Win32.Dialer.hc et sgrunt.biz - Demande d'analyse HijThis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Win32.Dialer.hc et sgrunt.biz - Demande d'analyse HijThis

Messagede Invité » 18 Nov 2005, 14:38

Bonjour à toutes et tous,

J'ai mis en place un certain nombre d'outils selon les conseils de Pierre et je m'en trouvais bien jusqu'à ces derniers jours. Jusqu'à ce que PestPatrol m'indique avoir trouvé : HKEY_CURRENT_USER\software\microsoft\windows\currentversion\internet settings\zonemap\domains\sgrunt.biz
Je me suis rendu à cette ligne pour supprimer la bête, et là HORREUR, dans "domains", je me suis trouvé en face d'un (très :( )grand nombre d'autres monstres dont les noms oscillent entre sexmachin.truc, 0123dialer.machin et autres finance.xyz ! (comment ces machins sont-ils arrivés là ? :mad: )

1 - Pouvez-vous m'indiquer si je suis surinfecté alors que je passe très règulièrement CCleaner, Ad-Aware, Spybot, PestPatrol, Regseeker, CWShredder, Avast antivirus et que j'utilise Kerio personnal firewall. Dois-je supprimer toutes les lignes de "domains" ou pas ? :!:

2 - Comment puis-je éradiquer totalement Win32.Dialer.hc - sgrunt.biz qui revient règulièrement malgré mes trajets réguliers vers HKEY_CURRENT_USER\software\microsoft\windows\currentversion\internet settings\zonemap\domains\sgrunt.biz ?

3 - Je n'avais pas voulu déranger jusqu'à ce jour les modos du forum puisque je n'avais pas de pb particulier, mais là je me suis décidé à refaire la MiniManip avec le rapport HijackThis ci-dessous. Si vous avez un moment pour y jeter un oeil, cela me rendra bigrement service :D :!:

Logfile of HijackThis v1.99.1
Scan saved at 12:14:16, on 18/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
D:\TELECH~1\SECURITE\Avast\ashDisp.exe
C:\Program Files\TELECHARGEMENTS\SECURITE\Spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\sony\usbsircs\usbsircs.exe
C:\Program Files\TELECHARGEMENTS\SECURITE\Spywareguard\SpywareGuard\sgmain.exe
D:\TELECHARGEMENTS de D\SECURITE\Avast\aswUpdSv.exe
D:\TELECHARGEMENTS de D\SECURITE\Avast\ashServ.exe
C:\Program Files\sony\giga pocket\shwserv.exe
D:\TELECHARGEMENTS de D\SECURITE\Kerio FW\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\TELECHARGEMENTS de D\SECURITE\Kerio FW\Personal Firewall 4\kpf4gui.exe
C:\Program Files\sony\giga pocket\RM_SV.exe
D:\TELECHARGEMENTS de D\SECURITE\Kerio FW\Personal Firewall 4\kpf4gui.exe
C:\Program Files\TELECHARGEMENTS\SECURITE\Spywareguard\SpywareGuard\sgbhp.exe
c:\Program Files\PestPatrol\ppmemcheck.exe
c:\Program Files\PestPatrol\cookiepatrol.exe
c:\Program Files\PestPatrol\ppcontrol.exe
C:\Program Files\sony\giga pocket\halsv.exe
C:\Program Files\sony\usbsircs\RemMenu.exe
C:\DOCUME~1\P\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.3.1/ServicesAcces.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8118;https=localhost:8118
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\TELECHARGEMENTS\NAVIGATION\Adobe Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\TELECHARGEMENTS\SECURITE\Spywareguard\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\TELECH~1\SECURITE\Spybot\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] D:\TELECH~1\SECURITE\Avast\ashDisp.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\TELECHARGEMENTS\SECURITE\Spybot\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix /waitstart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PestPatrol Control Center] c:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] c:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] c:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [PestPatrolCL] c:\PROGRA~1\PESTPA~1\PestPatrolCL.exe c:\
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\TELECHARGEMENTS\SECURITE\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ccleaner] "D:\TELECHARGEMENTS de D\SECURITE\CCleaner\ccleaner.exe" /AUTO
O4 - Startup: SpywareGuard.lnk = C:\Program Files\TELECHARGEMENTS\SECURITE\Spywareguard\SpywareGuard\sgmain.exe
O4 - Startup: Tor.lnk = D:\TELECHARGEMENTS de D\SECURITE\Tor\tor.exe
O4 - Global Startup: Pilote Remocon.lnk = ?
O4 - Global Startup: Privoxy.lnk = D:\TELECHARGEMENTS de D\SECURITE\Privoxy\privoxy.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\TELECHARGEMENTS de D\HTTRACK\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\TELECHARGEMENTS de D\HTTRACK\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\System32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8591770015
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 8415725328
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\TELECHARGEMENTS de D\SECURITE\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\TELECHARGEMENTS de D\SECURITE\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\TELECHARGEMENTS de D\SECURITE\Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\TELECHARGEMENTS de D\SECURITE\Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Giga Pocket Hardware Detector - Sony Corporation - C:\Program Files\sony\giga pocket\shwserv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\TELECHARGEMENTS de D\SECURITE\Kerio FW\Personal Firewall 4\kpf4ss.exe
O23 - Service: MrobeService - OLYMPUS IMAGING CORP. - C:\WINDOWS\system32\MRobeService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sony TV Tuner Controller - Sony Corporation - C:\Program Files\sony\giga pocket\halsv.exe
O23 - Service: Sony TV Tuner Manager - Sony Corporation - C:\Program Files\sony\giga pocket\RM_SV.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Program Files\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Program Files\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Video Server (VAIOMediaPlatform-VideoServer-AppServer) - Unknown owner - C:\Program Files\sony\giga pocket\GPVSvr.exe" /Service=VAIOMediaPlatform-VideoServer-AppServer /DisplayName="VAIO Media Video Server (file missing)
O23 - Service: VAIO Media Video Server (HTTP) (VAIOMediaPlatform-VideoServer-HTTP) - Unknown owner - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-VideoServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\VideoServer\HTTP (file missing)
O23 - Service: VAIO Media Video Server (UPnP) (VAIOMediaPlatform-VideoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe

Merci d'avance pour vos réponses et pour le travail accompli par Assiste :o :!:

PS : j'utilise Firefox, Thunderbird et Ooo sous XP. Les MàJ de Windows sont faites règulièrement
Invité
 

Messagede nickW » 18 Nov 2005, 15:16

Bonjour,

Une réponse rapide pour te rassurer avant l'analyse de ton log.

dans "domains", je me suis trouvé en face d'un (très )grand nombre d'autres monstres dont les noms oscillent entre sexmachin.truc


Si ces clés contiennent un DWORD égal à 4, cela signifie que ces sites sont inscrits dans les "Sites sensibles" d'IE.
Note: c'est la vaccination de Spybot-S&D qui enregistre cette liste.

Pour le dialer et sgrunt.biz, lire ce message: http://assiste.forum.free.fr/viewtopic.php?t=9225


Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 18 Nov 2005, 16:31

Re-Bonjour,

Comme tu dois t'en douter, rien de "méchant" dans ce log.

Si tu comptes conserver HijackThis, tu dois tenir compte de cette...
Remarque préliminaire:
Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.
Je te conseille donc de créer un dossier (par exemple: D:\TELECHARGEMENTS de D\SECURITE\HJT), d'y décompresser l'archive HijackThis.zip (ou HijackThis.exe s'il s'agit d'une archive auto-extractible), puis d'utiliser le fichier HijackThis.exe ainsi créé dans D:\TELECHARGEMENTS de D\SECURITE\HJT.
Si tu le laisses tel qu'il est actuellement, dans un dossier temporaire, tout sera effacé dès l'instant où tu "feras le ménage" dans ces fichiers temporaires.


Un conseil:
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Note:
En ce moment, seule la version téléchargeable est à jour.
Clic droit sur le lien: http://assiste.files.free.fr/h/Startups-vf.chm
Enregistrer le fichier, puis double clic dessus pour l'ouvrir.

Sont dans ce cas:

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe--->mise à jour automatique: mieux vaut la faire soi-même
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k--->lire attentivement la liste de Pacman

Tu peux désactiver la première ligne via msconfig ou HijackThis.
Pour la seconde ligne, il faut lire le commentaire de la Pacman.

Re-Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede S8p4n4 » 18 Nov 2005, 17:24

Bonsoir NickW et merci pour ta rapidité.

J'ai regardé le lien que tu indiques dans ta réponse n°1 et je m'aperçois que je n'avais pas lu ce post malgré sa date récente...Bravo le newbie :oops:

J'ai fait un relevé ligne/ligne dans "domains". Effectivement la majorité possède le REG_DWORD = 0x00000004 (4). Par contre, certains n'indiquent rien ; uniquement le REG_SZ = (valeur non définie). Cela a-t-il une signification particulière d'après toi ?

Pour conclure sur ta 1ère réponse : que penses-tu de mettre le [......]/domains/sgrunt.biz en quarantaine dans Pestpatrol ?

Pour le début de ta réponse n°2 : effectivement, la Minimanip indique de mettre le HjThis dans un dossier non temporaire. Je l'avais donc placé dans D/telechargement de D/Sécurité/Minimanip/HjThis. Et je l'ai retrouvé dans le temp ! J'ai du mauvaisement manipulationner quelque chose, moi :oops:.

Je continue la lecture de ta réponse et je poursuis ce que tu conseilles.

Bon début de soirée à toi.

Philippe

PS : une question qui n'a rien a voir avec la sécurité. Je me suis enregistré sur le Forum, avec carte de visite, p'tite image, etc. Mais je vois que cela n'apparaît pas. J'ai oublié quelque chose ?[/i]
Matériel :
VAIO RS 304 - Windows XP SP2 - Intel pentium 4-2.8 GHz - RAM 512 MB - GeForce FX 5200 - ADSL 7.6 MB (en principe...)
Firefox - Thunderbird - OpenOffice 2.0
Et les programmes d'éradication préconisés par Pierre !
Avatar de l’utilisateur
S8p4n4
 
Messages: 5
Inscription: 21 Juin 2005, 17:13
Localisation: à coté de nos chats...

Messagede S8p4n4 » 18 Nov 2005, 17:26

Bon, ben maintenant ma p'tite image et mon profil apparaissent... J'me bafferais bien, moi, tiens :shock:
Matériel :
VAIO RS 304 - Windows XP SP2 - Intel pentium 4-2.8 GHz - RAM 512 MB - GeForce FX 5200 - ADSL 7.6 MB (en principe...)
Firefox - Thunderbird - OpenOffice 2.0
Et les programmes d'éradication préconisés par Pierre !
Avatar de l’utilisateur
S8p4n4
 
Messages: 5
Inscription: 21 Juin 2005, 17:13
Localisation: à coté de nos chats...

Messagede nickW » 18 Nov 2005, 19:09

Bonsoir,

que penses-tu de mettre le [......]/domains/sgrunt.biz en quarantaine dans Pestpatrol ?

Si dans le registre la ligne HKEY_CURRENT_USER\...\domains\sgrunt.biz est bien suivie d'un DWORD égal à 4, elle est correcte et il faut la conserver. Donc pas de quarantaine.
Dans le même ordre d'idée, il ne faut pas dire à PestPatrol d'exclure cette détection, car en cas de réelle infection tu ne te souviendras plus de l'avoir un jour décochée.
Je pense qu'il faut vivre avec, jusqu'à ce que PestPatrol soit corrigé.


Je l'avais donc placé dans D/telechargement de D/Sécurité/Minimanip/HjThis. Et je l'ai retrouvé dans le temp ! J'ai du mauvaisement manipulationner quelque chose, moi

C'est une archive auto-extractible que tu as placée dans le dossier D/Sécurité/Minimanip/HjThis!
Lorsque tu cliques sur ce .exe, tu lances la décompression ... dans un fichier temporaire.
Autre lien de téléchargement: http://www.merijn.org/files/hijackthis.zip
Tu enregistres cette archive dans un dossier quelconque, puis tu en extrais hijackthis.exe que tu places dans D/Sécurité/Minimanip/HjThis


Par contre, certains n'indiquent rien ; uniquement le REG_SZ = (valeur non définie).

Pourrais-tu donner trois ou quatre exemples de clés sans DWORD=4


Bon, ben maintenant ma p'tite image et mon profil apparaissent... J'me bafferais bien, moi, tiens

Quand tu saisis ou "prévisualises" ton message, rien n'apparaît.
Il faut l'envoyer pour que ton avatar s'affiche.
D'ailleurs, pourquoi dit-on avatar?
Le dictionnaire de l'Académie française a écrit:AVATAR n. m. XIXe siècle, d'abord au sens propre. Emprunté du sanscrit avatara, « descente sur terre d'êtres supraterrestres », composé de ava, « en bas », et d'un dérivé de tarati, « il traverse ».
Chacune des incarnations successives du dieu hindou Vichnou. Fig. Chacune des formes diverses que prend une personne ou une chose. Que d'avatars dans la vie politique de cet homme ! Cette institution va connaître un nouvel avatar.

Avatar, avatar, est-ce que j'ai une gueule d'avatar, moi? :shock:

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede S8p4n4 » 21 Nov 2005, 18:21

Bonsoir NickW, je reprends la ligne.

Pour répondre à ta question sur les D_WORD, voici qq exemples ne présentant aucun D_WORD mais l'indication Type = REG_SZ et Données = (valeur non définie). Je précise que je n'ai aucune idée de ce que sont ces sites :
bonzi.com
browserwise.com
cashsurfers.com
centralmedia.ws
cjb.net
com.au
com.br
com.ru
commonname.com
cool.ne.jp
da.ru

etc, etc...... Je me suis arrèté à H (huntbar.com)...

J'aimerais comprendre ce que sont ces indications de 2 (autorisé), 4(sensible), etc. dont tu parles. Sais-tu où je peux les trouver ?

Pour PestPatrol et /sgrunt.biz, bien reçu l'information. Pas de quarantaine. Je me contenterai de suivre les logs de PestPatrol et d'ignorer l'info.

Je vais de ce pas modifier l'implantation de mon dossier HJthis et les éléments du Démarrage : j'avance dessus selon tes indications.

Encore une question : j'ai entendu dire qu'une MàJ d'Avast installait "actskin4.ocx". Sais-tu si c'est gènant ou pas ?

Bien à toi et encore merci.

Philippe
Matériel :
VAIO RS 304 - Windows XP SP2 - Intel pentium 4-2.8 GHz - RAM 512 MB - GeForce FX 5200 - ADSL 7.6 MB (en principe...)
Firefox - Thunderbird - OpenOffice 2.0
Et les programmes d'éradication préconisés par Pierre !
Avatar de l’utilisateur
S8p4n4
 
Messages: 5
Inscription: 21 Juin 2005, 17:13
Localisation: à coté de nos chats...

Messagede S8p4n4 » 21 Nov 2005, 18:26

NickW,
Je viens de lire un post très récent sur "actskin4.ocx" dans le Forum. Donc je retire ma question sur ce sujet.
Cordialement, :wink:
Philippe
Matériel :
VAIO RS 304 - Windows XP SP2 - Intel pentium 4-2.8 GHz - RAM 512 MB - GeForce FX 5200 - ADSL 7.6 MB (en principe...)
Firefox - Thunderbird - OpenOffice 2.0
Et les programmes d'éradication préconisés par Pierre !
Avatar de l’utilisateur
S8p4n4
 
Messages: 5
Inscription: 21 Juin 2005, 17:13
Localisation: à coté de nos chats...

Messagede nickW » 21 Nov 2005, 19:36

Bonsoir,

Un exemple de "Site de confiance":
Image

Un exemple de "Site sensible":
Image


La clé cjb.net a deux sous-clés (ce sont ces dernières dont le DWORD est positionné):
Clé cjb.net:
Image
Sous-clé1:
Image
Sous-clé2:
Image

Est-ce plus clair en images?

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Invité » 21 Nov 2005, 23:18

Bonsoir (vu l'heure :D ),

Bien vu les images des clés et des sous-clés. Celles que je t'ai donné en exemples sont effectivement en 4 dans les sous-clés. Sauf si me dis le contraire, je ne pense pas utile de descendre toutes les clés en vérifiant si les sous-clés sont en 4. Et c'est effectivement plus clair en images !

J'ai fait ce que tu préconisais pour :
1 - le positionnement d'Hijackthis, qui est maintenant en "sécurité" sous D

2 -les modifications de :

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe--->modifié via msconfig

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k--->modifié selon la liste de Pacman Pour cette dernière, un nouvel HjThis me la redonne dans le log (ci-dessous). Est-ce normal ou bien dois-je la "fixer" lors d'un nouvel HjThis ?

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\TELECHARGEMENTS\SECURITE\Spybot\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix /waitstart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [PestPatrolCL] C:\PROGRA~1\PESTPA~1\PestPatrolCL.exe c:\
O4 - HKLM\..\Run: [avast!] D:\TELECH~1\SECURITE\Avast!\ashDisp.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\TELECHARGEMENTS\SECURITE\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ccleaner] "D:\TELECHARGEMENTS de D\SECURITE\CCleaner\ccleaner.exe" /AUTO
O4 - Startup: SpywareGuard.lnk = C:\Program Files\TELECHARGEMENTS\SECURITE\Spywareguard\SpywareGuard\sgmain.exe
O4 - Startup: Tor.lnk = D:\TELECHARGEMENTS de D\SECURITE\Tor\tor.exe
O4 - Global Startup: Pilote Remocon.lnk = ?
O4 - Global Startup: Privoxy.lnk = D:\TELECHARGEMENTS de D\SECURITE\Privoxy\privoxy.exe


Merci à toi,

Bonne soirée et bonne nuit :o !

Philippe
Invité
 


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 18 invités

cron