contaminations multiples look2me, Azechearch et d'autres...

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

contaminations multiples look2me, Azechearch et d'autres...

Messagede Volga » 08 Juin 2005, 12:38

Bonjour à tous

J'avais eu l'occasion d'apprecier votre aide il y a quelques mois de ca. A l'époque je n'étais pas encore inscrite et j'étais passée en en tant qu'invitée sous le nom de Clara.

Voilà, cette fois je ne viens pas pour moi mais un ami que j'essaie d'aider. J'ai un peu de mal parce qu'il est très néophyte et je suis en contact par mails avec lui. C'est pour ca que je poste pour lui....
Ca me semble plus simple et plus rapide dans la mesure où de toute façon, il reviendra ensuite vers moi pour me demander des explications sur ce que vous pourriez en dire.

Donc il est infecté par tout un tas de bestioles. Avec entre autres, apparitions d'icones sur le bureau, fenetres popup...
Je lui ai recommandé entre autres d'effectuer la manip de Pierre.

Je vous laisse ci dessous les courriers echangés avec lui sur ce sujet (il est au courant) en ne changeant rien sinon mon Prénom que je remplace par mon pseudonyme de façon à ce que vous puissiez voir ce que je lui ai suggeré.
Je vous laisse aussi la copie du dernier log hijackthis qu'il m'a envoyé

Merci d'avance pour vos conseils.... Ca lui serait grandement utile :D . J'ai fait ce que j'ai pu mais je ne suis pas experte.

Ci-dessous, copie correspondance à ce sujet.... en esperant que ca ne sera pas trop long et ennuyeux à lire

Mails :

-----------------------------------------
Cyrrus à Volga :

rebonjour volga

je viens d'envoyer un lon message pour te donner réponse à tes questions.
mais mon message n'est pas passé (peut-être trop long)

bon, pour l'instant je trouve pas pour la restau du system ( faut dire que je suis sous wind2000).
je pense que sans la désactiver j'ai pas besoin de me lancer à la recherche d'un virus.
pour mes 2 virus:
1 c'était winntsystem32sxsgzm.exe et qui a disparu depuis ce matin.
l'autre c'est dans le dossier winntisrvssysupd.dll ( je retrouve dans ce dossier également 2 icones, virushunter et spywareavenger.
si j'ai pas pu supprimer le dossier était en fichier caché.

pour les icones sur le bureau un était un avion, les autres ? ne sais plus.
je t'envoie ça car j'ai l'intention que la message sera encore trop long
merci beaucoup à toi et bon appétit

-------------------------
Cyrrus à Volga :

salut volga
tu as pas trop chaud?
question:

pour ma part une remarque
il y a souvant une fenêtre
pop-under adverting - microsoft internet explorer
www4.paypopup.com/adsDirect.php?id= .....
qui s'ouvre chez moi.
mais la fenêtre est vide aucun contenu.
si ça peut te donner une indication.
j'ai encore fait des scans
mais pour ffisearch.exe pas moyen de supprimer même pas sous hijackthis.
bonne soirée à toi

--------------------



25 May 2005, 01:13:11 AM
Тема: scan

salut volga
j'ai encore une fois utilis. scan secuser.com et trouv. 4 virus.
les m.mes que j'avais trouv. la 1.re fois, dont 2 que je pouvais pas supprim..
les 2 autres que j'avais d.j. supprim. je les retrouve encore ce soir, que j'ai
de nouveau supprim..
par contre CWschredder me donne aucun de ces fichiers.
par contre j'ai trouv. hiden.dll et look2Me.
je te joint le fichier hijackthis que tu m'as demand..
j'esp.re que c'est bon.
merci de ta patience . mon .gard. on trouve pas des Volga tous les jours.
j'avais envoy. un message . peco mais il ne r.pond pas.......
je te souhaite bonne nuit
tu sais il y a pratiquement toujours les m.mes fen.tres de pup qui s'affichent.

------------

--------------------------

Volga à Cyrrus :

Coucou

Ben dis donc... Y'a du boulot!..:)

C'est un véritable élevage.... J'ai jamais vu ca...:))

Serieusement, comment t'es tu débrouillé pour attraper tout ca??

Tu dois vraiment etre mal protegé. Il faudra vraiment revoir ta protection. Et la renforcer beaucoup.

Qu'est ce que tu as déjà comme antivirus et comme pare feu? Parce qu'il faudra probablement que tu changes;

Ecoute, je vais te répondre tout à l'heure si je peux, sinon demain soir.

En attendant fais certaines choses s'il te plait, meme si c'est laborieux, mais il n'y a pas trop de choix :

Refaire un scan en ligne sur secuser.com (n'oublie pas de cocher la "auto clean")

http://www.secuser.com/outils/antivirus.htm

Flashget et MSN Plus, poubelle. Ils sont bourrés de saloperies.

Tu peux utiliser leechget à la place de flashget, qui le vaut largement. Ca se trouve tres facilement par google.
Et utiliser MSN standard.

Ensuite installer Mozilla ou Mozilla firefox et l'utilliser à la place d'internet explorer;.

Spyware blaster est bien mais est tres tres loin de suffire. Il ne sert qu'à arreter certaines bestioles en amont.

Commence par nettoyer fichiers temps, cookies, etc en utilisant system security suite (gratos) que tu trouves ici :

http://www.igorshpak.net/

Tu as tout expliqué en copies d'écran sur le site, c'est pas compliqué.

Telecharger reg seeker ici pour nettoyer un peu la base de registre ici :

http://www.hoverdesk.net/freeware.htm

(dans "tweaks", choisir langue francaise, executer "nettoyer le registre et ne supprimer QUE les entrées en VERT - surtout pas les autres.... Important.)

Telecharges Stinger, et execute le :

http://download.nai.com/products/mcafee ... -g-e-r.exe

Si tu ne l'as pas déjà fait, installe adaware se, spybot (tu les trouves avec google). Gratuits.

A squared (la version free) que tu trouveras ici :

http://www.emsisoft.net/fr/software/free/

Et fais un scan avec tout ca.

Et si possible pest patrol et spysweeper et the cleaner, mais ils ne sont pas gratuits ceux là.
Rien ne t'empeche de les utiliser au moins en shareware pour le moment à défaut. Le temps de faire au moins un scan.

Ensuite, tu vas sur cette page et tu fais exactement tout ce qu'ils disent :

http://assiste.com.free.fr/p/frameset/06_37.php

Je sais.... c'est chiant mais il n'y a pas 70 moyens. Il faut absolument que tu lises tout du début jusqu'à la fin, tout est expliqué en détail en défilant la page.
Ce sont toutes les instructions préliminaires à toute désinfection.

Et refais un log hijackthis en me le renvoyant.

Ne t'amuses pas à trifouiller la bdr ou à renomer des fichiers, ca foutra plus le bordel qu'autre chose.

Qu'est ce qu'il te dit exactement CWShredder lorsqu'il retrouve Look2me ?

Vouala!.... t'as de quoi t'occupper...

Je reviens te repondre pour le reste tout à l'heure si j'ai le temps ou demain soir.

Mais fais déjà tout ca avant tout, c'est indispensable.

A plus tard.
------------

Salut Cyrrus

Bon, pas eu le temps de tout voir ce soir, mais pour le moment je te laisse 2 ou 3 outils pour en supprimer une partie et je verrai ensuite pour le reste :

(mais après avoir fait la manip que je t'ai laissée hier)

Pour supprimer virtumonde :

telecharger et executer

http://securityresponse.symantec.com/av ... VundoB.exe


Pour look2me,

pest patrol et spybot normallement le suppriment.

version essai de pest patrol ici :

http://download.pestpatrol.com/downloads/French/

Si ca ne marche pas utilise ce log de desinstalle mais en dernier recours :

http://www.look2me.com/cgi-bin/UnInstaller


Pour supprimer ncase :

Il n'y a qu'une desinstallation manuelle que je te recopie là :

Dans ajout-suppression des programmes, rechercher et desinstaller :

* n-CASE
* Pad Lookups by n-CASE
* Interstitial Ad Delivery by n-CASE.

Ensuite :

* Ouvrir la base de registre (démarrer > exécuter > regedit)
* Chercher la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, Faire un click droit sur l'entrée "msbb" et click sur "supprimer". - Attention - ne pas supprimer toute la clé Run.
* Redémarrer.
* Effacer le répertoire 'nCase' qui se trouve dans le Program Files. Pour les anciennes versions de n-CASE, rechercher dans le répertoire System (un sous répertoire du répertoire Windows appelé 'System32' sous Windows NT, 2000 and XP, ou 'System' sous Windows 95, 98 et Me), et détruire msbb.exe.
* Détruire enfin les clés de registre
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb
HKEY_CURRENT_USER\Software\180solutions
* Pour détruire le contrôle ActiveX d'installation, si vous avez la nouvelle version nCase/Inst, ouvrez le répertoire "Downloaded Program Files", un sous-répertoire du répertoire Windows, faire un click droit sur 'nCaseInstaller Class' et choisir "supprimer".

Passe aussi ces outils là, qui ne seront peut etre pas inutiles :


http://securityresponse.symantec.com/av ... Istbar.exe

http://www.tools.zerosrealm.com/AboutBuster.zip

http://www.hsremove.com/hsremove.exe

http://www.trojaner-info.de/cgi-bin/dow ... le=sphjfix

Et fais un scan avec Trojan hunter :

http://www.misec.net/trojanhunter/


Bon courage, tiens moi déjà au courant pour ca. Et on voit ensuite pour le reste.

A plus ;)

----------------------

bonsoir Volga,
si je commence à te gonfler tu me dit.
suite des essais.
SW Shredder
toujours les 2 mêmes fichiers found Hidden.dll et Look2Me.
j'ai supprimé look2Me par panda mais toujours présent quand je scann SW Shredder. bizarre
Spyware Nuker, 29 found.
Panda active scan
infected 76, suspicious 2, desinfect 1.
je te joint le résumé. en gras les fichiers refus de supprimer.
les fichiers soulignés non trouvés.
joint également copie écran; advertising. affichage fenêtre vide, mais bizarre
j'ai tout supprimé fichier après fichier, et refait un scan avec spyware Nuker qui ne trouvait plus d'erreurs.
mais rien a changé, j'ai toujours ces fenêtres qui s'affichent.
j'ai aussi supprimé flashget et réinstallé la version 1.65 j'ai pas trouvé plus récent.
je me demande si mon spywaregard et spywareblaster sont encore eficace.
tu peux me proposer un log efficace? tu sais s'il faut l'acheter ça fait rien.
je vais rescanner demain pour voir si je retrouve des fichiers que j'ai supprimé aujourd'hui.
car j'ai retrouvé le fameux ffisearch.exe à un autre emplacement.
dans le dossier isrvs (comportant 6 fichiers il y avait 2 infectés). aujourd'hui les 4 autres étaient également donnés comme infectés. un seul je pouvais pas supprimer "mfiltis.dll". j'ai renommé le fichier mais pareil, peut pas supprimé. accès refusé.
voici mes dernières nouvelles.
je te souhaite de faire un grand dodo et fait pas comme moi, je commence à rêver de virus.

---------------------

bonsoir volga
je viens encore de recevoir à l'instant un retour de message qui n'a pas encore délivré.
je ne sais plus lequel, c'est celui que je venais d'envoyer juste avant que tu me donne ta nouvelle adresse.
enfin j'ai progressé, mais j'avais pas beaucoup de temps.
tu peux peut être me dire si tu a reçu mes messages du 2 et 4 juin.
j'ai suivi suivant ton message du 2 juin et j'ai pas pu tout faire.
je m'explique:
j'ai refait un scan de secuser.com
trouvé 7 fichiers dont 1 not accès, violation de partage. AGENT.ABS c:\winnt\system32\tgpemoru.exe

CWShredder, plus de fichiers infecté

MSM plus pas installé.
j'ai Mozilla firefox mais pas encore installé. Ca va me remplacer ma page wanadoo?

system securité suite
j'ai eu un noeud je ne sais pas trop faut que je reprends éventuellement. j'ai pas pu scanner.

regSeeker tweaks j'ai eu un sacré problème
pour nettoyer registre j'ai eu un problème en cours de scan j'ai eu les écrans noir plus rien avec un message en rapport avec ma carte graphique( assez long a expliquer.
j'ai laissé tomber.

Stinger
pas mal. j'ai trouvé 53 virus, trojans and variants. j'ai supprimé et refait un scan bon plus rien à signaler.

Spyware nuker voir fichier joint
found. registry 1
cookies 98
host files 10.
la copie d'écran "CEcran spyware7-06.bmp a été fait après avoir supprimé une 1ère fois les fichiers.

A squared scan contre infections pas des Malwares. voir fichier joint.
question:
dans A squared
- config gardien d'arrière plan, j'ai pas activé
pour le contrôle du système avec analyse tools, je peux pas accéder faut acheter.
je note que je me suis inscrit pour avoir un code.

En ce qui concerne les fenêtres Internet j'ai surtout "les emotion icons" qui s'affichent.
autrement ça peut aller. faut dire qu'une fenêtre peut s'ouvrir sans que je touche au PC.

si ça se complique trop laisse tomber, car tu en a déjà beaucoup fait pour moi.
dis moi comment me protéger au mieux
merci beaucoup et fait un grand dodo.

dernière réflexion: le fichier NAIL.exe revient tout le temps bien que supprimé.

-------------------

Copie log hijackthis du 7 juin :

Logfile of HijackThis v1.99.1
Scan saved at 19:28:37, on 07/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\WINNT\system32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\Tablet.exe
C:\Program Files\VIGUARD\SERVICE.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Roxio Shared\Project Selector\projselector.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\WINNT\system32\CTHELPER.EXE
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\Program Files\Micro Application\Anti-Spam\antispam.exe
C:\Program Files\VIGUARD\SDLOAD32.EXE
C:\Program Files\Spyware Nuker 2004\swn2.exe
C:\WINNT\system32\internat.exe
c:\winnt\system32\trvliaa.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Plextor\PlexTool.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINNT\explorer.exe
D:\dossier Volga\Log nettoyage PC\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O3 - Toolbar: AZE Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINNT\system32\azesearch3.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [projselector] "C:\Program Files\Fichiers communs\Roxio Shared\Project Selector\projselector.exe" -r
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Program Files\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Program Files\ScanSoft\PDFConverter 2.0 Professional\PDFConv\\RegistryController.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [AntiSpam] C:\Program Files\Micro Application\Anti-Spam\antispam.exe -TRAY
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [ViGUARD] "C:\Program Files\VIGUARD\SDLOAD32.EXE" /STARTUP
O4 - HKLM\..\Run: [Spyware Nuker] C:\Program Files\Spyware Nuker 2004\swn2.exe /h
O4 - HKLM\..\Run: [mjkvpqh] c:\winnt\system32\trvliaa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: PlexTools Professional.lnk = C:\Program Files\Plextor\PlexTool.exe
O8 - Extra context menu item: &Copy Location - C:\WINNT\WEB\graburl.htm
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Ouvrir le fichier PDF dans Word (PDF Converter 2.0) - res://C:\Program Files\ScanSoft\PDFConverter 2.0 Professional\PDFConv\IEShellExt.dll /300
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: (no name) - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINNT\system32\webzone.dll
O9 - Extra 'Tools' menuitem: Add to R&estricted Zone - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINNT\system32\webzone.dll
O9 - Extra button: (no name) - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINNT\system32\webzone.dll
O9 - Extra 'Tools' menuitem: Add to Tr&usted Zone - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINNT\system32\webzone.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Offline - {FC09D8A3-C85A-11d2-92D0-0000F87A4A55} - C:\WINNT\system32\oline.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll
O15 - Trusted Zone: *.laspirale.net
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15012/CTSUEng.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch3.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15012/CTPID.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe (file missing)
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\system32\Tablet.exe
O23 - Service: VIGUARD Service (VigService) - Unknown owner - C:\Program Files\VIGUARD\SERVICE.EXE

------------

Merci d'avoir pris le temps de lire....

Et merci d'avance de l'aide que vous pourrez apporter

:D
Volga
 
Messages: 14
Inscription: 03 Fév 2005, 20:20
Localisation: Region parisienne ou loin à l'Est

Messagede pierre » 08 Juin 2005, 14:34

Bonjour,

Je regarde. Retour dans 1/2 heure environ

A+
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28477
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 08 Juin 2005, 15:45

Bonsoir,

Attention :


Protocole préalable
Avant de faire les actions personnalisées indiquées sous le point 16, commencez par faire ceci :
(1 ou 2 opérations peuvent vous sembler inutiles dans votre cas particulier - ce n'est pas à vous d'en juger - exécutez l'intégralité de ce préalable).
  1. Si ce n'est déjà fait, désactivez les points de restauration du système
    Uniquement si votre système supporte cette fonctionnalité, c'est à dire si vous êtes sous Windows me ou XP.
    http://assiste.com.free.fr/p/comment/ac ... ration.php
  2. Si ce n'est déjà fait, réglez votre antivirus et votre anti-trojans au maximum
    http://assiste.com.free.fr/p/comment/an ... aximum.php
  3. Si ce n'est déjà fait, exécutez CWShredder
    Si vous ne l'avez pas déjà téléchargé, allez le chercher
    http://assiste.com.free.fr/p/internet_u ... redder.php
  4. Si ce n'est déjà fait, faites en sorte de tout voir
  5. Si ce n'est déjà fait, videz complètement tous les caches et fichiers temporaires.
    Le plus simple : utilisez CCleaner (gratuit)
    http://assiste.com.free.fr/p/internet_u ... leaner.php

    Si son utilisation est impossible actuellement, videz (effacez tout le contenu) à la main, en les localisant avec l'explorateur de Windows, les répertoires
    C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temporary Internet Files\
    C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temporary Internet Files\
    C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temp\
    C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temp\

    Videz les répertoires temporaires
    • Si vous êtes sous Windows 95/98/Me/XP, videz
      C:\Windows\Temp\
    • Si vous êtes sous Windows NT/2000, videz
      C:\Winnt\Temp\
  6. Si ce n'est déjà fait, détruisez tous les cookies inconnus ou inutiles
    Utilisez SpyBot Search & Destroy (gratuit)
    http://assiste.com.free.fr/p/internet_u ... estroy.php
  7. Si ce n'est déjà fait, videz la corbeille (y compris si elle est protégée par Norton)
    Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
  8. Si ce n'est déjà fait, fermez absolument toutes les fenêtres
    dont toutes les instances d'Internet Explorer et toutes les instances de l'explorateur de Windows, toutes les instances du bloc-note de Windows (NotePad) etc. ...
    Pour bien faire, vous devriez imprimer ceci et fermer cette instance de votre navigateur que vous êtes en train d'utiliser pour me lire. Ceci ne s'applique que si vous utilisez Internet Explorer - si vous lisez ceci avec Mozilla Suite ou Mozilla Firefox ou Opera, vous pourrez réouvrir votre navigateur après le point 10.
  9. Toujours en mode sans échec

    • Vous ne devez pas avoir le processus TeaTimer de SpyBot-S&D actif. S'il l'est, lancez Spybot-S&D > Mode > Mode avancé > Oui > Outils > Résident > Décocher la case devant "TeaTimer".
    • Vous ne devez pas avoir le processus Protection en Temps Réel (Real-Time Protection) de Microsoft AntiSpyware. Clic droit sur l'icône Microsoft AntiSpyware dans le "system tray" (les petits icônes près de l'horloge) > Security Agents status (Enabled) > Desable Real-Time Protection.
    • Vous ne devez pas avoir le processus SpywareGuard actif. Tuez-le. Comment tuer un processus ?
      http://assiste.com.free.fr/p/comment/tuer_processus.php
    • Vous ne devez pas avoir de processus de type contrôleurs d'intégrité actifs.
    • Etc. ...
  10. Exécutez votre antivirus, réglé au maximum
    Si vous avez un antivirus, utilisez-le, sinon téléchargez BitDefender Pro ou Kaspersky AVP maintenant.
    http://assiste.com.free.fr/p/internet_u ... ivirus.php
    http://assiste.com.free.fr/p/internet_u ... ivirus.php

    L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont analysés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Analysez et détruisez tous les fichiers contaminés trouvés. Les antivirus ne sont pas des anti-spywares (anti-trojans).
  11. Exécutez votre anti-spyware (anti-trojans), réglé au maximum.
    Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro ou Microsoft Antispywares maintenant.
    http://assiste.com.free.fr/p/internet_u ... patrol.php
    http://assiste.com.free.fr/p/internet_u ... res/a2.php
    http://assiste.com.free.fr/p/internet_u ... leaner.php
    http://assiste.com.free.fr/p/internet_u ... pyware.php

    L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum.
    Voir, également, le mode d'emploi de PestPatrol en français à
    http://assiste.com.free.fr/p/internet_u ... rol_v4.php
  12. Videz à nouveau la corbeille (y compris si elle est protégée par Norton)
    Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
    Pour prévenir le cas ou votre antivirus (ou votre anti-trojans) aurait mis quelque chose à la poubelle.
  13. Faites une sauvegarde de la base de registre
    http://assiste.com.free.fr/p/comment/sa ... gistre.php
  14. Si ce n'est déjà fait, installer HijackThis dans son répertoire
    http://assiste.com.free.fr/p/internet_u ... ckthis.php
    Par défaut, HijackThis va s'installer et s'exécuter depuis un dossier temporaire. Vous devez installer HijackThis dans un répertoire non temporaire et qui lui est réservé, hors des répertoires système. Pourquoi ? Parce que nous allons demander à HijackThis de faire des sauvegardes de nos manipulations. Si ces sauvegardes se trouvent dans un dossier temporaire, elles seront effacées.
  15. Paramétrez HijackThis
    Cliquez sur le bouton "Do a system scan only" (Faire un scan uniquement)
    Cliquez sur le bouton "Config..." (Configurer)
    Cocher la case "Make backups before fixing items"" (Faire des sauvegardes avant de corriger)
    Cliquez sur le bouton "Back" (retour arrière)
  16. Toujours en mode sans échec :


S'occuper du cas Nail
Localisez nailfix décompressé et faites un double clic sur nailfix.bat si vous êtes sous XP ou nailfix2k.bat si vous êtes sous Windows 2000. Votre bureau avec vos icônes vont disparaître un instant puis réapparaître et une fenêtre va s'ouvrir et se refermer instantanément : ceci est normal.
Faites une analyse complète avec Ewido, précédemment installé. Celui-ci va produire un journal (log) - postez-le dans ce fil de discussion, à la suite.

S'occuper du hijack des Winsocks
Exécutez LSPFix (déjà téléchargé)

Fixer, avec HijackThis, les lignes suivants (si elles existent encore)
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O3 - Toolbar: AZE Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINNT\system32\azesearch3.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [Spyware Nuker] C:\Program Files\Spyware Nuker 2004\swn2.exe /h
O4 - HKLM\..\Run: [mjkvpqh] c:\winnt\system32\trvliaa.exe
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch3.cab
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe (file missing)


Ainsi que ces lignes, inutiles :
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe (inutile s'il n'y a pas d'overcloaking)
O4 - HKLM\..\Run: [projselector] "C:\Program Files\Fichiers communs\Roxio Shared\Project Selector\projselector.exe" -r
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE (Vous faites du développement de plug-ins pour Creative ?)
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [msnappau] \"C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe\"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: (no name) - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINNT\system32\webzone.dll
O9 - Extra 'Tools' menuitem: Add to R&estricted Zone - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINNT\system32\webzone.dll
O9 - Extra button: (no name) - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINNT\system32\webzone.dll
O9 - Extra 'Tools' menuitem: Add to Tr&usted Zone - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINNT\system32\webzone.dll
O9 - Extra button: Offline - {FC09D8A3-C85A-11d2-92D0-0000F87A4A55} - C:\WINNT\system32\oline.dll



Renommer les fichiers suivants
- ... Rien à faire
Ces fichiers sont suspects. Les tester avec :
Ces 18 antivirus http://assiste.com.free.fr/p/antivirus_ ... ivirus.php
Ces 12 antivirus http://assiste.com.free.fr/p/antivirus_ ... usscan.php

Editer la base de registre
- ... Rien à faire

Remarque
- ... Néant

Fichier hosts
- ... Rien à faire

Domaines dans la zone de confiance d'IE
- ... Rien à faire

Redémarrer en mode normal
Pour l'instant, ne pas restaurer ce qui a été inhibé (surveillance temps réel de la base de registre, contrôleurs d'intégrité, points de restauration du système...). Nous restaurerons tout cela lorsque tout sera clean.

Répertoire(s) à détruire
- ... Aucun

Fichier(s) à détruire
C:\WINDOWS\UpdReg.EXE

Nettoyage final
Repassez un coup de CCleaner (déjà vu au point 5)
http://assiste.com.free.fr/p/internet_u ... leaner.php

Windows Update
Faire un Windows Update et installer tous les correctifs de failles de sécurité.

Redémarrer en mode normal

Nouveau log HijackThis
Refaire un log HijackThis et le poster à la suite (sans ouvrir un nouveau fil de discussion)

A l'avenir, suivre les recommandations d' http://assiste.com : en particulier, ne jamais utiliser Internet Explorer, interdire les contrôles activex, naviguer (bien mieux) avec Mozilla Firefox, tenir à jour les patchs de sécurité (deuxième mercredi de chaque mois) etc. ...

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28477
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede césar » 08 Juin 2005, 16:20

bonjour tous,

juste au passage :
bon, pour l'instant je trouve pas pour la restau du system ( faut dire que je suis sous wind2000).
je pense que sans la désactiver j'ai pas besoin de me lancer à la recherche d'un virus.
pour mes 2 virus:

il n'y a en effet pas de restauration système sous win2k, ton ami peut donc sauter cette étape.
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede Volga » 08 Juin 2005, 19:28

Merci à vous Cesar et Pierre (deux prénoms impériaux...)

Je crois que ca va lui etre très utile

Je lui transmets et je vous tiens au courant

A bientot
Volga
 
Messages: 14
Inscription: 03 Fév 2005, 20:20
Localisation: Region parisienne ou loin à l'Est

Messagede Volga » 10 Juin 2005, 08:24

Bonjour

Je vous transmets simplement un message de remerciements pour vous de la part de cet ami pour qui j'ai posté (que je nomme Cyrrus car c'est son pseudonyme mail).

--------------------

Date: 9 juin 2005 22:28

bonsoir volga,

Je viens d'acheter Bitdefender 8 pro qui intégre antivirus, parefeu et antispam et fera tout pour être protégé.

je vais prendre les logs indiqués et suivre les indications de Assist free.

je vais également m'occuper de HijackThis.
comme dit j'ai tout de suite désinstallé spyware nuker.

Où je suis déçu c'est avec viguard qui m'a été recommandé par la boite informatique où j'ai acheté mon PC.
je vais le remplacer par bitdefender.

Assist free indique sous 9. toujours en mode sans échec.
question: est ce que toutes ces manip sont à faire en mode sans échec?.

faut il aussi couper la liaison avec l'Internet?.

n'empêche c'est un sacré cirque. mais tout est clair.

je te tiens au courant de l'évolution. je vais te dire s'il me reste encore des fichiers sous C:

Tu peux leur remercier car ils sont vraiment super.
ils ont également bien expliqué le HijackThis.

Bien le bonjour à Pierre. après avoir fait toutes ces manip. j'aurais appris beaucoup de choses.

-------------

Je vous tiens au courant pour la suite

Et merci encore de votre aide précieuse.

Bonne journée à tous.
Volga
 
Messages: 14
Inscription: 03 Fév 2005, 20:20
Localisation: Region parisienne ou loin à l'Est

Messagede cleo » 14 Juin 2005, 17:01

bonjour tout le monde,
En vérité dans ce poste je me nomme cyrrus, mais en voulant envoyer le message
on me dit que ce nom d'utilisateur (cyrrus) est déjà pris
Etant l'ami de Volga je tiens à remercier de tout coeur de l'aide que vous avez bien voulu me témoigner, j'ai nommé Volga, une fille formidable dont il en existe que trop peu. Sa patience qu'elle a eu avec moi, qui suis nul et qui a beaucoup appris depuis.
Je remercie surtout pierre pour son résumé pour me résoudre mon problème de virus, que je n'ai eu aucune peine à comprendre tellement il sait bien expliquer les choses.
On a qu'a parcourir le site assiste.com, si bien fait et bien présenté. on trouve absolument tout.
j'ai déjà passé pas mal d'heures a lire les différentes sections.
S'est Volga qui m'a fait découvrir votre site et lui sait très reconnaissant.
je suis prêt à passer à executer les étapes décrites de pierre.
J'ai encore une question concernant l'achat des logiciels necessaires pour la meilleure des protection.
j'ai vu que vous mentionnez un pack qui englobe à pratiquement tous les logs. en affichant les liens des logs, il faut donner chaque fois mes coordonnées pour chaque log. vous faite le total que je dois payer et pas me retirer x fois le montant de chaque log?
je vous remercie encore une fois de tout coeur en espérant vous retrouver en d'autres circonstances.
cleo
 

Messagede ricouz » 14 Juin 2005, 19:47

Bonsoir à tous

Pierre, tu as invité une partie de ta famille dans le forum ? :Mouaaarrrrffffffff: :Mouaaarrrrffffffff: :Mouaaarrrrffffffff: :Mouaaarrrrffffffff: :wink:
Ricouz (Windows 10, Opera développeur, Norton, Malwarebytes
_________________
Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes.
ricouz
 
Messages: 570
Inscription: 05 Sep 2004, 20:42


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 30 invités

cron