Assiste.Forums

[estelle62]

bonsoir NickW,
je te soumets un log car après passage d'Ewido, il me retrouve des fichiers infectés. J'avais installé la version démo gratuite 30j de KAV et comme je n'ai pas reçu le logiciel commandé au terme des 30j, j'ai téléchargé Avast et Outpost pour avoir quand même une protection. En fait, Avast a trouvé de suite des infections alors que KAV ne disait rien... Habitué à ce type de manoeuvre par Norton, je n'y ai guère fait attention. Mais par acquis de conscience, et comme je trouvais tout de même que mon portable commençait légèrement à ramer, j'ai fait un scan par Ewido. En dehors des 72 spywares-faux positifs qu'il trouve toujours, je suis ce coup-ci passée à 80 fichiers infectés (donc 8 de plus).

Merci pour ta patience et pour tes compétences.
J'avais lancé un premier post dans "contamination...", peux-tu le verrouiller, s'il te plaît

Voici mon log:

Logfile of HijackThis v1.99.1
Scan saved at 20:36:06, on 29/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\estelle\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aliceadsl.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/red ... lc=040c&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redi ... ch&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redi ... ch&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redi ... ch&ap=b204
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/red ... lc=040c&ac
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/2Q00CPT/040C/bF7.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - Startup: desktop(2).ini
O4 - Global Startup: desktop(2).ini
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

Je voulais faire un copier/coller d'Ewido, je n'y arrive pas. Voici un exemple de ce qu'il met dans la quarantaine:
"spyware.cookie" cela se situe dans "documents and setting"

Merci d'avance
Estelle

[Jim Rakoto]

Salut

Mais où est Outpost ?

Il devrait y avoir une ligne en C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
une en 04 en .....outpost.exe /wait service
une en 023 : service : Outpost firewall service .........

et il n'y a qu'une ligne en 020 AppInit_DLLs et une en 09

Euh ??

A+

[estelle62]

arghhhh
Je ne comprends pas... Ah si, il me semble qu'il n'est pas placé là où il faut. Mais qu'est ce que j'en ai fait? Je suis en train de chercher en même temps...
J'en connais une qui va me bénir
A+
Estelle

[estelle62]

ben si, il est sur mon bureau... Tu vois Jim, je ne suis pas encore à même de résoudre mes problèmes. Assiste a une longue vie devant lui

[Jim Rakoto]

Re

Comprends pas. Quand tu télécharges Outpost, il devrait se trouver dans Mes documents ou Mes téléchargements
Si tu cliques dessus, il s'installe automatiquement dans Program Files. Il suffit de répondre OK à ses questions.

Pour ces lignes :
O4 - Startup: desktop(2).ini
O4 - Global Startup: desktop(2).ini

Pourrais-tu aller dans démarrer > programmes > démarrage
Effacer les différents desktop.ini si présents

Puis tu vas dans démarrer > exécuter > taper msconfig.exe
> onglet Démarrage > tu décoches les cases devant desktop.ini > clic sur appliquer > clic sur redémarrer le PC > OUI

Voilà déjà un premier tour.

A+

[estelle62]

Merci Jim pour tes conseils,

Je n'ai rien dans démarrage "vide".
Par contre, je les ai désactivés dans msconfig et j'ai redémarré l'ordinateur.
A+
Estelle

PS : quant à Outpost et ce que j'ai dû faire comme ânerie, tu verras que je peux bien faire pire encore...

[nickW]

Bonsoir,

Je ne parle pas du problème d'Outpost. (Jim est bien plus qualifié que moi! )

Apparemment, Ewido a détecté la présence d'un cookie.

Comment as-tu paramétré la gestion des cookies dans Firefox?
Outils--->Options, Onglet Vie privée, si "Autoriser les sites à créer des cookies" est coché, cocher la case devant "pour le site Web d'origine seulement".

Utilises-tu une extension pour les gérer?
Si oui, laquelle?

A suivre,

[estelle62]

bonjour NickW,
J'avais paramétré FF comme indiqué car je t'avais déjà vu le conseiller ainsi pour une autre personne. En revanche, ne sachant pas ce qu'est une extension, je doute fort d'en utiliser une...
Merci et Bonne journée
Estelle

[Jim Rakoto]

Salut

Dans IE > colonne de gauche Réglage rapide de Outpost > contenu actif > comment est l'icône à côté de cookies : Un v blanc sur fond vert ou un - blanc sur fond rouge ?

A+

[estelle62]

bonjour Jim,
en fait, dans le colonne de gauche d'IE, tout est "grisé", c'est-à-dire que rien n'est sélectionnable, je ne peux rien cocher ue ce soit pour contenu actif, publicité... Du coup, je l'ai fermé et je ne parviens plus à l'ouvrir...
J'y retourne
Estelle

[Jim Rakoto]

Re

M'en vais squatter un peu le forum de NickW , car je ne sais plus très bien où répondre à Estelle.

Dans Outpost > Outils > cocher la ligne "Activer le réglage rapide dans Internet Explorer. Il y aura un V devant la ligne.

A+

[nickW]

Bonsoir,

le forum de NickW

Noooooooooon et non et non et encore non!

Ce n'est pas mon forum!

Salut,

[estelle62]

Bonjour NickW,
mon log comporte -t-il des choses anormales d'après toi?
Bonne Journée
Estelle

[nickW]

Bonjour Estelle,

Je n'ai rien à ajouter aux deux messages de Jim postés le Dim 29 01 2006 à 21h07 et 21h52.

Lorsque tu écris "Je n'ai rien dans démarrage "vide".", as-tu vérifié que tu affiches tous les fichiers?
http://assiste.com.free.fr/p/comment/vo ... caches.php

Vois-tu ce fichier desktop(2).ini dans l'un des dossiers ci-dessous:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
C:\Documents and Settings\Tous les autres profils\Menu Démarrer\Programmes\Démarrage


Apparemment, Outpost n'est pas actif, ce qui constitue le principal problème.

Pourrais-tu envoyer une "Startup List" créée par HijackThis:
Lancer HijackThis.
Cliquer sur le bouton "Open the Misc Tools section".
Cliquer sur le bouton "Generate StartupList log". Clic sur OK.
Faire un Copier-Coller du fichier texte affiché en réponse.

A suivre,

[Jim Rakoto]

Salut

Ce n'est pas mon forum!

Ben, j'y peux rien si ta compétence y fait autorité

Ceci écrit, tu as évidemment raison, le seul dont c'est le forum, c'est Pierre puisque c'est le proprio.

A+

[renegodiveau]

Bonjour,

Ceci écrit, tu as évidemment raison, le seul dont c'est le forum, c'est Pierre puisque c'est le proprio.

Sinon: lancer une OPA hostile!
@+

[estelle62]

bonjour NickW, super modelle

en ce qui concerne la première partie du message :
Lorsque tu écris "Je n'ai rien dans démarrage "vide".", as-tu vérifié que tu affiches tous les fichiers?
http://assiste.com.free.fr/p/comment/vo ... caches.php

Vois-tu ce fichier desktop(2).ini dans l'un des dossiers ci-dessous:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
C:\Documents and Settings\Tous les autres profils\Menu Démarrer\Programmes\Démarrage

Mes fichiers étaient tous affichés et tout est déjà configuré comme indiqué dans le lien.
"vide" c'est ce qui m'apparaît en grisé c'est-à-dire en non sélectionnable quand je fais "démarrer\programme\démarrage"...
Enfin, je trouve le fichier desktop.ini sans le (2) dans tous ce que tu m'as demandé sauf dans "local service". D'ailleurs, je n'ai même pas besoin d'aller jusqu'à "démarrage" car ce fichier apparaît dès l'étape "programme"...

Voilà, je m'occupe du reste
Cordialement
Estelle

[estelle62]

re-,
voici la suite :

StartupList report, 31/01/2006, 17:53:29
StartupList version: 1.52.2
Started from : C:\Documents and Settings\estelle\Bureau\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\estelle\Bureau\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ATIModeChange = Ati2mdxx.exe
AtiPTA = atiptaxx.exe
srmclean = C:\Cpqs\Scom\srmclean.exe
SynTPLpr = C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
SynTPEnh = C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
CARPService = carpserv.exe
TkBellExe = "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - c:\program files\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\Macromed\Flash\Flash8.ocx
CODEBASE = http://download.macromedia.com/pub/shoc ... wflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 5 280 bytes
Report generated in 0,090 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

à plus tard,
Estelle

[Jim Rakoto]

Salut

Je le savais que quelque chose me chipotait !

Outpost ne fonctionne pas comme il devrait, mais Avast non plus.

Avast est présent dans la startupList et pas Outpost (on s'y attendait pour OP)
Mais ni Avast ni Outpost ne sont présents en 04 ??
Faudrait quand même une ligne
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

Ou je rêve ??

J'attends NickW

A+

[estelle62]

re-,
au secours!!!!!!!! Je n'ai plus d'antivirus???????????