot.ini
/media/disk/bootex.log
/media/disk/Bootfont.bin
/media/disk/CONFIG.SYS
/media/disk/gdiplus.dll
/media/disk/IO.SYS
/media/disk/LogiSetup.log
/media/disk/MSDOS.SYS
/media/disk/NTDETECT.COM
/media/disk/ntldr
/media/disk/pagefile.sys
/media/disk/rapport.txt
/media/disk/sqmdata00.sqm
/media/disk/sqmdata01.sqm
/media/disk/sqmdata02.sqm
/media/disk/sqmnoopt00.sqm
/media/disk/sqmnoopt01.sqm
/media/disk/sqmnoopt02.sqm
/media/disk/vindoow.exe ??
Bonjour, voici ce que je trouve sur le PC avec ?
/media/disk/vindoow.exe exécutable DOS/Windows 452,5 Kio (463360 octets)
et aucune explications sur le web au sujet de ce " vindoow .exe " . :evil:
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Analyse de fichiers douteux

Messagede bay » 28 Oct 2007, 21:12

Fichier cult.exe reçu le 2007.10.28 21:03:12 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.27.0 2007.10.26 Win-Trojan/Killfiles.80896
AntiVir 7.6.0.30 2007.10.26 Worm/Rbot.80896.59
Authentium 4.93.8 2007.10.28 W32/Backdoor.AHIH
Avast 4.7.1074.0 2007.10.28 Win32:Trojan-gen {Other}
AVG 7.5.0.503 2007.10.28 -
BitDefender 7.2 2007.10.28 Win32.Worm.Rbot.AA
CAT-QuickHeal 9.00 2007.10.26 Backdoor.Rbot.cpb
ClamAV 0.91.2 2007.10.28 -
DrWeb 4.44.0.09170 2007.10.28 -
eSafe 7.0.15.0 2007.10.28 SuspiciousR-Mytob3
eTrust-Vet 31.2.5244 2007.10.26 Win32/VMalum.EBG
Ewido 4.0 2007.10.28 -
FileAdvisor 1 2007.10.28 High threat detected
Fortinet 3.11.0.0 2007.10.19 W32/RBot.600F!worm
F-Prot 4.3.2.48 2007.10.26 W32/Backdoor.AHIH
F-Secure 6.70.13030.0 2007.10.28 W32/KillFiles.HN.dropper
Ikarus T3.1.1.12 2007.10.28 Backdoor.Win32.IRCBot.az
Kaspersky 7.0.0.125 2007.10.28 -
McAfee 5150 2007.10.26 -
Microsoft 1.2908 2007.10.28 -
NOD32v2 2621 2007.10.28 -
Norman 5.80.02 2007.10.26 W32/KillFiles.HN.dropper
Panda 9.0.0.4 2007.10.28 Suspicious file
Prevx1 V2 2007.10.28 -
Rising 19.46.61.00 2007.10.28 Trojan.KillFiles.nf
Sophos 4.23.0 2007.10.28 PrcView
Sunbelt 2.2.907.0 2007.10.27 Trojan.Unclassified.gen
Symantec 10 2007.10.28 Trojan Horse
TheHacker 6.2.9.110 2007.10.27 W32/Behav-Heuristic-065
VBA32 3.12.2.4 2007.10.28 TR.Cleaner.A
VirusBuster 4.3.26:9 2007.10.28 Trojan.DR.KillFiles.HV
Information additionnelle
File size: 80896 bytes
MD5: be22483df3574de41a28b8021092739c
SHA1: 51b0d833db5db38357fc412bb340d4cd5626708a
Bit9 info: http://fileadvisor.bit9.com/services/ex ... 021092739c
packers: Molebox
Sunbelt info: Trojan.Unclassified.gen is a group of various malicious applications that have not been fully categorized. Detection has been added as Trojan.Unclassified.gen until such applications can be further classified.
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede bay » 28 Oct 2007, 21:18

Fichier kiss.exe reçu le 2007.10.28 21:14:59 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.27.0 2007.10.26 Win-Trojan/MircPack.1790464
AntiVir 7.6.0.30 2007.10.26 BDS/mIRC-1771008.A
Authentium 4.93.8 2007.10.28 is a security risk or a \"backdoor\" program
Avast 4.7.1074.0 2007.10.28 Win32:Trojan-gen {Other}
AVG 7.5.0.503 2007.10.28 -
BitDefender 7.2 2007.10.28 Win32.IRC.Kelebek
CAT-QuickHeal 9.00 2007.10.26 Client-IRC.mIRC.03 (Not a Virus)
ClamAV 0.91.2 2007.10.28 PUA.IRC-Client.mIRC-3
DrWeb 4.44.0.09170 2007.10.28 -
eSafe 7.0.15.0 2007.10.28 Win32.mIRC-based
eTrust-Vet 31.2.5244 2007.10.26 -
Ewido 4.0 2007.10.28 -
FileAdvisor 1 2007.10.28 High threat detected
Fortinet 3.11.0.0 2007.10.19 W32/MIRCBased!tr.bdr
F-Prot 4.3.2.48 2007.10.26 W32/Malware!3d3f
F-Secure 6.70.13030.0 2007.10.28 Backdoor.Win32.mIRC-based
Ikarus T3.1.1.12 2007.10.28 Backdoor.IRC.mIRC-based
Kaspersky 7.0.0.125 2007.10.28 Backdoor.Win32.mIRC-based
McAfee 5150 2007.10.26 Trojan mIRC Client
Microsoft 1.2908 2007.10.28 BrowserModifier:Win32/IGetNet
NOD32v2 2621 2007.10.28 -
Norman 5.80.02 2007.10.26 -
Panda 9.0.0.4 2007.10.28 -
Prevx1 V2 2007.10.28 -
Rising 19.46.61.00 2007.10.28 Worm.IRC.Win32.Not.a
Sophos 4.23.0 2007.10.28 Troj/IRCFlood-T
Sunbelt 2.2.907.0 2007.10.27 IGetNet
Symantec 10 2007.10.28 -
TheHacker 6.2.9.110 2007.10.27 Aplicacion/Riskware.mIRC.6.03
VBA32 3.12.2.4 2007.10.28 BackDoor.IRC.based
VirusBuster 4.3.26:9 2007.10.28 -
Webwasher-Gateway 6.6.1 2007.10.28 Trojan.mIRC-1771008.A

Information additionnelle
File size: 1771008 bytes
MD5: 8ec1dc41329c12c454595fbfd39f88c2
SHA1: 81aaa39802905c8b3ee132c978ddb3cc3f3db1b5
Bit9 info: http://fileadvisor.bit9.com/services/ex ... bfd39f88c2
Sunbelt info: IGetNet is a browser hijacker that is implemented as an Internet Explorer BHO. When you enter something into the address bar, IGetNet checks to see whether it includes keyword they have sold to one of their advertisers.
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 32 invités