Bonjour je vous soumets mon LOG

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Bonjour je vous soumets mon LOG

Messagede bonzillou » 07 Oct 2005, 10:09

Bonjour
je fréquente assiste .com depuis pas mal de temps et je vous adresse un grand bravo pour tout le travail effectué!
Jusqu'ici, grâce à vos conseils en ligne (la manip, passage sous Mozilla, ZA, SS&D, etc...) j'ai réussi à m'en sortir, et ma bécane marche plutôt bien. Comme mon fils va bientôt devoir surfer plus intensément (ah les devoirs!), je voudrais que ma procédure de démarrage soit plus propre, je vous soumets donc le LOG après passage de Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 10:59:38, on 07/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\recycler\mActiveX.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\SPEEDD~1\nopdb.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\PASCAL\Mes documents\drivers et logiciels\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\CxtPls\cxtpls.dll (file missing)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [REGRUN] C:\recycler\mActiveX.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\RunServices: [Windows Registry] winhost.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] C:\Program Files\Windows NT\hypertrm.exe
O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE
O4 - HKCU\..\Run: [Windows Registry] winhost.exe
O4 - HKCU\..\Run: [TASK SETUP] tasksetup.exe
O4 - HKCU\..\Run: [winservit] cassl.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Dynamic Dns Binary] dynitora.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKCU\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Startup: ST6UNST Uninstaller.LNK = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: YExplorer1_8US.CAB - http://photos.groups.yahoo.com/ocx/us/y ... r1_8us.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {297F2B65-017C-11D5-A128-00D0B7869AD6} - http://www.extrafilm.fr/import/spu.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4. ... egular.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex ... 0-3-24.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/08025d68aa1 ... 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 2944952717
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/install ... nstall.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} - http://www.mypixmania.com/tools/activex/fpu.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... _v1-32.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Keyboard Service System Files (Keyboard Service) - Unknown owner - C:\WINDOWS\System32\keyboard.exe (file missing)
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\SPEEDD~1\nopdb.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

merci d'avance pour l'analyse
Bonzi
bonzillou
 
Messages: 8
Inscription: 07 Oct 2005, 10:02

Messagede nickW » 07 Oct 2005, 12:53

Bonjour,

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 10).


Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/an ... aximum.php


Étape 3: Ccleaner
Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Dans l'onglet Nettoyeur-Applications, cocher:
Internet: Sun Java

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 4: ewido security suite
Télécharger la version d'essai de ewido security suite depuis http://www.ewido.net/en/download/
L'installer. Important: Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".
Lancer ewido security suite. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire).
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 5: DelDomains.inf
Faire un clic droit (bouton droit de la souris) sur le lien ci-dessous, et choisir "Enregistrer sous..."
L'enregistrer dans un endroit aisé à retrouver (par exemple directement sur le bureau ou dans C:\Program Files\DelDomains.inf)
http://www.mvps.org/winhelp2002/DelDomains.inf


Étape 6: Restauration système
Désactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


Étape 7: Désinstallation
Démarrer-->Paramètres-->Panneau de Configuration-->Ajout/Suppression de programmes
Rechercher et désinstaller (si trouvé) AM Server
Rechercher et désinstaller (si trouvé) POP
Rechercher et désinstaller (si trouvé) SysAI
Rechercher et désinstaller (si trouvé) CtxPls


Étape 8: DLLs
Désenregistrer une DLL, puis la renommer:

Démarrer--->Exécuter--->taper
regsvr32.exe /u C:\Program Files\CxtPls\cxtpls.dll
puis cliquer sur OK
Renommer le fichier C:\Program Files\CxtPls\cxtpls.dll en cxtpls.dll.non


Étape 9: Services
Arrêter un service:

Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à Keyboard Service System Files
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINDOWS\System32\keyboard.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK


Étape 10: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 11: HijackThis
Utiliser HijackThis pour supprimer les intrus.
Au préalable, vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items"
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked:

O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\CxtPls\cxtpls.dll (file missing)--->Trace du parasite AproposMedia
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll (file missing)--->Trace de l'adware YourSiteBar
O4 - HKLM\..\Run: [REGRUN] C:\recycler\mActiveX.exe--->Ajouté par une variante du ver RBOT
O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE--->Ajouté par le ver RBOT-YS
O4 - HKLM\..\RunServices: [Windows Registry] winhost.exe--->Ajouté par une variante du ver RBOT
O4 - HKLM\..\RunServices: [MS Unix Binary] C:\Program Files\Windows NT\hypertrm.exe--->Ajouté par une variante du ver RBOT
O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE--->Ajouté par le ver RBOT-YS
O4 - HKCU\..\Run: [Windows Registry] winhost.exe--->Ajouté par une variante du ver RBOT
O4 - HKCU\..\Run: [TASK SETUP] tasksetup.exe--->Ajouté par le ver RBOT-YR
O4 - HKCU\..\Run: [winservit] cassl.exe--->Ajouté par le ver RBOT.ASG
O4 - HKCU\..\Run: [Dynamic Dns Binary] dynitora.exe--->Ajouté par le ver RBOT-WT
O4 - HKCU\..\Run: [CT Control Settings] CTSVCCD.EXE--->Ajouté par le ver RBOT-YS
O4 - Startup: ST6UNST Uninstaller.LNK = ?
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4. ... egular.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/install ... nstall.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O23 - Service: Keyboard Service System Files (Keyboard Service) - Unknown owner - C:\WINDOWS\System32\keyboard.exe (file missing)--->Trace de RBOT


Étape 12: ewido security suite
Lancer ewido security suite et cliquer sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).
A la fin du scan, Sauver le rapport (Fichier--->Enregistrer sous...).


Étape 13: DelDomains.inf
Faire un clic droit (bouton droit de la souris) sur le fichier DelDomains.inf, et choisir "Installer"
Note: Ce "programme" va supprimer la totalité des sites de confiance d'Internet Explorer (puisque des intrus s'y sont glissés). Il faudra peut-être que tu resaisisses les sites qui sont pour toi de vrais sites de confiance.


Étape 14: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse

Renommer (clic droit sur le nom du dossier) les dossiers ci-dessous en ajoutant .non derrière leur nom:
C:\Program Files\CxtPls en CxtPls.non
C:\Program Files\YourSiteBar en YourSiteBar.non

Renommer (clic droit sur le nom du fichier) les fichiers ci-dessous en ajoutant .non derrière leur extension:
C:\WINDOWS\System32\CTSVCCD.EXE en CTSVCCD.EXE.non
C:\WINDOWS\System32\winhost.exe en winhost.exe.non
C:\WINDOWS\System32\tasksetup.exe en tasksetup.exe.non
C:\WINDOWS\System32\cassl.exe en cassl.exe.non
C:\WINDOWS\System32\dynitora.exe en dynitora.exe.non
C:\WINDOWS\System32\keyboard.exe en C:\WINDOWS\System32\keyboard.exe.non
C:\WINDOWS\System\winhost.exe en winhost.exe.non
C:\WINDOWS\System\dynitora.exe en dynitora.exe.non


Étape 15: Nettoyage
Vider le dossier C:\recycler
Exécuter l'antivirus, réglé au maximum.
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner.


Étape 16: Redémarrage
Redémarrer en mode normal, générer un nouveau log HijackThis et l'envoyer en réponse avec le rapport d'ewido.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Invité » 08 Oct 2005, 00:11

:shock: waouuuuuuuuuuuuh! j'ai eu l'impression d'entrer dans les entrailles de mon ordinateur!
Vos procédures sont tellement bien expliquées que j'avais l'impression de tout maitriser! bravo!

l'étape 8 ne s'est pas déroulée: "message d'erreur sur c:\"
étape 14: aucun fichier n'a pu être renommé dans la mesure où aucun n'était présent

voici le noueau rapport hijack après les procédures:
Logfile of HijackThis v1.99.1
Scan saved at 01:05:00, on 08/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\PROGRA~1\SPEEDD~1\nopdb.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\PASCAL\Mes documents\drivers et logiciels\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: YExplorer1_8US.CAB - http://photos.groups.yahoo.com/ocx/us/y ... r1_8us.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {297F2B65-017C-11D5-A128-00D0B7869AD6} - http://www.extrafilm.fr/import/spu.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} - http://tools.ebayimg.com/eps/wl/activex ... 0-3-24.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/08025d68aa1 ... 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 2944952717
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} - http://www.mypixmania.com/tools/activex/fpu.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... _v1-32.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\SPEEDD~1\nopdb.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

puis le rapport d'ewido:

---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 00:22:18, 08/10/2005
+ Somme de contrôle: E48707EC

+ Résultats du scan:

HKLM\SOFTWARE\AutoLoader -> Spyware.AproposMedia : Nettoyer et sauvegarder
HKLM\SOFTWARE\AutoLoader\ps5u1RWfaJXX -> Spyware.AproposMedia : Nettoyer et sauvegarder
HKLM\SOFTWARE\AutoLoader\ps5Y1RWfaJXX -> Spyware.AproposMedia : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\.s3d -> Spyware.BrilliantDigital : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{DC341F1B-EC77-47BE-8F58-96E83861CC5A} -> Spyware.HotBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{03B800F9-2536-4441-8CDA-2A3E6D15B4F8} -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{03B800F9-2536-4441-8CDA-2A3E6D15B4F8}\TypeLib\\ -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{DFBCC1EB-B149-487E-80C1-CC1562021542} -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{DFBCC1EB-B149-487E-80C1-CC1562021542}\TypeLib\\ -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{4EE12B71-AA5E-45EC-8666-2DB3AD3FDF44} -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Ysb.YsbObj -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Ysb.YsbObj\CLSID -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Ysb.YsbObj\CLSID\\ -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Ysb.YsbObj\CurVer -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Ysb.YsbObj.1 -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Ysb.YsbObj.1\CLSID\\ -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YourSiteBar -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\YourSiteBar -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\YourSiteBar\Historyfiles -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\YourSiteBar\Historysearch -> Spyware.ISTBar : Nettoyer et sauvegarder
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Nettoyer et sauvegarder
HKU\S-1-5-21-117609710-1580818891-1343024091-1003\Software\Apropos -> Spyware.AproposMedia : Nettoyer et sauvegarder
HKU\S-1-5-21-117609710-1580818891-1343024091-1003\Software\Apropos\Client -> Spyware.AproposMedia : Nettoyer et sauvegarder
HKU\S-1-5-21-117609710-1580818891-1343024091-1003\Software\Apropos\Client\Cookies -> Spyware.AproposMedia : Nettoyer et sauvegarder
HKU\S-1-5-21-117609710-1580818891-1343024091-1003\Software\Apropos\Client\Cookies\Data -> Spyware.AproposMedia : Nettoyer et sauvegarder
HKU\S-1-5-21-117609710-1580818891-1343024091-1003\Software\Apropos\Client\Cookies\Data\net -> Spyware.AproposMedia : Nettoyer et sauvegarder
HKU\S-1-5-21-117609710-1580818891-1343024091-1003\Software\Apropos\Client\Cookies\Data\net\contextplus -> Spyware.AproposMedia : Nettoyer et sauvegarder
HKU\S-1-5-21-117609710-1580818891-1343024091-1003\Software\Apropos\Client\Cookies\Data\net\contextplus\adchannel.contextplus.net/services/AdChannelServer -> Spyware.AproposMedia : Nettoyer et sauvegarder
HKU\S-1-5-21-117609710-1580818891-1343024091-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Nettoyer et sauvegarder
HKU\S-1-5-21-117609710-1580818891-1343024091-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{FAA356E4-D317-42A6-AB41-A3021C6E7D52} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKU\S-1-5-21-117609710-1580818891-1343024091-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{86227D9C-0EFE-4F8A-AA55-30386A3F5686} -> Spyware.YourSiteBar : Nettoyer et sauvegarder
HKU\S-1-5-21-117609710-1580818891-1343024091-1003\Software\Classes\CLSID\\ -> Spyware.AproposMedia : Nettoyer et sauvegarder
HKU\S-1-5-21-117609710-1580818891-1343024091-1003_Classes\CLSID\\ -> Spyware.AproposMedia : Erreur durant le nettoyage
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Erreur durant le nettoyage
:mozilla.16:C:\Documents and Settings\PASCAL\Application Data\Mozilla\Firefox\Profiles\3pkqf3mu.default\cookies.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
:mozilla.27:C:\Documents and Settings\PASCAL\Application Data\Mozilla\Firefox\Profiles\3pkqf3mu.default\cookies.txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder
C:\mt-uninstaller.exe -> Spyware.PurityScan.u : Nettoyer et sauvegarder
C:\RECYCLER\mActiveX.exe -> Heuristic.Win32.Morphine-Crypted : Nettoyer et sauvegarder
C:\WINDOWS\kan.reg -> Trojan.WinREG.LowZones.f : Nettoyer et sauvegarder
C:\WINDOWS\kansu.reg -> Trojan.WinREG.LowZones.f : Nettoyer et sauvegarder
C:\WINDOWS\kansy.reg -> Trojan.WinREG.LowZones.f : Nettoyer et sauvegarder
C:\WINDOWS\kany.reg -> Trojan.WinREG.LowZones.f : Nettoyer et sauvegarder
C:\WINDOWS\system32\19324_up.exe -> Worm.Sasser.A : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\058NU6JE\rebates[1].exe -> Spyware.WinAD : Nettoyer et sauvegarder
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\BIO1YIR7\bar2[2].exe -> Trojan.LowZones.c : Nettoyer et sauvegarder
C:\WINDOWS\system32\rebb.exe -> Spyware.WinAD : Nettoyer et sauvegarder


::Fin du rapport


c'est fou, j'ai l'impression que ma bécane respire déjà mieux :!: :!:
Invité
 

Messagede nickW » 08 Oct 2005, 10:18

Bonjour,

Il ne reste dans le log qu'une ligne "méchante".
Donc reprise d'une procédure un peu plus "musclée".
Note: je pars du principe que les paramétrages et installations de logiciels effectués précédemment sont toujours présents.


Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 4).


Étape 1: Stinger
Télécharger Stinger v2.5.8 depuis la page: http://vil.nai.com/vil/averttools.asp
Placer le fichier s_t_i_n_g_e_r.exe dans un dossier qui lui sera réservé, par exemple C:\Program Files\stinger


Étape 2: F-Bot
Télécharger l'utilitaire de désinfection de F-Secure: http://www.f-secure.com/tools/f-bot.zip
Décompresser l'archive dans un dossier spécifique, par exemple C:\Program Files\fbot


Étape 3: Restauration système
Désactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


Étape 4: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 5: Arrêt de processus
Arrêter un processus en cours.
Démarrer--->Exécuter
Taper taskmgr puis clic sur OK
Cliquer sur l'onglet Processus
Vérifier que la case devant Afficher les processus de tous les utilisateurs est cochée
Clic sur Nom de l'image pour avoir un classement alphabétique
Trouver ewidoctrl.exe et cliquer sur Terminer le processus


Étape 6: Stinger
Exécuter Stinger (double clic sur s_t_i_n_g_e_r.exe).
Noter le résultat.


Étape 7: F-Bot
Lancer F-Bot d'un double clic sur F-Bot.exe
Noter le résultat.


Étape 8: HijackThis
Utiliser HijackThis pour supprimer les intrus.
Au préalable, vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items"
Cocher la case située devant la ligne ci-dessous, puis cliquer sur Fix Checked:

O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE


Étape 9: ewido security suite
Lancer ewido security suite et cliquer sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).
A la fin du scan, Sauver le rapport (Fichier--->Enregistrer sous...).


Étape 10: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse

Renommer (clic droit sur le nom du fichier) le fichier ci-dessous en ajoutant .non derrière son extension:
C:\WINDOWS\System32\CTSVCCD.EXE en CTSVCCD.EXE.non

Rechercher puis renommer (clic droit sur le nom du fichier) toutes les occurences du fichier ci-dessous en ajoutant .non derrière leur extension:
CTSVCCD.EXE en CTSVCCD.EXE.non


Étape 11: Nettoyage
Exécuter l'antivirus, réglé au maximum.
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner.


Étape 12: Redémarrage
Redémarrer en mode normal, générer un nouveau log HijackThis et l'envoyer en réponse avec le rapport d'ewido.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 27 invités