Demande d'analyse de mon Log

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Demande d'analyse de mon Log

Messagede GilgamesH » 08 Avr 2007, 10:52

Bonjour a tous et a toutes !
Et merci d'avance a celui qui va m'aider :)
J'ai un petit problème depuis peut mon mes marques pages ont totalement disparue et il m'est impossible d'en ajouter de nouveaux (j'utilise mozilla firefox)
Deplus mon débit internet est trés lent sur certain site comme Youtube.
Avant de poster le log j'ai utiliser spyblot /ad aware et j'ai lancer mon antivirus en mode sans échec (antivir)
Qui me trouve une mail box qu'il ne peut supprimé....enfin je crois je m'y connais pas trop ^^ je sais pas si c'est un virus.
Voici donc mon log :


Logfile of HijackThis v1.99.1
Scan saved at 11:52 Patron, on 08/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\foobar2000\foobar2000.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - p@› - (no file)
O2 - BHO: (no name) - PA› - (no file)
O2 - BHO: (no name) - rsion - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: (no name) - @› - (no file)
O2 - BHO: (no name) - ¨› - (no file)
O2 - BHO: (no name) - ð@› - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-U ... E_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b50997.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCB0BE48-9AB4-4468-BC0C-2E6A5D096BCD}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Merci.
GilgamesH
 
Messages: 40
Inscription: 08 Avr 2007, 10:30

Messagede nickW » 09 Avr 2007, 00:18

Bonsoir,

Pour tes marque-pages,
1/ que contient le dossier:
C:\Documents and Settings\Ton_profil\Application Data\Mozilla\Firefox\Profiles\bhtpoy36.default\bookmarkbackups

2/ le dossier:
C:\Documents and Settings\Ton_profil\Application Data\Mozilla\Firefox\Profiles\********.default (*=caractère aléatoire)
contient-il un(des) fichier(s) nommés bookmarks.* ?


As-tu encore le rapport de l'analyse d'Antivir en mode sans échec (pour avoir le nom exact de ce qui a été découvert)?



Nettoyage:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 4).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/co ... ximum.html
Antivir: http://speedweb1.free.fr/frames2.php?page=tuto5 (merci Tesgaz)
Antivir: http://assiste.com.free.fr/p/comment/co ... ml#antivir


Étape 2: Ccleaner
Télécharger et installer Ccleaner Basic dans un dossier spécifique, par exemple C:\ccleaner
http://www.ccleaner.com/downloadbuilds.asp

Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
*- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 3: AVG Anti-Spyware
Lancer AVG Anti-Spyware.
Cliquer sur le menu Analyse.
Cliquer sur l'onglet Paramètres.
Dans Comment réagir?, cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse?, vérifier que toutes les cases sont cochées.
Dans Programmes potentiellement dangereux, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Générer un rapport après chaque analyse est coché.

Cliquer sur le menu Mise à jour.
Si nécessaire, dans la colonne Paramètres (à droite), saisir les paramètres du proxy.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant!


Étape 4: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 5: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" (ou "Scanner seulement" en vf)
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items" (ou "Proteger les objets avt de fixer" en vf), puis cliquer sur le bouton "Back" (ou "Ret" en vf).
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix checked (ou Fixer objet en vf):
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O2 - BHO: (no name) - p@› - (no file)
O2 - BHO: (no name) - PA› - (no file)
O2 - BHO: (no name) - rsion - (no file)
O2 - BHO: (no name) - @› - (no file)
O2 - BHO: (no name) - ¨› - (no file)
O2 - BHO: (no name) - ð@› - (no file)


Étape 6: AVG Anti-Spyware
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse.
Cliquer sur Analyse complète du système.
IMPORTANT: Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.

A la fin de l'analyse, cliquer sur Appliquer toutes les actions
Ensuite Sauver le rapport: Enregistrer le rapport d'analyse puis Enregistrer le rapport sous.
Fermer AVG Anti-Spyware.


Étape 7: Nettoyage
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage". Fermer le programme.
Exécuter l'antivirus, réglé au maximum (si l'antivirus ne démarre pas en mode sans échec, le signaler en réponse, après la fin de l'ensemble des étapes).
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage". Fermer le programme.


Étape 8: Redémarrage et Résultats
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de AVG Anti-Spyware (dans le dossier Reports, lui-même sous-dossier du dossier d'installation de AVG Anti-Spyware)

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Re: Demande d'analyse de mon Log

Messagede jpj » 09 Avr 2007, 16:16

Bonjour,
GilgamesH a écrit:... mes marques pages ont totalement disparue et il m'est impossible d'en ajouter de nouveaux (j'utilise mozilla firefox)
Juste pour cela et sans vouloir interférer avec les conseils de nickW pour le reste.

Firefox ouvert, va dans ton profil dont nickW t'a donné le chemin. Supprime le fichier localstore.rdf, ferme Firefox et relance le.

A+
Quand tout le reste a échoué, lisez le mode d'emploi.
Mes configs
Avatar de l’utilisateur
jpj
 
Messages: 1338
Inscription: 30 Juil 2005, 21:28
Localisation: France

Messagede GilgamesH » 11 Avr 2007, 12:28

Merci a vous deux :)
Je peux de nouveau ajouter des marques pages et la vitesse de ma connection semble être revenue a la normal.
Néanmoin le virus est apparament toujours présent.
Voila le rapport antivir:





AntiVir PersonalEdition Classic
Report file date: mercredi 11 avril 2007 12:02

Scanning for 730606 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Momo
Computer name: XPSP2-5E6155130

Version information:
BUILD.DAT : 217 12749 Bytes 05/12/2006 17:00:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 25/03/2007 19:36:22
AVSCAN.DLL : 7.0.3.1 35880 Bytes 05/12/2006 15:00:22
LUKE.DLL : 7.0.3.2 143400 Bytes 31/10/2006 15:07:46
LUKERES.DLL : 7.0.2.0 9256 Bytes 05/12/2006 15:00:22
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 14:30:06
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23/02/2007 19:36:23
ANTIVIR2.VDF : 6.38.0.186 608768 Bytes 06/04/2007 19:34:22
ANTIVIR3.VDF : 6.38.0.200 41472 Bytes 10/04/2007 19:34:43
AVEWIN32.DLL : 7.3.1.50 2400768 Bytes 10/04/2007 19:34:43
AVPREF.DLL : 7.0.2.0 23592 Bytes 03/11/2006 09:53:44
AVREP.DLL : 6.38.0.90 1204264 Bytes 25/03/2007 19:36:23
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30/03/2006 07:43:31
AVPACK32.DLL : 7.3.0.8 360488 Bytes 03/04/2007 19:34:28
AVREG.DLL : 7.0.1.2 30760 Bytes 25/03/2007 19:36:22
NETNT.DLL : No Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08/11/2006 11:26:26
RCTEXT.DLL : 7.0.12.1 77864 Bytes 05/12/2006 15:00:21

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: C:\Program Files\AntiVir PersonalEdition Classic\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: F:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Skipped archive types............: BSD Mailbox, Netscape/Mozilla Mailbox, Eudora Mailbox, Squid cache, Pegasus Mailbox, MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: high
Different risk categories........: +GAME,+JOKE,+PCK,+SPR,
Expanded search settings.........: 0x00007000

Start of the scan: mercredi 11 avril 2007 12:02

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Modules have been scanned
Scan process 'avcenter.exe' - '1' Modules have been scanned
Scan process 'explorer.exe' - '1' Modules have been scanned
Scan process 'firefox.exe' - '1' Modules have been scanned
Scan process 'explorer.exe' - '1' Modules have been scanned
Scan process 'svchost.exe' - '1' Modules have been scanned
Scan process 'svchost.exe' - '1' Modules have been scanned
Scan process 'svchost.exe' - '1' Modules have been scanned
Scan process 'lsass.exe' - '1' Modules have been scanned
Scan process 'services.exe' - '1' Modules have been scanned
Scan process 'winlogon.exe' - '1' Modules have been scanned
Scan process 'csrss.exe' - '1' Modules have been scanned
Scan process 'smss.exe' - '1' Modules have been scanned
13 processes with 13 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'A:\'
[NOTE] In the drive 'A:\' no data medium is inserted!

Starting to scan the registry.
The registry was scanned ( 11 files ).


Starting the file scan:

Begin scan in 'C:\'
C:\Documents and Settings\Momo\Application Data\Thunderbird\Profiles\r7bjs1wq.default\Mail\Local Folders\Trash
[0] Archive type: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <001b01c74627>][From: "Bernadette Hunt" <security>][Subject: A layered approach to online security.]12260.mim
[DETECTION] Contains signature of the Phish-File/Email PHISH/Bankfraud.9
[1] Archive type: MIME
--> file0.mim
[DETECTION] Contains signature of the Phish-File/Email PHISH/Bankfraud.9
[WARNING] The file was ignored!
C:\Documents and Settings\Momo\Local Settings\Application Data\Microsoft\Messenger\vivienalloy@msn.com\Sharing Folders\simseuse@hotmail.com\Les Fatals Picards - Navet Maria.ace
[0] Archive type: ACE
--> Navet Maria\06-Tony (garagiste & poŠte).mp3
[WARNING] Error creating the file
--> Navet Maria\07-Comme un oc‚an.mp3
[WARNING] No further files can be extracted from this archive. The archive will be closed
[WARNING] No further files can be extracted from this archive. The archive will be closed
C:\WINDOWS\system32\ActiveScan\pskavs.dll
[DETECTION] Contains signature of the Windows virus W95/Blumblebee.1738
[INFO] The file was moved to '4687b838.qua'!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\'
D:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'A:\'
The path A:\ could not be found!
Le périphérique n'est pas prêt.

Begin scan in 'E:\' <TOPSPIN_CD2>
Begin scan in 'F:\'
The path F:\ could not be found!
Le périphérique n'est pas prêt.



End of the scan: mercredi 11 avril 2007 12:32
Used time: 29:59 min

The scan has been done completely.

5127 Scanning directories
307098 Files were scanned
3 viruses and/or unwanted programs were found
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
307095 Files not concerned
13419 Archives were scanned
6 Warnings
0 Notes
GilgamesH
 
Messages: 40
Inscription: 08 Avr 2007, 10:30

Messagede nickW » 11 Avr 2007, 13:56

Bonjour,

As-tu effectué les manips indiquées dans mon message du Lun 09/04/2007 à 01h18?

Dans l'affirmative, peux-tu envoyer les logs demandés:
*- un nouveau log HijackThis
*- le rapport de AVG Anti-Spyware (dans le dossier Reports, lui-même sous-dossier du dossier d'installation de AVG Anti-Spyware)


Le rapport d'analyse d'Antivir montre:

*- Un fichier infecté par Phish-File/Email PHISH/Bankfraud.9
From: "Bernadette Hunt" <security>][Subject: A layered approach to online security.]12260.mim
Dans la Corbeille de Thunderbird (..... qu'il faut vider)

*- Un fichier archive mal en point
Les Fatals Picards - Navet Maria.ace
Dans le dossier de Messenger

*- un faux positif sur un fichier appartenant à Panda Activescan
C:\WINDOWS\system32\ActiveScan\pskavs.dll


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede GilgamesH » 11 Avr 2007, 17:55

Voila les rapports demandé :


HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 18:21 Patron, on 11/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Explorer.EXE
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - p@› - (no file)
O2 - BHO: (no name) - PA› - (no file)
O2 - BHO: (no name) - rsion - (no file)
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: (no name) - @› - (no file)
O2 - BHO: (no name) - ¨› - (no file)
O2 - BHO: (no name) - ð@› - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-U ... E_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b50997.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

AVG anti spyware :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 18:48 Patron 11/04/2007

+ Résultat de l'analyse:



Rien à signaler.



Fin du rapport


Encore merci pour l'aide que tu m'apporte :)
GilgamesH
 
Messages: 40
Inscription: 08 Avr 2007, 10:30

Messagede nickW » 11 Avr 2007, 18:18

Bonsoir,

As-tu vidé la Corbeille de Thunderbird?

As-tu vérifié l'intégrité du fichier Les Fatals Picards - Navet Maria.ace?


Recherche dans le Registre et création d'un autre rapport:

Étape 1: RegSearch (de Bobbi Flekman)
Télécharger RegSearch (clic droit sur le lien ci-dessous, enregistrer le fichier sur le Bureau):
http://www.xs4all.nl/~fstaal01/downloads/regsearch.zip
Décompresser cette archive dans un dossier qui lui sera réservé (par exemple, C:\RegSearch).


Étape 2: RegSearch (de Bobbi Flekman)
Lancer RegSearch par un double clic sur RegSearch.exe (dans le dossier C:\RegSearch).
Dans la zone "Enter search strings (case independent) and click OK"
saisir Browser Helper Objects sur la 1ère ligne

ne rien saisir dans la zone "Enter string to exclude from results (optional)"

Décocher les cases situées devant:
Values
Data
HKEY_USERS


puis cliquer sur le bouton OK

Le programme recherche dans le Registre les éléments demandés.
Attendre patiemment, sans rien faire d'autre (durée: jusqu'à 15 minutes, ce qui semble bien long.....).
Il y a ensuite ouverture d'une fenêtre du Bloc-notes.
Dans cette fenêtre du Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier (Menu Fichier ---->Enregistrer sous..., donner le nom BHO-070411.txt).
Copier le contenu en réponse.

Fermer RegSearch en cliquant sur le bouton "Cancel"


Étape 3: Résultat
Envoyer en réponse:
*- le résultat de RegSearch (contenu du fichier BHO-070411.txt)

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede GilgamesH » 11 Avr 2007, 18:56

Voila ce que ça donne:


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 11/04/2007 19:35:57 for strings:
; 'browser helper objects'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys
; HKEY_LOCAL_MACHINE


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\p@›]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\PA›]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\rsion]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\rsion\Explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\rsion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}\EWPP]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ @›]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\¨›]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ð@›]

; End Of The Log...
GilgamesH
 
Messages: 40
Inscription: 08 Avr 2007, 10:30

Messagede nickW » 15 Avr 2007, 00:15

Bonsoir,

Un essai de suppression de certaines clés du Registre dont la structure est bien "bizarre":

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 2).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: Création du fichier supbhos.reg
Faire un copier/coller des lignes ci-dessous (entre les deux lignes de ======, mais sans ces deux lignes) dans le Bloc-notes (alias Notepad).
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom de supbhos.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .reg.txt, renommer le fichier en .reg

===============================
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\p@›]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\PA›]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\rsion]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ @›]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\¨›]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ð@›]

================================
Fermer le Bloc-notes.


Étape 2: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 3: Utilisation du fichier supbhos.reg
Faire un clic droit sur supbhos.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le registre.


Étape 4: Redémarrage et Résultats
Redémarrer en mode normal.
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede GilgamesH » 15 Avr 2007, 21:58

Merci nickW j'ai efféctué l'opération voici le nouveau Log HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 22:58 Patron, on 15/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: (no name) - @› - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-U ... E_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b50997.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCB0BE48-9AB4-4468-BC0C-2E6A5D096BCD}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
GilgamesH
 
Messages: 40
Inscription: 08 Avr 2007, 10:30


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 21 invités