[ok]Fenetres intempestives - demande d'analyse Hijackthis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[ok]Fenetres intempestives - demande d'analyse Hijackthis

Messagede deco92 » 26 Mai 2007, 14:51

Bonjour,

Moi aussi je suis victime d'ouverture de fenetre intempestives, sous IE et FF.
J'utilise Trend PC Cillin Internet Security 14, j'ai passé spy-bot qui a fait une partie du ménage, mais F-secure me confirme que je suis infectée, mais je ne sais pas comment l'enlever.

J'espère que vous pourrez m'aider.

Je vous joins donc le log de F-secure de HiJackThis :

F-secure :
05/23/07 23:27:11 [Info]: BlackLight Engine 1.0.61 initialized
05/23/07 23:27:11 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/23/07 23:27:12 [Note]: 7019 4
05/23/07 23:27:12 [Note]: 7005 0
05/23/07 23:27:14 [Note]: 7006 0
05/23/07 23:27:14 [Note]: 7011 1528
05/23/07 23:27:14 [Note]: 7026 0
05/23/07 23:27:15 [Note]: 7026 0
05/23/07 23:27:15 [Note]: 7024 3
05/23/07 23:27:15 [Info]: Hidden process: C:\WINDOWS\SYSTEM32\HOKUVO.EXE
05/23/07 23:27:17 [Note]: FSRAW library version 1.7.1021
05/23/07 23:31:48 [Info]: Hidden file: c:\WINDOWS\system32\hokuvo.dat
05/23/07 23:31:48 [Note]: 10002 1
05/23/07 23:31:48 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\HOKUVO.EXE
05/23/07 23:31:48 [Note]: 10002 1
05/23/07 23:31:49 [Info]: Hidden file: c:\WINDOWS\system32\hokuvo_nav.dat
05/23/07 23:31:49 [Note]: 10002 1
05/23/07 23:31:49 [Info]: Hidden file: c:\WINDOWS\system32\hokuvo_navps.dat
05/23/07 23:31:49 [Note]: 10002 1
05/23/07 23:32:53 [Note]: 2000 1012
05/23/07 23:32:53 [Note]: 2000 1012
05/23/07 23:35:46 [Note]: 7007 0

Log HiJackThis :
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:35:50, on 26/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\TRENDM~1\INTERN~3\PCCTLCOM.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~3\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~3\TMPROXY.EXE
C:\PROGRA~1\TRENDM~1\INTERN~3\TMPFW.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\Internet Security 14\pccguide.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAM FILES\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\LOGITECHDESKTOPMESSENGER.EXE
C:\PROGRAM FILES\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
C:\Program Files\palmOne\Hotsync.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\HiJackThis_v2\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Barre d'outils du menu Anti-fraude de Trend Micro - {06647158-359E-4D10-A8DE-E6145DA90BE9} - C:\PROGRA~1\TRENDM~1\INTERN~3\PccIeBar.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Barre d'outils du menu Anti-fraude de Trend Micro - {871F91FD-3A92-4988-A842-16AB2CFF5AF1} - C:\PROGRA~1\TRENDM~1\INTERN~3\PccIeBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 14\pccguide.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 7881129531
O18 - Protocol: bw+0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {EFCBB348-7E33-4940-92ED-83D8553771CF} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravure de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~3\PcCtlCom.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~3\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~3\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~3\tmproxy.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 20505 bytes


Merci beaucoup d'avance pour votre aide,

Deco92.
deco92
 
Messages: 5
Inscription: 26 Mai 2007, 14:41

Messagede nickW » 26 Mai 2007, 18:35

Bonsoir et Bienvenue,

Infection MagicControl!

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 5).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)


Étape 1: Ccleaner
Télécharger et installer Ccleaner Basic dans un dossier spécifique, par exemple C:\ccleaner
http://www.ccleaner.com/downloadbuilds.asp

Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si cela est possible, dans le menu Nettoyeur - onglet Applications, cocher:
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 2: AVG Anti-Spyware
Télécharger la version d'essai de AVG Anti-Spyware depuis http://www.ewido.net/en/download/
L'installer.

Lancer AVG Anti-Spyware.
Cliquer sur le menu Analyse.
Cliquer sur l'onglet Paramètres.
Dans Comment réagir?, cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse?, vérifier que toutes les cases sont cochées.
Dans Programmes potentiellement dangereux, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Générer un rapport après chaque analyse est coché.

Cliquer sur le menu Mise à jour.
Si nécessaire, dans la colonne Paramètres (à droite), saisir les paramètres du proxy.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant!


Étape 3: BFU (de Merijn)
Télécharger Brute Force Uninstaller (BFU).
http://www.merijn.org/files/bfu.zip
Décompresser l'archive dans un dossier qui lui sera réservé, par exemple C:\bfu
Télécharger le script de désinstallation EGDACCESS.bfu (de Metallica) (clic droit sur le lien ci-dessous):
http://metallica.geekstogo.com/EGDACCESS.bfu
Enregistrer ce fichier dans le dossier créé précédemment (C:\bfu).
Note: Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers".

Attention:
Le nom de ce dernier fichier doit être EGDACCESS.bfu
S'il se nomme EGDACCESS.bfu.txt, il faut le renommer.


Étape 4: Création du fichier aftermath.bfu
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Note: Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer le fichier dans le dossier C:\bfu sous le nom de aftermath.bfu
Attention: l'extension doit être .bfu , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous..".
Si l'extension est .bfu.txt, renommer le fichier en .bfu
Code: Tout sélectionner
RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\hokuvo
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hokuvo
RegDelValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run|hokuvo
FileDelete %SYSDIR%\hokuvo_navup.dat
FileDelete %SYSDIR%\hokuvo_navps.dat
FileDelete %SYSDIR%\hokuvo_navps.dat.*
FileDelete %SYSDIR%\hokuvo_nav.dat
FileDelete %SYSDIR%\hokuvo_nav.dat.*
FileDelete %SYSDIR%\hokuvo.dat
FileDelete %SYSDIR%\hokuvo.dat.*
FileDelete %SYSDIR%\hokuvo.exe
FileDelete %SYSDIR%\hokuvo.exe.*
FileDelete %WINDIR%\PREFETCH\hokuvo.exe*.pf
FileDelete %SYSDIR%\hokuvo_m2s.xml
FileDelete %WINDIR%\hokuvo.exe-*.pf

SystemEmptyTempFolder
SystemEmptyRecycleBin

FileDelete C:\egd20.txt
FileDelete C:\egd21.txt
SystemRun regedit|/e C:\egd20.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0
SystemRun regedit|/e C:\egd21.txt "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0




Étape 5: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 6: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" (ou "Scanner seulement" en vf)
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items" (ou "Proteger les objets avt de fixer" en vf), puis cliquer sur le bouton "Back" (ou "Ret" en vf).
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix checked (ou Fixer objet en vf):

O18 - cocher toutes les lignes O18


Étape 7: BFU, EGDACCESS
Lancer Brute Force Uninstaller par un double clic sur BFU.exe
A droite de la zone "Scriptfile to execute" cliquer sur l'icône jaune représentant un dossier ouvert.
Dans la fenêtre qui s'ouvre, faire un double clic sur EGDACCESS.bfu
Cocher la case située devant "Show log after script ends"
Cliquer sur Execute.
Attendre que Complete script execution apparaîsse et cliquer sur OK.
Cliquer sur Exit pour fermer le programme.


Étape 8: BFU, aftermath
Lancer Brute Force Uninstaller par un double clic sur BFU.exe
A droite de la zone "Scriptfile to execute" cliquer sur l'icône jaune représentant un dossier ouvert.
Dans la fenêtre qui s'ouvre, faire un double clic sur aftermath.bfu
Cocher la case située devant "Show log after script ends"
Cliquer sur Execute.
Attendre que Complete script execution apparaîsse et cliquer sur OK.
Cliquer sur Exit pour fermer le programme.


Étape 9: Certificats
Démarrer---->Paramètres---->Panneau de configuration---->Options Internet
Onglet Contenu
Dans le paragraphe Certificats, cliquer sur le bouton Certificats...
Si dans les onglets "Personnel" et "Éditeurs approuvés" se trouvent
electronic-group ou egroup ou Montorgueil ou VIP ou Sunny Day Design Ltd
il faut supprimer ces éléments.


Étape 10: AVG Anti-Spyware
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse.
Cliquer sur Analyse complète du système.
IMPORTANT: Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.

A la fin de l'analyse, cliquer sur Appliquer toutes les actions
Ensuite Sauver le rapport: Enregistrer le rapport d'analyse puis Enregistrer le rapport sous.
Fermer AVG Anti-Spyware.


Étape 11: Redémarrage
Redémarrer en mode normal.


Étape 12: BlackLight (de F-Secure)
Double-cliquer sur le fichier fsbl.exe et accepter la licence (cocher le bouton devant "I accept the agreement").
Cliquer sur Next puis sur Scan
Attendre (jusqu'à 10 mn).
Pendant le scan, il y a affichage de la liste des dossiers balayés.

En fin d'exécution, le résultat s'affiche.
Cliquer sur Close
NE PAS choisir l'option 2 "Cleaning/Rename" maintenant: il faut analyser le rapport!


Étape 13: Résultats
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de AVG Anti-Spyware (dans le dossier Reports, lui-même sous-dossier du dossier d'installation de AVG Anti-Spyware)
*- le nouveau rapport de BlackLight (contenu du nouveau fichier fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres) créé sur le Bureau).
*- les rapports de BFU (contenu des fichiers C:\egd.txt, C:\egd20.txt et C:\egd21.txt)

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede deco92 » 29 Mai 2007, 20:07

Bonjour,

Merci pour votre longue réponse. Compte tenu du temps qu'il va me falloir pour faire toutes les manips, je pense que je vais attendre ce WE pour le faire...
Je vous tiens au courant.

Cordialement,
Deco92.
deco92
 
Messages: 5
Inscription: 26 Mai 2007, 14:41

Resultat des manips

Messagede deco92 » 18 Juin 2007, 20:37

Bonjour,

J'ai fait toutes les manips et j'ai l'impression que ça a marché, je n'ai plus de pub intempestives qui s'est ouverte pour l'instant.
En regardant les logs de F-secure, j'ai quand même l'impression d'avoir encore une infection (hrsonuy.exe).
J'attends votre avis et vos conseils pour la suite.
Merci pour tout !

Voici les différents logs :

egd.txt
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"ATIPTA"="\"C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"RemoteControl"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"zBrowser Launcher"="C:\\Program Files\\Logitech\\iTouch\\iTouch.exe"
"Logitech Utility"="Logi_MwX.Exe"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"pccguide.exe"="\"C:\\Program Files\\Trend Micro\\Internet Security 14\\pccguide.exe\""
"hrsonuy"="c:\\windows\\system32\\hrsonuy.exe hrsonuy"
"WD Button Manager"="WDBtnMgr.exe"
"!AVG Anti-Spyware"="\"C:\\PROGRAM FILES\\GRISOFT\\AVG ANTI-SPYWARE 7.5\\AVGAS.EXE\" /minimized"
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"




egd20.txt


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"ATIPTA"="\"C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"RemoteControl"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"zBrowser Launcher"="C:\\Program Files\\Logitech\\iTouch\\iTouch.exe"
"Logitech Utility"="Logi_MwX.Exe"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"pccguide.exe"="\"C:\\Program Files\\Trend Micro\\Internet Security 14\\pccguide.exe\""
"hrsonuy"="c:\\windows\\system32\\hrsonuy.exe hrsonuy"
"WD Button Manager"="WDBtnMgr.exe"
"!AVG Anti-Spyware"="\"C:\\PROGRAM FILES\\GRISOFT\\AVG ANTI-SPYWARE 7.5\\AVGAS.EXE\" /minimized"
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

egd21.txt
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

AVG
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 23:16:30 17/06/2007

+ Résultat de l'analyse:



Rien à signaler.



Fin du rapport

BlackLight
06/17/07 23:21:44 [Info]: BlackLight Engine 1.0.61 initialized
06/17/07 23:21:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/17/07 23:21:45 [Note]: 7019 4
06/17/07 23:21:45 [Note]: 7005 0
06/17/07 23:21:50 [Note]: 7006 0
06/17/07 23:21:50 [Note]: 7011 1568
06/17/07 23:21:50 [Note]: 7026 0
06/17/07 23:21:50 [Note]: 7026 0
06/17/07 23:21:50 [Note]: 7024 3
06/17/07 23:21:50 [Info]: Hidden process: C:\windows\system32\hrsonuy.exe
06/17/07 23:21:54 [Note]: FSRAW library version 1.7.1021
06/17/07 23:27:33 [Info]: Hidden file: c:\WINDOWS\system32\hrsonuy.dat
06/17/07 23:27:33 [Note]: 10002 1
06/17/07 23:27:33 [Info]: Hidden file: C:\windows\system32\hrsonuy.exe
06/17/07 23:27:33 [Note]: 10002 1
06/17/07 23:27:34 [Info]: Hidden file: c:\WINDOWS\system32\hrsonuy_navps.dat
06/17/07 23:27:34 [Note]: 10002 1
06/17/07 23:36:54 [Note]: 7007 0


HiJackThis

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:39:08, on 17/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\TRENDM~1\INTERN~3\PCCTLCOM.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~3\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~3\TMPROXY.EXE
C:\PROGRA~1\TRENDM~1\INTERN~3\TMPFW.EXE
C:\PROGRA~1\TRENDM~1\INTERN~3\PccGuide.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\PROGRAM FILES\GRISOFT\AVG ANTI-SPYWARE 7.5\AVGAS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAM FILES\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\LOGITECHDESKTOPMESSENGER.EXE
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
C:\Program Files\palmOne\Hotsync.exe
C:\PROGRAM FILES\GOOGLE\GOOGLE UPDATER\GOOGLEUPDATER.EXE
C:\Program Files\My Book\WD Backup\uBBMonitor.exe
C:\Program Files\HiJackThis_v2\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Barre d'outils du menu Anti-fraude de Trend Micro - {06647158-359E-4D10-A8DE-E6145DA90BE9} - C:\PROGRA~1\TRENDM~1\INTERN~3\PccIeBar.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Barre d'outils du menu Anti-fraude de Trend Micro - {871F91FD-3A92-4988-A842-16AB2CFF5AF1} - C:\PROGRA~1\TRENDM~1\INTERN~3\PccIeBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 14\pccguide.exe"
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\PROGRAM FILES\GRISOFT\AVG ANTI-SPYWARE 7.5\AVGAS.EXE" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WD Backup Monitor.lnk = C:\Program Files\My Book\WD Backup\uBBMonitor.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 7881129531
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravure de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~3\PcCtlCom.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~3\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~3\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~3\tmproxy.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 9593 bytes
deco92
 
Messages: 5
Inscription: 26 Mai 2007, 14:41

Messagede nickW » 18 Juin 2007, 23:40

Bonsoir,

Il faut recommencer une partie de la procédure:


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 3).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)


Étape 1: Ccleaner
Lancer le programme.
Dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 2: Création du fichier aftermath.bfu

Supprimer le fichier aftermath.bfu qui se trouve dans le dossier C:\bfu

Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Note: Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer le fichier dans le dossier C:\bfu sous le nom de aftermath.bfu
Attention: l'extension doit être .bfu , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous..".
Si l'extension est .bfu.txt, renommer le fichier en .bfu
Code: Tout sélectionner
RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\hrsonuy
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hrsonuy
RegDelValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run|hrsonuy
FileDelete %SYSDIR%\hrsonuy_navup.dat
FileDelete %SYSDIR%\hrsonuy_navps.dat
FileDelete %SYSDIR%\hrsonuy_navps.dat.*
FileDelete %SYSDIR%\hrsonuy_nav.dat
FileDelete %SYSDIR%\hrsonuy_nav.dat.*
FileDelete %SYSDIR%\hrsonuy.dat
FileDelete %SYSDIR%\hrsonuy.dat.*
FileDelete %SYSDIR%\hrsonuy.exe
FileDelete %SYSDIR%\hrsonuy.exe.*
FileDelete %WINDIR%\PREFETCH\hrsonuy.exe*.pf
FileDelete %SYSDIR%\hrsonuy_m2s.xml
FileDelete %WINDIR%\hrsonuy.exe-*.pf

SystemEmptyTempFolder
SystemEmptyRecycleBin

FileDelete C:\egd20.txt
FileDelete C:\egd21.txt
FileDelete C:\egd20a.txt
FileDelete C:\egd21a.txt
SystemRun regedit|/e C:\egd20a.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0
SystemRun regedit|/e C:\egd21a.txt "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0




Étape 3: Mode sans échec
Redémarrer en mode sans échec.
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 4: BFU, EGDACCESS
Lancer Brute Force Uninstaller par un double clic sur BFU.exe
A droite de la zone "Scriptfile to execute" cliquer sur l'icône jaune représentant un dossier ouvert.
Dans la fenêtre qui s'ouvre, faire un double clic sur EGDACCESS.bfu
Cocher la case située devant "Show log after script ends"
Cliquer sur Execute.
Attendre que Complete script execution apparaîsse et cliquer sur OK.
Cliquer sur Exit pour fermer le programme.


Étape 5: BFU, aftermath
Lancer Brute Force Uninstaller par un double clic sur BFU.exe
A droite de la zone "Scriptfile to execute" cliquer sur l'icône jaune représentant un dossier ouvert.
Dans la fenêtre qui s'ouvre, faire un double clic sur aftermath.bfu
Cocher la case située devant "Show log after script ends"
Cliquer sur Execute.
Attendre que Complete script execution apparaîsse et cliquer sur OK.
Cliquer sur Exit pour fermer le programme.


Étape 6: Certificats
Démarrer---->Paramètres---->Panneau de configuration---->Options Internet
Onglet Contenu
Dans le paragraphe Certificats, cliquer sur le bouton Certificats...
Si dans les onglets "Personnel" et "Éditeurs approuvés" se trouvent
electronic-group ou egroup ou Montorgueil ou VIP ou Sunny Day Design Ltd
il faut supprimer ces éléments.


Étape 7: Redémarrage
Redémarrer en mode normal.


Étape 8: BlackLight (de F-Secure)
Double-cliquer sur le fichier fsbl.exe et accepter la licence (cocher le bouton devant "I accept the agreement").
Cliquer sur Next puis sur Scan
Attendre (jusqu'à 10 mn).
Pendant le scan, il y a affichage de la liste des dossiers balayés.

En fin d'exécution, le résultat s'affiche.
Cliquer sur Close
NE PAS choisir l'option 2 "Cleaning/Rename" maintenant: il faut analyser le rapport!


Étape 9: Résultats
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le nouveau rapport de BlackLight (contenu du nouveau fichier fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres) créé sur le Bureau).
*- les rapports de BFU (contenu des fichiers C:\egd.txt, C:\egd20a.txt et C:\egd21a.txt)

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

suite procédure

Messagede deco92 » 19 Juin 2007, 21:22

Bonsoir,
Merci pour vos nouveaux conseils. J'ai refait la procédure que vous m'avez envoyée, en voici les résultats.
Je n'ai pas constaté d'ouverture de pub intempestives, mais je vois qu'il y a toujours une reference a hrsonuy dans le log egd...
Merci d'avance pour la suite.

Log F-Secure
06/19/07 20:42:19 [Info]: BlackLight Engine 1.0.61 initialized
06/19/07 20:42:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/19/07 20:42:21 [Note]: 7019 4
06/19/07 20:42:21 [Note]: 7005 0
06/19/07 20:42:43 [Note]: 7006 0
06/19/07 20:42:43 [Note]: 7011 1544
06/19/07 20:42:43 [Note]: 7026 0
06/19/07 20:42:43 [Note]: 7026 0
06/19/07 20:42:48 [Note]: FSRAW library version 1.7.1021
06/19/07 20:48:58 [Note]: 2000 1012
06/19/07 20:53:56 [Note]: 7007 0

Log HiJackThis
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:55:00, on 19/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\TRENDM~1\INTERN~3\PCCTLCOM.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~3\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~3\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~3\TMPFW.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\TRENDM~1\INTERN~3\PccGuide.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\PROGRAM FILES\GRISOFT\AVG ANTI-SPYWARE 7.5\AVGAS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAM FILES\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\LOGITECHDESKTOPMESSENGER.EXE
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
C:\Program Files\palmOne\Hotsync.exe
C:\PROGRAM FILES\GOOGLE\GOOGLE UPDATER\GOOGLEUPDATER.EXE
C:\Program Files\My Book\WD Backup\uBBMonitor.exe
C:\Program Files\HiJackThis_v2\HiJackThis_v2.exe

egd.txt
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"ATIPTA"="\"C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"RemoteControl"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"zBrowser Launcher"="C:\\Program Files\\Logitech\\iTouch\\iTouch.exe"
"Logitech Utility"="Logi_MwX.Exe"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"pccguide.exe"="\"C:\\Program Files\\Trend Micro\\Internet Security 14\\pccguide.exe\""
"hrsonuy"="c:\\windows\\system32\\hrsonuy.exe hrsonuy"
"WD Button Manager"="WDBtnMgr.exe"
"!AVG Anti-Spyware"="\"C:\\PROGRAM FILES\\GRISOFT\\AVG ANTI-SPYWARE 7.5\\AVGAS.EXE\" /minimized"
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

egd20a
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"ATIPTA"="\"C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"RemoteControl"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"zBrowser Launcher"="C:\\Program Files\\Logitech\\iTouch\\iTouch.exe"
"Logitech Utility"="Logi_MwX.Exe"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"pccguide.exe"="\"C:\\Program Files\\Trend Micro\\Internet Security 14\\pccguide.exe\""
"WD Button Manager"="WDBtnMgr.exe"
"!AVG Anti-Spyware"="\"C:\\PROGRAM FILES\\GRISOFT\\AVG ANTI-SPYWARE 7.5\\AVGAS.EXE\" /minimized"
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

egd21a

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"LDM"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"
"Spamihilator"="\"C:\\Program Files\\Spamihilator\\spamihilator.exe\""
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
deco92
 
Messages: 5
Inscription: 26 Mai 2007, 14:41

Messagede nickW » 19 Juin 2007, 22:57

Bonsoir,

Le fichier egd.txt contient une liste d'une clé du Registre ... avant la manip!

L'important est que le malveillant ne se trouve plus dans les fichiers egd20 et egd21 (ou egd20a et egd21a) qui listent cette clé ... après la manip.


Les logs sont "propres". :wink:


Si le PC ne présente plus de symptômes d'infection, voici quelques conseils supplémentaires à appliquer:


Un conseil important:
Il faut créer un nouveau point de restauration système.
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
http://assiste.com.free.fr/p/comment/co ... ation.html


Un conseil important:
Installer la nouvelle version de Java de Sun.
Puis en désinstaller toutes les versions obsolètes dont les failles sont utilisées par les "malveillants".
Page d'Assiste: http://assiste.com.free.fr/p/abc/c/anti_java.html

Version actuelle: Java Runtime Environment (JRE) 6u1
*- http://www.java.com/fr/download/windows_xpi.jsp
*- http://java.sun.com/javase/downloads/index.jsp (prendre le fichier jre-6u1-windows-i586.exe, 13.16 MB)


Un conseil:
Lire Quel comportement devez-vous adopter en tout temps?
Lire les Recommandations du "kit de sécurité", et en appliquer les mesures préventives.


Un conseil:
Utiliser Ccleaner régulièrement.
Par exemple, prendre l'habitude de le lancer systématiquement avant d'éteindre le PC, ou une fois par jour.


Un conseil:
La version d'essai de AVG Anti-Spyware reste utilisable sans limitation de durée, mais avec deux restrictions:
*- pas de surveillance en temps réel,
*- pas de mise à jour automatique en ligne.
Tu peux donc choisir de le laisser installé, et de l'utiliser de temps en temps (pour faire du "nettoyage") en faisant une mise à jour manuelle avant d'exécuter le balayage.


Un conseil:
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Version téléchargeable (clic droit sur le lien): http://assiste.com.free.fr/ftp/Startups-vf.chm
Sont dans ce cas:

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe--->mise à jour automatique: mieux vaut la faire soi-même, à condition d'y penser
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe--->lire attentivement la liste de Pacman
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe--->mise à jour automatique: mieux vaut la faire soi-même
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe--->mise à jour automatique: mieux vaut la faire soi-même
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE--->un véritable dévoreur de ressources, inutile

Si tu décides de les désactiver, tu peux utiliser la méthode "msconfig" ou installer Autoruns.
http://assiste.com.free.fr/p/abc/c/anti ... rrage.html
Une autre solution est de vérifier dans le programme s'il n'existe pas une option de lancement automatique au démarrage de Windows que l'on peut désactiver.


Un conseil:
Il est possible de supprimer BFU (fichier téléchargé bfu.zip, dossier d'installation C:\bfu, et fichiers rapports C:\egd.txt, C:\egd20.txt et C:\egd21.txt).
Il est possible de supprimer BlackLight (fichier téléchargé fsbl.exe et fichiers rapports fsbl.xxxxxxx.log).


Voilì, voilò, voilà.

Salut,

PS: Une bonne habitude à prendre:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Merci

Messagede deco92 » 27 Juin 2007, 20:41

Merci beaucoup pour votre assistance, vous m'avez vraiment beaucoup aidée, c'est super sympa.
Je vais faire le "ménage" comme vous me le conseillez.

Encore merci pour tout. :)
deco92
 
Messages: 5
Inscription: 26 Mai 2007, 14:41


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 27 invités

cron