Analyse de log hijackthis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Analyse de log hijackthis

Messagede vero61 » 20 Sep 2007, 15:56

Bonjour j'aimerai que vous analysiez mon log car j'ai de très gros problèmes avec mon ordinateur et je ne vois pas du tout d'ou cela provient malgrès de nombreuses tentatives. Merci d'avance


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:52:13, on 20/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\PsCtrls.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Philips\Philips SPC315NC Webcam\TrayMin315.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN\MSNCoreFiles\msn6.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {3B996E4A-D4F7-AE53-855B-AE7F161FD798} - (no file)
R3 - URLSearchHook: (no name) - {0EB45E4A-F9C4-9B67-A86B-9E52262FFAA8} - (no file)
R3 - URLSearchHook: (no name) - {3AC06E4C-D6A5-FD50-855B-AE7F161FD79F} - (no file)
R3 - URLSearchHook: (no name) - {0FED5E4C-FB96-C864-A86B-9E52262FFAAF} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0EB45E4A-F9C4-9B67-A86B-9E52262FFAA8} - (no file)
O2 - BHO: (no name) - {0FED5E4C-FB96-C864-A86B-9E52262FFAAF} - (no file)
O2 - BHO: (no name) - {3AC06E4C-D6A5-FD50-855B-AE7F161FD79F} - (no file)
O2 - BHO: (no name) - {3B996E4A-D4F7-AE53-855B-AE7F161FD798} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Compaq Service Drivers] wincmd.exe
O4 - HKLM\..\Run: [Dns Resolver] dnsrslve.exe
O4 - HKLM\..\Run: [winnt DNS ident] windowsp.exe
O4 - HKLM\..\Run: [Microsoft LSA layer] MSLSA32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\RunServices: [Compaq Service Drivers] wincmd.exe
O4 - HKLM\..\RunServices: [Service] wN2S.exe
O4 - HKLM\..\RunServices: [KY Control Settings] KYSVCCD.EXE
O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] msnt32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop.exe
O4 - HKLM\..\RunServices: [Dns Resolver] dnsrslve.exe
O4 - HKLM\..\RunServices: [winnt DNS ident] windowsp.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] microsoft.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [KY Control Settings] KYSVCCD.EXE
O4 - HKCU\..\Run: [Compaq32 Service Drivers] msnt32.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Service] wN2S.exe
O4 - HKCU\..\Run: [Dns Resolver] dnsrslve.exe
O4 - HKCU\..\Run: [Compaq Service Drivers] wincmd.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers] wincmd.exe
O4 - HKCU\..\RunServices: [Service] wN2S.exe
O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] msnt32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: STK014 PNP Monitor.lnk = ?
O4 - Global Startup: DSLMON.LNK = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: TrayMin315.exe.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?ffb51f08eff5461fade42760b31a9f7a
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?ffb51f08eff5461fade42760b31a9f7a
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (HKCU)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pagl.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int12.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108w.bay108.mail.live.com/mail ... nPUpld.cab
O16 - DPF: {639658F3-B141-4D6B-B936-226F75A5EAC3} (CPlayFirstDinerDash2Control Object) - http://webgames.d.tmsrv.com/c=6db12c5e4 ... 0.0.48.cab
O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} - http://advnt01.com/dialer/int_ver34.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0BFA6E0-5676-4F86-96A4-A4E64C3411A2}: NameServer = 86.64.145.142 84.103.237.142
O18 - Protocol: Festoon - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: repairs.dll
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Microsoft Registry Viewer (dumpreg) - Unknown owner - C:\WINDOWS\dumpreg.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Keyboard Service System Files (Keyboard Service) - Unknown owner - C:\WINDOWS\System32\keyboard.exe (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\PsCtrls.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe

--
End of file - 12690 bytes
vero61
 
Messages: 1
Inscription: 20 Sep 2007, 15:46

Messagede nickW » 22 Sep 2007, 00:15

Bonsoir,

Belles infections!!!!!

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 6).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.



Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: Ccleaner
Télécharger et installer Ccleaner Basic dans un dossier spécifique, par exemple C:\ccleaner
http://www.ccleaner.com/download/builds

Attention!
Ccleaner Basic n'existe pas encore pour la nouvelle version 2.00.500
Il faut donc télécharger la version "Standard", mais refuser l'installation de la Barre d'outils Yahoo!

Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
*- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 3: AVG Anti-Spyware
Télécharger la version d'essai de AVG Anti-Spyware depuis http://www.ewido.net/en/download/
L'installer.

Lancer AVG Anti-Spyware.
Cliquer sur le menu Analyse.
Cliquer sur l'onglet Paramètres.
Dans Comment réagir?, cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse?, vérifier que toutes les cases sont cochées.
Dans Programmes potentiellement dangereux, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Ne pas générer automatiquement de rapport est coché.

Cliquer sur le menu Mise à jour.
Si nécessaire, dans la colonne Paramètres (à droite), saisir les paramètres du proxy.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant!


Étape 4: BlackLight (de F-Secure)
Télécharger BlackLight depuis la page:
http://www.f-secure.com/blacklight/try_blacklight.html
(clic sur le bouton bleu "I accept", puis sur "Download Blacklight Beta graphical user interface version")
Enregistrer le fichier sur le Bureau.


Étape 5: Création du fichier repar.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom de repar.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="Y"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=-
"AntiVirusDisableNotify"=-
"FirewallDisableNotify"=-
"AntiVirusOverride"=-
"FirewallOverride"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=-
"AutoShareServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"AutoShareWks"=-
"AutoShareServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Start"=dword:00000003

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="20000"



Fermer le Bloc-notes.


Étape 6: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 7: Désinstallation
Démarrer-->Paramètres-->Panneau de Configuration-->Ajout/Suppression de programmes
Rechercher et désinstaller (si trouvé) Ask Toolbar
Rechercher et désinstaller (si trouvé) Ask.com Toolbar
Rechercher et désinstaller (si trouvé) WeatherBug


Étape 8: Services
Arrêter puis désactiver deux services:

Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à Boonty Games
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK

Faire de même avec Microsoft Registry Viewer, avec comme fichier exécutable C:\WINDOWS\dumpreg.exe

Supprimer ces services:
Démarrer---->Exécuter
taper exactement
sc¤delete¤"Boonty Games"
(le caractère ¤ représente un espace)
puis cliquer sur OK
Noter le message qui s'affiche (succès ou échec).

Démarrer---->Exécuter
taper exactement
sc¤delete¤dumpreg
(le caractère ¤ représente un espace)
puis cliquer sur OK
Noter le message qui s'affiche (succès ou échec).


Étape 9: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only"
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items", puis cliquer sur le bouton "Back".
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix checked:
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

R3 - URLSearchHook: (no name) - {3B996E4A-D4F7-AE53-855B-AE7F161FD798} - (no file)
R3 - URLSearchHook: (no name) - {0EB45E4A-F9C4-9B67-A86B-9E52262FFAA8} - (no file)
R3 - URLSearchHook: (no name) - {3AC06E4C-D6A5-FD50-855B-AE7F161FD79F} - (no file)
R3 - URLSearchHook: (no name) - {0FED5E4C-FB96-C864-A86B-9E52262FFAAF} - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
O2 - BHO: (no name) - {0EB45E4A-F9C4-9B67-A86B-9E52262FFAA8} - (no file)
O2 - BHO: (no name) - {0FED5E4C-FB96-C864-A86B-9E52262FFAAF} - (no file)
O2 - BHO: (no name) - {3AC06E4C-D6A5-FD50-855B-AE7F161FD79F} - (no file)
O2 - BHO: (no name) - {3B996E4A-D4F7-AE53-855B-AE7F161FD798} - (no file)
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [Compaq Service Drivers] wincmd.exe
O4 - HKLM\..\Run: [Dns Resolver] dnsrslve.exe
O4 - HKLM\..\Run: [winnt DNS ident] windowsp.exe
O4 - HKLM\..\Run: [Microsoft LSA layer] MSLSA32.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers] wincmd.exe
O4 - HKLM\..\RunServices: [Service] wN2S.exe
O4 - HKLM\..\RunServices: [KY Control Settings] KYSVCCD.EXE
O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] msnt32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop.exe
O4 - HKLM\..\RunServices: [Dns Resolver] dnsrslve.exe
O4 - HKLM\..\RunServices: [winnt DNS ident] windowsp.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] microsoft.exe
O4 - HKCU\..\Run: [KY Control Settings] KYSVCCD.EXE
O4 - HKCU\..\Run: [Compaq32 Service Drivers] msnt32.exe
O4 - HKCU\..\Run: [Service] wN2S.exe
O4 - HKCU\..\Run: [Dns Resolver] dnsrslve.exe
O4 - HKCU\..\Run: [Compaq Service Drivers] wincmd.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers] wincmd.exe
O4 - HKCU\..\RunServices: [Service] wN2S.exe
O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] msnt32.exe
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (HKCU)
O16 - DPF: {00000000-0000-0000-0000-000020030000} -
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int12.exe
O16 - DPF: {639658F3-B141-4D6B-B936-226F75A5EAC3} (CPlayFirstDinerDash2Control Object) - http://webgames.d.tmsrv.com/c=6db12c5e4 ... 0.0.48.cab
O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} -
O18 - Protocol: Festoon - (no CLSID) - (no file)
O20 - AppInit_DLLs: repairs.dll

Fermer HijackThis.


Étape 10: AVG Anti-Spyware
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse.
Cliquer sur Analyse complète du système.
IMPORTANT: Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.

A la fin de l'analyse, cliquer sur Appliquer toutes les actions
Ensuite, Sauver le rapport: Enregistrer le rapport d'analyse puis Enregistrer le rapport sous.
Fermer AVG Anti-Spyware.


Étape 11: Utilisation du fichier repar.reg
Faire un clic droit sur repar.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 12: Renommage
Note 1: certains éléments seront peut-être absents, les noter et les signaler en réponse, après la fin de l'ensemble des étapes
Note 2: une dizaine de jours après la désinfection, après avoir vérifié que tous tes programmes fonctionnent correctement, ces dossiers/fichiers ainsi renommés pourront être définitivement supprimés.
Renommer (clic droit sur le nom du fichier) les fichiers ci-dessous en ajoutant .non derrière leur extension:

C:\WINDOWS\system32\dnsrslve.exe (à renommer en dnsrslve.exe.non)
C:\WINDOWS\system32\KYSVCCD.EXE (à renommer en KYSVCCD.EXE.non)
C:\WINDOWS\system32\microsoft.exe (à renommer en microsoft.exe.non)
C:\WINDOWS\system32\MSLSA32.exe (à renommer en MSLSA32.exe.non)
C:\WINDOWS\system32\msnt32.exe (à renommer en msnt32.exe.non)
C:\WINDOWS\system32\wincmd.exe (à renommer en wincmd.exe.non)
C:\WINDOWS\system32\windowsp.exe (à renommer en windowsp.exe.non)
C:\WINDOWS\system32\wN2S.exe (à renommer en wN2S.exe.non)
C:\WINDOWS\system32\wuamkop.exe (à renommer en wuamkop.exe.non)


Étape 13: Nettoyage
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage". Fermer le programme.


Étape 14: Redémarrage
Redémarrer en mode normal.


Étape 15: BlackLight (de F-Secure)
Double-cliquer sur le fichier fsbl.exe, lire et accepter la licence (cocher le bouton devant "I accept the agreement").
Cliquer sur Next puis sur Scan
Attendre (jusqu'à 10 mn).
Pendant le scan, il y a affichage de la liste des dossiers balayés.

En fin d'exécution, le résultat s'affiche.
Cliquer sur Close
NE PAS choisir l'option 2 "Cleaning/Rename" maintenant: il faut analyser le rapport!


Étape 16: Résultats
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de AVG Anti-Spyware enregistré lors de l'étape 10
*- le rapport de BlackLight (contenu du fichier fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres indiquant le jour et l'heure))

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 05 Oct 2007, 16:28

Bonjour,

Une analyse d'un journal produit par HijackThis (et, éventuellement, ceux d'autres outils utilisés conjointement) demande de 30 à 120 minutes offertes par un bénévole pour vous aider, vous assister et décontaminer votre machine. Ce temps est pris sur sa vie privée.

L'analyse ci-dessus n'a donné lieu à aucun remerciement ni aucune communication sur le nouvel état des lieux, comme si le service rendu allait de soi, était un dû, la gratuité une norme et le fruit du travail des autres un sollicité puis volé dont on use et abuse avec un parfait je m’en foutisme.

Eh bien, non ! Nous n’avons pas été élevés ainsi ! Nous ne sommes pas de ce monde et si ces forums sont un libre service, on doit savoir y dire « Merci » après un « S’il vous plaît ».

Ce fil de discussion est donc fermé par l'un des modérateurs de ces forums.

Pour le ré-ouvrir, faire une demande.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 10 invités

cron