CiD

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

CiD

Messagede wam34 » 04 Sep 2008, 17:59

Help... j'ai beau faire.. je m'en sort pas.. toujours ces Sa...ie de machin qui apparaissent.
voila mon log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:45:21, on 04/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Belkin\Bluetooth Software\BTTray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [frag chic dead aim] C:\Documents and Settings\All Users\Application Data\Iso sign frag chic\Trust Cake.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{31F2D32D-788C-477D-92A4-48F9BD579A57}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{31F2D32D-788C-477D-92A4-48F9BD579A57}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{31F2D32D-788C-477D-92A4-48F9BD579A57}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CS3\Services\Tcpip\..\{31F2D32D-788C-477D-92A4-48F9BD579A57}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6120 bytes


Merci de votre aide.
wam34
 
Messages: 4
Inscription: 04 Sep 2008, 17:53

Messagede nickW » 04 Sep 2008, 23:45

Bonsoir,

Peux-tu faire ceci:

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.



Étape 1: Lop S&D (de Angeldark et Eric71)
Télécharger Lop S&D via un clic droit sur le lien: http://eric.71.mespages.googlepages.com/LopSD.exe
Enregistrer ce fichier sur le Bureau.


Étape 2: Désactivation des programmes de sécurité résidents
Désactiver les programmes de protection résidents ( Antivirus , Anti-Spyware, Surveillance du Registre ... ).
Image AVG: ouvrir AVG Control Center, double clic sur "AVG Resident Shield", décocher "Turn on AVG Resident Shield"


Étape 3: Lop S&D (de Angeldark et Eric71), Recherche
Faire un double clic sur LopSD.exe pour lancer l'exécution de l'outil.

Choisir la langue en tapant F puis en appuyant sur Entrée.
Lire l'avertissement, puis cliquer sur OK.

Après l'affichage du menu, taper 1 puis faire Entrée pour rechercher les fichiers responsables de l'infection.
Lorsque la recherche est terminée, une fenêtre du Bloc-notes s'ouvre et affiche le rapport (alias log).

Fermer le Bloc-notes, ce qui termine l'exécution de l'outil.

Note:
Si le Bureau ne réapparaît pas, ouvrir le Gestionnaire des tâches en utilisant simultanément les touches CTRL+ALT+SUPP.
Cliquer en haut sur le Menu Fichier et choisir Nouvelle tâche (Exécuter...).
Dans la nouvelle fenêtre Créer une nouvelle tâche qui s'est ouverte, dans la zone Ouvrir, taper exactement explorer puis cliquer sur le bouton OK. Le Bureau va réapparaître.


Étape 4: Réactivation des programmes de sécurité résidents
Réactiver les programmes de protection résidents ( Antivirus , Anti-Spyware, Surveillance du Registre ... ).


Étape 5: Résultats
Envoyer en réponse:
*- le rapport de Lop S&D (contenu du fichier SystemDrive\lopR.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede wam34 » 05 Sep 2008, 06:36

Voici le log de Lop S&D

--------------------\\ Lop S&D 4.2.4-0 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2400+ )
BIOS : Version 07.00T
USER : Pascal ( Administrator )
BOOT : Normal boot
Antivirus : AVG Anti-Virus Free 8.0 (Activated)

"C:\Lop SD" ( MAJ : 04-09-2008|09:55 )
Option : [1] ( 05/09/2008| 7:27 )

--------------------\\ Listing des dossiers dans APPLIC~1

[03/04/2008|09:22] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[02/04/2008|22:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Ahead
[07/08/2008|10:38] C:\DOCUME~1\ALLUSE~1\APPLIC~1\avg8
[25/04/2008|22:43] C:\DOCUME~1\ALLUSE~1\APPLIC~1\AVS4YOU
[10/04/2008|18:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Azureus
[19/04/2008|10:38] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
[08/05/2008|10:45] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Grisoft
[02/09/2008|09:06] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Iso sign frag chic
[04/04/2008|09:02] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Logishrd
[04/04/2008|08:55] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Logitech
[28/06/2008|14:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ma-config.com
[31/03/2008|08:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier
[30/03/2008|09:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[29/03/2008|15:48] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MSN6
[15/06/2008|18:31] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Nero
[31/03/2008|11:31] C:\DOCUME~1\ALLUSE~1\APPLIC~1\NVIDIA
[31/08/2008|16:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SiComponents
[21/06/2008|12:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[20/04/2008|09:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SUPERAntiSpyware.com
[04/05/2008|16:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
[30/03/2008|09:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[30/03/2008|10:07] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

[28/03/2008|16:22] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[11/07/2008|22:32] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[26/04/2008|15:02] C:\DOCUME~1\Magaly\APPLIC~1\Adobe
[31/08/2008|15:07] C:\DOCUME~1\Magaly\APPLIC~1\AVS4YOU
[06/08/2008|16:31] C:\DOCUME~1\Magaly\APPLIC~1\Azureus
[13/04/2008|10:46] C:\DOCUME~1\Magaly\APPLIC~1\DAEMON Tools
[04/09/2008|13:00] C:\DOCUME~1\Magaly\APPLIC~1\fastplatformreal
[01/05/2008|19:39] C:\DOCUME~1\Magaly\APPLIC~1\Google
[08/05/2008|12:38] C:\DOCUME~1\Magaly\APPLIC~1\Grisoft
[28/03/2008|19:13] C:\DOCUME~1\Magaly\APPLIC~1\Identities
[29/03/2008|15:31] C:\DOCUME~1\Magaly\APPLIC~1\Macromedia
[01/09/2008|18:01] C:\DOCUME~1\Magaly\APPLIC~1\Microsoft
[01/09/2008|22:12] C:\DOCUME~1\Magaly\APPLIC~1\mIRC
[27/08/2008|08:51] C:\DOCUME~1\Magaly\APPLIC~1\Mozilla
[29/03/2008|15:48] C:\DOCUME~1\Magaly\APPLIC~1\MSN6
[15/06/2008|12:08] C:\DOCUME~1\Magaly\APPLIC~1\Nero
[27/08/2008|19:27] C:\DOCUME~1\Magaly\APPLIC~1\OpenOffice.org2
[08/08/2008|22:32] C:\DOCUME~1\Magaly\APPLIC~1\Real
[30/03/2008|12:19] C:\DOCUME~1\Magaly\APPLIC~1\Sun
[20/06/2008|22:41] C:\DOCUME~1\Magaly\APPLIC~1\SUPERAntiSpyware.com
[04/08/2008|13:47] C:\DOCUME~1\Magaly\APPLIC~1\vlc

[11/07/2008|22:32] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

[30/04/2008|14:57] C:\DOCUME~1\Pascal\APPLIC~1\Adobe
[25/04/2008|22:43] C:\DOCUME~1\Pascal\APPLIC~1\AVS4YOU
[31/08/2008|18:44] C:\DOCUME~1\Pascal\APPLIC~1\Azureus
[09/04/2008|11:48] C:\DOCUME~1\Pascal\APPLIC~1\CyberLink
[19/04/2008|10:34] C:\DOCUME~1\Pascal\APPLIC~1\DAEMON Tools
[04/08/2008|10:44] C:\DOCUME~1\Pascal\APPLIC~1\fastplatformreal
[29/03/2008|15:13] C:\DOCUME~1\Pascal\APPLIC~1\Google
[04/05/2008|16:54] C:\DOCUME~1\Pascal\APPLIC~1\Help
[28/03/2008|16:28] C:\DOCUME~1\Pascal\APPLIC~1\Identities
[28/03/2008|20:12] C:\DOCUME~1\Pascal\APPLIC~1\Macromedia
[30/03/2008|09:53] C:\DOCUME~1\Pascal\APPLIC~1\Microsoft
[27/08/2008|08:40] C:\DOCUME~1\Pascal\APPLIC~1\Mozilla
[15/06/2008|11:41] C:\DOCUME~1\Pascal\APPLIC~1\Nero
[02/09/2008|21:48] C:\DOCUME~1\Pascal\APPLIC~1\OpenOffice.org2
[08/08/2008|14:26] C:\DOCUME~1\Pascal\APPLIC~1\Real
[12/07/2008|14:15] C:\DOCUME~1\Pascal\APPLIC~1\Samsung
[03/04/2008|08:44] C:\DOCUME~1\Pascal\APPLIC~1\Sun
[20/04/2008|09:17] C:\DOCUME~1\Pascal\APPLIC~1\SUPERAntiSpyware.com
[03/04/2008|10:51] C:\DOCUME~1\Pascal\APPLIC~1\SystemRequirementsLab
[15/07/2008|10:42] C:\DOCUME~1\Pascal\APPLIC~1\vlc
[25/05/2008|09:59] C:\DOCUME~1\Pascal\APPLIC~1\yoclient

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[04/09/2008 21:00][--ah-----] C:\WINDOWS\tasks\AC53A548918C57EC.job
[05/09/2008 07:13][--ah-----] C:\WINDOWS\tasks\SA.DAT
[28/09/2001 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

( AC53A548918C57EC.job )=( c:\docume~1\magaly\applic~1\fastpl~1\drawinsideway.exe )

--------------------\\ Listing des dossiers dans C:\Program Files

[22/04/2008|22:37] C:\Program Files\Abcc Free DVD to AVI MPEG WMV MP4 MOV FLV Ripper
[13/08/2008|07:48] C:\Program Files\Adobe
[19/04/2008|06:32] C:\Program Files\adslTV
[28/06/2008|14:23] C:\Program Files\Ahead
[30/03/2008|11:26] C:\Program Files\AIDA32 - Personal System Information
[29/03/2008|14:54] C:\Program Files\Alwil Software
[11/07/2008|22:33] C:\Program Files\AVG
[31/08/2008|15:42] C:\Program Files\AVS4YOU
[08/07/2008|07:31] C:\Program Files\Azureus
[22/04/2008|13:26] C:\Program Files\Belkin
[20/04/2008|08:59] C:\Program Files\CCleaner
[12/07/2008|15:16] C:\Program Files\CDex_150
[27/08/2008|15:59] C:\Program Files\Common Files
[28/03/2008|16:19] C:\Program Files\ComPlus Applications
[25/04/2008|21:05] C:\Program Files\ConvertMovie 5.0
[19/04/2008|10:43] C:\Program Files\DAEMON Tools Lite
[17/06/2008|11:02] C:\Program Files\Dofus
[31/08/2008|16:23] C:\Program Files\DVDVIDEOSOFT
[13/04/2008|10:56] C:\Program Files\EA GAMES
[07/08/2008|19:52] C:\Program Files\Elcomsoft
[28/07/2008|14:33] C:\Program Files\eMule
[02/09/2008|09:05] C:\Program Files\fastplatformreal
[31/08/2008|14:52] C:\Program Files\ffdshow
[31/08/2008|16:23] C:\Program Files\Fichiers communs
[02/04/2008|11:14] C:\Program Files\FileZilla
[27/04/2008|13:50] C:\Program Files\Free Audio Pack
[25/04/2008|20:58] C:\Program Files\Free Easy Burner
[12/07/2008|07:58] C:\Program Files\Google
[27/08/2008|15:23] C:\Program Files\Gpotato.eu
[28/08/2008|22:14] C:\Program Files\InstallShield Installation Information
[13/08/2008|07:49] C:\Program Files\Internet Explorer
[28/03/2008|19:23] C:\Program Files\Inventel
[11/07/2008|22:44] C:\Program Files\Java
[04/04/2008|08:55] C:\Program Files\Logitech
[09/07/2008|07:49] C:\Program Files\Lopxp
[28/06/2008|14:36] C:\Program Files\ma-config.com
[13/08/2008|07:52] C:\Program Files\Messenger
[12/07/2008|07:53] C:\Program Files\Messenger Plus! 3
[05/04/2008|08:25] C:\Program Files\Microsoft CAPICOM 2.1.0.2
[28/03/2008|16:22] C:\Program Files\microsoft frontpage
[01/09/2008|22:08] C:\Program Files\mIRC
[25/04/2008|21:05] C:\Program Files\MOVAVI
[12/07/2008|10:11] C:\Program Files\Movie Maker
[05/09/2008|07:23] C:\Program Files\Mozilla Firefox
[26/04/2008|15:03] C:\Program Files\MP3 Player Utilities 3.57
[28/03/2008|16:18] C:\Program Files\MSN
[28/03/2008|16:18] C:\Program Files\MSN Gaming Zone
[26/04/2008|13:34] C:\Program Files\MSXML 4.0
[15/06/2008|11:36] C:\Program Files\Nero
[12/07/2008|10:06] C:\Program Files\NetMeeting
[12/07/2008|08:28] C:\Program Files\OpenOffice.org 2.4
[12/07/2008|10:20] C:\Program Files\Outlook Express
[07/08/2008|19:56] C:\Program Files\Passware
[23/06/2008|07:28] C:\Program Files\Razer
[08/08/2008|14:23] C:\Program Files\Real
[04/04/2008|09:10] C:\Program Files\Realtek AC97
[12/07/2008|13:55] C:\Program Files\Samsung
[28/03/2008|19:39] C:\Program Files\Securitoo
[28/03/2008|16:18] C:\Program Files\Services en ligne
[20/04/2008|10:12] C:\Program Files\Spybot - Search & Destroy
[20/04/2008|09:17] C:\Program Files\SUPERAntiSpyware
[03/04/2008|10:51] C:\Program Files\SystemRequirementsLab
[19/04/2008|06:29] C:\Program Files\ToniArts
[16/04/2008|19:08] C:\Program Files\Trend Micro
[28/03/2008|16:28] C:\Program Files\Uninstall Information
[15/07/2008|10:38] C:\Program Files\VideoLAN
[22/06/2008|16:43] C:\Program Files\VirtualDub
[29/03/2008|12:54] C:\Program Files\Wanadoo
[30/03/2008|10:08] C:\Program Files\Windows Live
[11/06/2008|17:41] C:\Program Files\Windows Media Connect 2
[12/07/2008|10:05] C:\Program Files\Windows Media Player
[12/07/2008|10:05] C:\Program Files\Windows NT
[30/03/2008|08:59] C:\Program Files\WindowsUpdate
[28/03/2008|16:22] C:\Program Files\xerox

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[03/04/2008|09:21] C:\Program Files\Fichiers communs\Adobe
[28/06/2008|14:19] C:\Program Files\Fichiers communs\Ahead
[31/08/2008|15:42] C:\Program Files\Fichiers communs\AVSMedia
[31/08/2008|16:23] C:\Program Files\Fichiers communs\DVDVIDEOSOFT
[04/04/2008|09:02] C:\Program Files\Fichiers communs\InstallShield
[30/03/2008|12:17] C:\Program Files\Fichiers communs\Java
[04/04/2008|08:58] C:\Program Files\Fichiers communs\LogiShrd
[09/04/2008|11:45] C:\Program Files\Fichiers communs\Microsoft Shared
[28/03/2008|16:19] C:\Program Files\Fichiers communs\MSSoap
[15/06/2008|21:49] C:\Program Files\Fichiers communs\Nero
[28/03/2008|16:10] C:\Program Files\Fichiers communs\ODBC
[08/08/2008|14:23] C:\Program Files\Fichiers communs\Real
[28/03/2008|16:20] C:\Program Files\Fichiers communs\Services
[28/03/2008|16:10] C:\Program Files\Fichiers communs\SpeechEngines
[12/07/2008|10:05] C:\Program Files\Fichiers communs\System
[30/03/2008|10:07] C:\Program Files\Fichiers communs\WindowsLiveInstaller
[20/04/2008|09:17] C:\Program Files\Fichiers communs\Wise Installation Wizard
[08/08/2008|14:24] C:\Program Files\Fichiers communs\xing shared

--------------------\\ Process

( 42 Processes )

IEXPLORE.EXE ~ [PID:3072]
IEXPLORE.EXE ~ [PID:3604]
IEXPLORE.EXE ~ [PID:3316]

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

C:\DOCUME~1\Magaly\APPLIC~1\fastpl~1
C:\DOCUME~1\Magaly\APPLIC~1\fastpl~1\achoqzqw.exe
C:\DOCUME~1\Magaly\APPLIC~1\fastpl~1\nffiejpx.exe
C:\DOCUME~1\Magaly\APPLIC~1\fastpl~1\npihlxji.exe
C:\DOCUME~1\Magaly\APPLIC~1\fastpl~1\qczekvts.exe
C:\DOCUME~1\Magaly\APPLIC~1\fastpl~1\qtqzzyyy.exe
C:\DOCUME~1\Magaly\APPLIC~1\fastpl~1\SlowUpRoamDale.exe
C:\DOCUME~1\Magaly\APPLIC~1\fastpl~1\tsgetkys.exe
C:\DOCUME~1\Magaly\APPLIC~1\fastpl~1\Web Gram.exe
C:\DOCUME~1\Pascal\APPLIC~1\fastpl~1
C:\Program Files\fastpl~1
C:\DOCUME~1\Pascal\Cookies\pascal@torrentqc[2].txt
C:\DOCUME~1\Pascal\Cookies\pascal@cotedazurpalace[2].txt
C:\DOCUME~1\Pascal\Cookies\pascal@adopt.euroclick[2].txt
C:\DOCUME~1\Pascal\Cookies\pascal@partypoker[2].txt
C:\DOCUME~1\Pascal\Cookies\pascal@32vegas[2].txt
C:\DOCUME~1\Pascal\Cookies\pascal@2xmoinscher[1].txt
C:\DOCUME~1\Pascal\Cookies\pascal@www.2xmoinscher[2].txt
C:\WINDOWS\Tasks\AC53A548918C57EC.job

--------------------\\ Verification du Registre

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts MODIFIE

127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 www.drivecleaner.com ## added by CiD
127.0.0.1 www.errorprotector.com ## added by CiD
127.0.0.1 www.errorsafe.com ## added by CiD
127.0.0.1 www.systemdoctor.com ## added by CiD
127.0.0.1 www.utils.winfixer.com ## added by CiD
127.0.0.1 www.win-anti-virus-pro.com ## added by CiD
127.0.0.1 www.win-virus-pro.com ## added by CiD
127.0.0.1 www.winantispam.com ## added by CiD
127.0.0.1 www.winantispy.com ## added by CiD
127.0.0.1 www.winantispyware.com ## added by CiD
127.0.0.1 www.winantivirus.com ## added by CiD
127.0.0.1 www.winantiviruspro.com ## added by CiD
127.0.0.1 www.windrivecleaner.com ## added by CiD
127.0.0.1 www.windrivesafe.com ## added by CiD
127.0.0.1 www.winfixer.com ## added by CiD
127.0.0.1 www.winfixer2006.com ## added by CiD
127.0.0.1 www.winsoftware.com ## added by CiD

-> 8068 [ 70 ## added by CiD ]

--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-05 07:30:30
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\Pascal\Application Data\yoclient\rsrc\bundles\tiles\outdoors\structures\bundle\jettyedge_crack.raw


[F:165][D:68]-> C:\DOCUME~1\Pascal\LOCALS~1\Temp
[F:116][D:0]-> C:\DOCUME~1\Pascal\Cookies
[F:4820][D:9]-> C:\DOCUME~1\Pascal\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 05/09/2008| 7:32 - Option : [1]

--------------------\\ Fin du rapport a 7:32:25
wam34
 
Messages: 4
Inscription: 04 Sep 2008, 17:53

Messagede nickW » 05 Sep 2008, 13:53

Bonjour,

Azureus + eMule + aucune gestion des cookies + un crack ====> un PC infecté! :twisted:


Nettoyage:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet, et des redémarrages sont possibles).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: Ccleaner
Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
*- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 2: Création du fichier remlopjob.bat
Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C
Code: Tout sélectionner
%systemdrive%
cd %SystemDrive%\WINDOWS\Tasks
attrib -r -s -h AC53A548918C57EC.job
del AC53A548918C57EC.job


Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom de remlopjob.bat
Attention: l'extension doit être .bat , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .bat.txt, renommer le fichier en .bat


Étape 3: OTMoveIt2 (de OldTimer)
Télécharger OTMoveIt2 via un clic droit sur le lien ci-dessous:
http://download.bleepingcomputer.com/ol ... oveIt2.exe
Enregistrer le fichier sur le Bureau.

Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C
Code: Tout sélectionner
EmptyTemp
C:\Documents and Settings\All Users\Application Data\Iso sign frag chic
C:\Program Files\fastplatformreal
C:\Documents and Settings\Magaly\Application Data\fastplatformreal
C:\Documents and Settings\Pascal\Application Data\fastplatformreal

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\frag chic dead aim

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\dns-look-up.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\www.dns-look-up.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\searchweb2.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\mysearchnow.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\www.mysearchnow.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\www.searchweb2.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\lop.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\www.lop.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\searchbee.net
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\www.searchbee.net
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\netsearchsoft.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\www.netsearchsoft.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\netbios-wait.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\www.netbios-wait.com



Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTfichiers.txt
Fermer le Bloc-notes.
Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur: wam34.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 4: HostsXpert (de FunkyToad)
Télécharger HostsXpert.zip depuis la page: http://www.funkytoad.com/content/view/13/31/
(cliquer sur Click Here to download HostsXpert)
Enregistrer le fichier sur le Bureau.
Décompresser la totalité de l'archive HostsXpert.zip (sous XP: clic droit, puis Extraire tout).

Dans l'Explorateur, ouvrir le dossier HostsXpert qui vient d'être créé sur le Bureau.

Faire un double clic sur HostsXpert.exe pour lancer le programme.

*- Dans la colonne de gauche, sous "File Handling", vérifier que le premier bouton affiche "Make ReadOnly?", comme ceci:
Image
Si ce premier bouton affiche "Make Writable?", cliquer une fois dessus de façon à ce qu'il affiche "Make ReadOnly?"

*- Dans la colonne de gauche, cliquer sur le bouton "Restore MS Hosts File"
Image
Dans la petite fenêtre intitulée "Confirm", cliquer sur OK

*- Dans la colonne de gauche, cliquer sur le premier bouton de façon à ce qu'il affiche "Make Writable?", comme ceci:
Image

*- Fermer HostsXpert.


Étape 5: Utilisation du fichier remlopjob.bat
Faire un double clic sur remlopjob.bat (une petite fenêtre à fond noir va apparaître puis disparaître très rapidement).


Étape 6: OTMoveIt2 (de OldTimer)
Faire un double clic sur OTMoveIt2.exe pour lancer l'outil.
Ouvrir le fichier OTfichiers.txt dans le Bloc-notes.
En sélectionner toutes les lignes puis appuyer simultanément sur les touches Ctrl et C

Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la fenêtre située sur la gauche nommée "Paste List Of Files/Folders to Move" Image et choisir Coller.

Cliquer sur le bouton MoveIt! Image
Attendre la fin du travail de l'outil puis fermer OTMoveIt2.
Note: Un redémarrage est parfois nécessaire. S'il est demandé, cliquer sur Oui/Yes


Étape 7: Résultats
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de OTMoveIt2 (contenu du fichier Lecteur\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
[Lecteur représente la partition depuis laquelle OTMoveIt2 a été lancé, généralement C:]

Dans ta réponse, n'oublie pas de donner le plus d'informations possible sur l'état du PC: amélioration / disparition / aggravation des symptômes d'infection.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede wam34 » 05 Sep 2008, 20:30

Merci pour ces infos..
Alors voici le log suite aux manips indiquées


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:41, on 05/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Belkin\Bluetooth Software\BTTray.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{31F2D32D-788C-477D-92A4-48F9BD579A57}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{31F2D32D-788C-477D-92A4-48F9BD579A57}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{31F2D32D-788C-477D-92A4-48F9BD579A57}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CS3\Services\Tcpip\..\{31F2D32D-788C-477D-92A4-48F9BD579A57}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5988 bytes


et le log de OTMoveit

<EmptyTemp>
File delete failed. C:\DOCUME~1\Pascal\LOCALS~1\Temp\etilqs_0vI1kizeUaXA1KClmCMe scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.
C:\Documents and Settings\All Users\Application Data\Iso sign frag chic moved successfully.
C:\Program Files\fastplatformreal moved successfully.
C:\Documents and Settings\Magaly\Application Data\fastplatformreal moved successfully.
C:\Documents and Settings\Pascal\Application Data\fastplatformreal moved successfully.
File/Folder not found.
<HKEY_LOCAL_MACHINE>
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\frag chic dead aim deleted successfully.
File/Folder not found.
<HKEY_CURRENT_USER>
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\dns-look-up.com not found.
<HKEY_CURRENT_USER>
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\www.dns-look-up.com not found.
<HKEY_CURRENT_USER>
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\searchweb2.com not found.
<HKEY_CURRENT_USER>
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\mysearchnow.com not found.
<HKEY_CURRENT_USER>
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\www.mysearchnow.com not found.
<HKEY_CURRENT_USER>
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\www.searchweb2.com not found.
<HKEY_CURRENT_USER>
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\lop.com not found.
<HKEY_CURRENT_USER>
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\www.lop.com not found.
<HKEY_CURRENT_USER>
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\searchbee.net not found.
<HKEY_CURRENT_USER>
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\www.searchbee.net not found.
<HKEY_CURRENT_USER>
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\netsearchsoft.com not found.
<HKEY_CURRENT_USER>
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\www.netsearchsoft.com not found.
<HKEY_CURRENT_USER>
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\netbios-wait.com not found.
<HKEY_CURRENT_USER>
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\www.netbios-wait.com not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09052008_211637


et en conclusion, pour l'instant, tout semble ok
La rapidité d'exécution des applics semble normal, juste le reboot m'a semblé un poil long, mais pas déraisonnable.
Pas une seule petite fenêtre de m... pub à l'horizon.
Je dirais donc merci, et je ne vais pas manquer de refaire un petit point d'ici quelques heures ou jours d'utilisation.
J'ai encore besoin d'une info.....
Comment gérer les cookies, et quel était ce crack ?

A bientôt, merci..
wam34
 
Messages: 4
Inscription: 04 Sep 2008, 17:53

Messagede nickW » 05 Sep 2008, 23:46

Bonsoir,

Pour répondre à tes questions:

1/ ImageUn conseil:
Il faudrait modifier la gestion des cookies, et ne plus accepter n'importe quoi.

Dans IE, Outils--->Options internet, Onglet Confidentialité, Bouton Avancé dans le paragraphe Paramètres. Cocher "Ignorer la gestion automatique des cookies", cocher "Demander" pour les cookies internes, et cocher "Refuser" pour les Cookies tierce partie.

Dans Firefox, installer une extension comme CookieSafe.
CookieSafe
Page: https://addons.mozilla.org/firefox/2497/
Paramétrage: Dans Firefox, il faut interdire tous les cookies (Outils---->Options---->Vie privée---->Cookies, décocher "Accepter les cookies/Autoriser les sites à placer des cookies"), puis ponctuellement les autoriser via l'extension pour les sites en qui tu as confiance et qui en ont besoin.


2/ Il semble qu'il ne s'agisse pas d'un crack (ce qui avait été signalé par Lop S&D), mais d'un élément de Puzzles Pirates/Yohoho Tools. :? :oops:



Il reste des conseils de sécurisation & optimisation, mais je te les enverrai lorsque tu m'auras confirmé que LOP est bien parti.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede wam34 » 08 Sep 2008, 07:09

bonjour,
Après un week-end de surf intensif, je pense pouvoir dire que tout va bien.
Nous sommes 2 utilisateurs du PC, et ni l'un ni l'autre n'a vu apparaître une pub intempestive.
Donc un grand merci pour cette aide précieuse.
Ma fille fait un peu la tête, car je lui déconseille de réinstaller messenger plus.
que me conseillez-vous pour éviter ces pièges, et me retrouver dans cette situation.
wam34
 
Messages: 4
Inscription: 04 Sep 2008, 17:53

Messagede nickW » 08 Sep 2008, 17:16

Bonjour,

Tu peux réinstaller Messenger Plus (si la vie sans lui semble inenvisageable à ta fille :wink:), mais en faisant trés attention de ne pas accepter les sponsors.


Si le PC ne présente plus de symptômes d'infection, voici quelques conseils supplémentaires (sécurisation & optimisation) à appliquer:

ImageUn conseil important:
Il faut créer un nouveau point de restauration système.
Après nettoyage du PC, il faut vider les fichiers stockés dans les dossiers de la Restauration système, puis créer un nouveau point de restauration qui sera utilisable en cas de problème.
Méthode:
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
Explications détaillées:
http://assiste.com.free.fr/p/comment/co ... ation.html


ImageUn conseil important:
Il faut installer un vrai pare-feu.
Voir ICI et ICI.
Penser à désactiver complètement celui de Windows XP (y compris dans les services).


ImageUn conseil:
Lire Quel comportement devez-vous adopter en tout temps?
Lire les Recommandations du "kit de sécurité", et en appliquer les mesures préventives.


ImageUn conseil:
Penser aux mises à jour.
Adobe Reader 9: http://www.adobe.com/fr/products/reader/
Note:
Si tu veux absolument conserver Adobe Reader, je te conseille d'essayer Adobe Reader SpeedUp 1.36
Sinon, il existe un autre programme pour lire des fichiers PDF, bien moins gourmand en ressources, et gratuit:
Foxit Reader: http://www.foxitsoftware.com/pdf/rd_intro.php


ImageUn conseil:
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Version téléchargeable (clic droit sur le lien): http://assiste.com.free.fr/ftp/Startups-vf.chm
Sont dans ce cas:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"--->lui préférer Adobe Reader SpeedUp 1.36 ou tester Foxit Reader
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe--->lire attentivement la liste de Pacman
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background--->lire attentivement la liste de Pacman

Il est possible d'utiliser Spybot-S&D (dans Outils---->Démarrage système) pour décocher les lignes correspondant aux programmes dont tu veux supprimer le lancement automatique à chaque démarrage du système (sauf indications particulières dans la liste de Pacman).
Si tu as ensuite des regrets, il te suffira de recocher ces lignes.


ImageUn conseil:
Image Il est préférable de supprimer remlopjob (fichier créé remlopjob.bat).
Image Il est préférable de supprimer OTMoveIt2 (fichier téléchargé OTMoveIt2.exe situé sur le Bureau, fichier de travail OTfichiers.txt et dossier des résultats Lecteur\_OTMoveIt).
Note: Le dossier Lecteur\_OTMoveIt contient des sauvegardes. Après avoir vérifié que tous les logiciels du PC fonctionnent correctement, il sera possible de supprimer ce dossier.
Image Il est possible de supprimer HostsXpert (fichier téléchargé HostsXpert.zip et dossier d'installation HostsXpert situé sur le Bureau).
Note importante:
Si tu avais créé un fichier hosts personnalisé, ce dernier a été effacé car il était endommagé. Il faut le re-créer.

Image Vider les quarantaines de l'antivirus et de l'anti-spyware.



Voilì, voilò, voilà.

Salut,

PS:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 42 invités