trojan - au secours

trojan - au secours - Sécurité - Windows & Software

Marsh Posté le 04-07-2006 à 18:43:10    

Hello hello,  .... et au secours !!
 
j'ai choppé la même un saleté de trojean que tof007  (obligée de demarrer ma page internet par www.sysnetsecurity.com au lieu de google comme spécifié dans l'option de IE). De temps en temps j'ai des pages internet qui s'ouvrent toutes seules et des icones qui apparaissent en bas à droite de XP qui me disent que mon PC est infecté de pop up.  Mon PC rame etc.  
 
j'ai commencé à suivre la procédure conseillée par the bruce lee à tof007, mais comme je suis assez naze en informatique, j'ai peur de faire plus de mal que de bien à mon pauvre pc, si je la mène jusqu'au bout alors qu'elle ne correspond par exactement à ma cochonnerie de trojan...
 
Si quelqu'un avait la gentillesse de me dire ce que je dois faire.... je lui serai éternellement reconnaissante !!
j'ai lancé mon appel au secours à the bruce lee, mais au cas où il soit en vacances ou ai autre chose à faire que sauver tout le monde... svp le premier qui a 10 minutes pour moi.................
 
MERCI !!!
 
voici les rapports  
hijackthis tout d'abord:
 
Logfile of HijackThis v1.99.1
Scan saved at 04:23:28, on 04/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\ICO.EXE
C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Sony\VAIO Camera Utility\VCUSet.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ANNEHA~1\LOCALS~1\Temp\Rar$EX00.594\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com/fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe"
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/fr/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://extranet.accetys.com/Remote/msrdp.cab
O16 - DPF: {FA9740A2-5802-42E2-B509-81186EEB3C42} (WABControl Class) - http://www.linkedin.com/cab/wabctrl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Program Files\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\IntegratedServer\HTTP (file missing)
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway Server (file missing)
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
 
puis smitfraudfix en mode sans échec:
SmitFraudFix v2.67
 
Rapport fait à 16:19:50,25, 04/07/2006
Executé à partir de C:\Documents and Settings\Anne Hanoteau\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
C:\WINDOWS\system32\atmclk.exe PRESENT !
C:\WINDOWS\system32\dcomcfg.exe PRESENT !
C:\WINDOWS\system32\hp???.tmp PRESENT !
C:\WINDOWS\system32\hp????.tmp PRESENT !
C:\WINDOWS\system32\ld???.tmp PRESENT !
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\regperf.exe PRESENT !
C:\WINDOWS\system32\simpole.tlb PRESENT !
C:\WINDOWS\system32\stdole3.tlb PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Anne Hanoteau\Application Data
 
puis smitfraudfix en mode nettoyage:
SmitFraudFix v2.67
 
Rapport fait à 16:48:00,34, 04/07/2006
Executé à partir de C:\Documents and Settings\Anne Hanoteau\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
 
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 
GenericRenosFix by S!Ri
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
 
C:\WINDOWS\system32\atmclk.exe supprimé
C:\WINDOWS\system32\dcomcfg.exe supprimé
C:\WINDOWS\system32\hp???.tmp supprimé
C:\WINDOWS\system32\ld???.tmp supprimé
C:\WINDOWS\system32\ot.ico supprimé
C:\WINDOWS\system32\regperf.exe supprimé
C:\WINDOWS\system32\simpole.tlb supprimé
C:\WINDOWS\system32\stdole3.tlb supprimé
C:\WINDOWS\system32\ts.ico supprimé
C:\WINDOWS\system32\1024\ supprimé
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 
A TRES TRES BIENTOT J'ESPERE


Message édité par pouloua le 23-07-2006 à 01:55:24
Reply

Marsh Posté le 04-07-2006 à 18:43:10   

Reply

Marsh Posté le 04-07-2006 à 19:06:25    

bonsoir
 
et où en sont tes problèmes, maintenant que tu as abattu 95% du boulot ?

Reply

Marsh Posté le 04-07-2006 à 22:26:06    

bonsoir,
 
merci de m'avoir répondu  :)  
 
eh bien je peux manier IE comme je veux (les options comme la page d'accueil fonctionnent de nouveau)
 
mais le pc est toujours très lent. Sais-tu comment je peux vérifier que je suis bien débarassée de cette saleté ?
 
merci encore  

Reply

Marsh Posté le 04-07-2006 à 23:17:15    

Bonjour, vu tout les progs qui se lancent au boot, ca ne m'étonne pas, télécharges ewido et poste un log de scan ;)

Reply

Marsh Posté le 04-07-2006 à 23:18:38    

panneau de configuration / options internet -> "supprimer les fichiers", "supprimer les cookies"
 
puis poste un rapport Panda
 
http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

Reply

Marsh Posté le 05-07-2006 à 00:35:57    

eZula,
voila le rapport de Panda ci-dessous
 
Med 365, je m'y mets - mais une question:
ewido, Panda, HiJackthis, SmitFraud... et Kaspersky que j'ai acheté et bien installé: ne doublonnent-ils pas ? je m'y perds !

Reply

Marsh Posté le 05-07-2006 à 00:36:18    

rapport PANDA:
Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                          
 
Adware:adware/emediacodec                                                       No Désinfecté                 c:\program files\Media-Codec                                                                                                                                                                                                                                    
Adware:adware/xpasswordmanager                                                  No Désinfecté                 Registre Windows                                                                                                                                                                                                                                                
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\Anne Hanoteau\Bureau\SmitfraudFix\SmitfraudFix\Process.exe                                                                                                                                                                            
Virus:W32/Bagle.pwdzip                                                          Désinfecté                    C:\Documents and Settings\Anne Hanoteau\Bureau\SmitfraudFix.zip                                                                                                                                                                                                  

Reply

Marsh Posté le 05-07-2006 à 01:23:25    

Panda est facilement désinstallable
 
Supprime ce dossiers :
c:\program files\Media-Codec
C:\Documents and Settings\Anne Hanoteau\Bureau\SmitfraudFix
 
et vide la corbeille
 
est-ce que tu penses que ton pb est réglé à présent ?

Reply

Marsh Posté le 05-07-2006 à 01:41:39    

Salut eZula,
que dit le scan panda ci-dessus à ton avis?

Reply

Marsh Posté le 05-07-2006 à 01:42:07    

Voici aussi le scan ewido:
 
---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------
 
 + Created at: 01:37:10 05/07/2006
 
 + Scan result:  
 
 
 
C:\Program Files\Media-Codec -> Trojan.Small : No action taken.
C:\Program Files\Media-Codec\uninst.exe -> Trojan.Small : No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\\kernel32.dll -> Trojan.Small : No action taken.
 
 
::Report end
 
ça n'a pas l'air résolu... chaque scan me dit qu'il reste un trojan

Reply

Marsh Posté le 05-07-2006 à 01:42:07   

Reply

Marsh Posté le 05-07-2006 à 01:42:58    

oups pardon j'avais mal lu ton conseil suite à scan Panda - je fais ça tout de suite - merci

Reply

Marsh Posté le 05-07-2006 à 01:45:05    

si tu n'as pas saisi mon dernier message, en gros il dit que
- le dossier c:\program files\Media-Codec est hostile -> il faut donc le supprimer
 -il y a une trace de adware/xpasswordmanager dans ton registre, mais ce n'est pas bien méchant (en outre, il ne donne pas le chemin de la clé, c'est une grande faiblesse de Panda, ça)
 
- ensuite il te dit que le dossier smitfraudfix contient un fichier potentiellement dangereux, process.exe. Ce fichier n'est pas dangereux en réalité, il est nécessaire pour que le Fix fasse ses suppressions tranquillement. De toutes façons, supprime ce dossier quand même car cet utilitaire est mis à jour très souvent.

Reply

Marsh Posté le 05-07-2006 à 01:47:29    

est-ce que je peux creuser le pb adware/xpasswordmanager avec un autre anti spyware ? par exemple ewido ?
 
sinon j'ai bien supprimé SmitFraudfix (néanmoins tu me confirmes que c'est bien SmitFraudFix qui m'a supprimé la majeure partie du pb au début? que SmitFraudFix c'était bien un "ami"?)

Reply

Marsh Posté le 05-07-2006 à 01:51:29    

Citation :

néanmoins tu me confirmes que c'est bien SmitFraudFix qui m'a supprimé la majeure partie du pb au début? que SmitFraudFix c'était bien un "ami"?


 
oui oui tout à fait, cet utilitaire est tout sauf dangereux.
En fait je pense que Ewido donne le chemin du malware dans le registre
 
démarrer/exécuter, tape regedit
va à la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
dans le panneau de droite, supprime la valeur "kernel32.dll"

Reply

Marsh Posté le 05-07-2006 à 02:17:14    

dans cette clé je ne trouve pas kernel32.dll  
 
je n'y vois que:
(par defaut) (valeur non définie)
dcomcfg.exe
regperf.exe

Reply

Marsh Posté le 05-07-2006 à 02:19:31    

par contre je trouve kernel32.dll dans c:\windows\system32
 
ce qui est normal, non??

Reply

Marsh Posté le 05-07-2006 à 02:22:27    

supprime ces deux valeurs à cette clé de registre
dcomcfg.exe
regperf.exe
 
par contre le fichier kernel32.dll dans c:\windows\system32 est légitime, n'y touche pas.

Reply

Marsh Posté le 05-07-2006 à 02:28:38    

ok merci - peux-tu m'expliquer en 2 mots ce que sont dcomcfg.exe et regperf.exe ??

Reply

Marsh Posté le 05-07-2006 à 02:31:56    

ces deux fichiers appartiennent à cette famille de faux utilitaires de sécurité qui détournent les pages internet, ou provoquent ces faux messages d'alerte dont tu as fait les frais.
Ils sont détectés par le SmitfraudFix (qui est l'utilitaire par excellence ppour ce genre d'infection), d'ailleurs tu peux voir ici tout ce qu'il supprime http://siri.urz.free.fr/Fix/ChangeLog.php

Reply

Marsh Posté le 05-07-2006 à 02:34:35    

ok merci beaucoup
 
incroyable: pendant qu'on parlait, regperf.exe a disparu (tout seul) et à la place je vois wininet.dll
 
dcomcfg.exe est toujours là.  
Je supprime aussi dcomcfg.exe et wininet.dll ??

Reply

Marsh Posté le 05-07-2006 à 02:35:45    

ok wininet.dll = regperf.exe
 
désolée

Reply

Marsh Posté le 05-07-2006 à 02:38:37    

relance quand même le SmitfraudFix option 1, c'est bizarre tout ça

Reply

Marsh Posté le 05-07-2006 à 02:51:59    

voici le rapport:
SmitFraudFix v2.67
 
Rapport fait à  2:51:37,04, 05/07/2006
Executé à partir de C:\Documents and Settings\Anne Hanoteau\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Anne Hanoteau\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ANNEHA~1\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 

Reply

Marsh Posté le 05-07-2006 à 02:53:32    

merci d'avoir été là si tard.... à bientôt et bonne nuit :-)

Reply

Marsh Posté le 05-07-2006 à 19:09:47    

Salut, ne supprime pas le fichier Process.exe du dossier smitfraudfix, il est détecté comme application à risque par certains progs de secu car il pourrait servir à désactiver les systemes de protection.

Reply

Marsh Posté le 06-07-2006 à 01:49:08    

ok med365 - et merci à tous
 
une toute dernière question: les derniers rapports que j'ai posté montrent bien que le pc n'est plus infecté, n'est-ce pas ?
 
merci

Reply

Marsh Posté le 06-07-2006 à 09:10:05    

bonjour
 
à partir du moment où tu n'as plus besoin du SmitfraudFix, tu peux supprimer son dossier (et donc process.exe)
 
apparemment tout a l'air ok. Mais si tu veux tu peux refaire un dernier scan Panda.

Reply

Marsh Posté le 07-07-2006 à 10:42:08    

horreur - nouveau scan panda annonce 1 virus, 13 objets malveillant et 1 trojan...
 
 
Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                          
 
Adware:adware/emediacodec                                                       No Désinfecté                 Registre Windows                                                                                                                                                                                                                                                
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\Anne Hanoteau\Application Data\Mozilla\Firefox\Profiles\245n8k2h.default\cookies.txt[.xiti.com/]                                                                                                                                      
Spyware:Cookie/Weborama                                                         No Désinfecté                 C:\Documents and Settings\Anne Hanoteau\Application Data\Mozilla\Firefox\Profiles\245n8k2h.default\cookies.txt[.weborama.fr/]                                                                                                                                    
Spyware:Cookie/RealMedia                                                        No Désinfecté                 C:\Documents and Settings\Anne Hanoteau\Application Data\Mozilla\Firefox\Profiles\245n8k2h.default\cookies.txt[.247realmedia.com/]                                                                                                                              
Spyware:Cookie/Doubleclick                                                      No Désinfecté                 C:\Documents and Settings\Anne Hanoteau\Application Data\Mozilla\Firefox\Profiles\245n8k2h.default\cookies.txt[.doubleclick.net/]                                                                                                                                
Spyware:Cookie/Atlas DMT                                                        No Désinfecté                 C:\Documents and Settings\Anne Hanoteau\Application Data\Mozilla\Firefox\Profiles\245n8k2h.default\cookies.txt[.atdmt.com/]                                                                                                                                      
Spyware:Cookie/Bluestreak                                                       No Désinfecté                 C:\Documents and Settings\Anne Hanoteau\Application Data\Mozilla\Firefox\Profiles\245n8k2h.default\cookies.txt[.bluestreak.com/]                                                                                                                                
Spyware:Cookie/RealMedia                                                        No Désinfecté                 C:\Documents and Settings\Anne Hanoteau\Cookies\anne hanoteau@247realmedia[1].txt                                                                                                                                                                                
Spyware:Cookie/Atlas DMT                                                        No Désinfecté                 C:\Documents and Settings\Anne Hanoteau\Cookies\anne hanoteau@atdmt[2].txt                                                                                                                                                                                      
Spyware:Cookie/Bluestreak                                                       No Désinfecté                 C:\Documents and Settings\Anne Hanoteau\Cookies\anne hanoteau@bluestreak[1].txt                                                                                                                                                                                  
Spyware:Cookie/Doubleclick                                                      No Désinfecté                 C:\Documents and Settings\Anne Hanoteau\Cookies\anne hanoteau@doubleclick[2].txt                                                                                                                                                                                
Spyware:Cookie/Weborama                                                         No Désinfecté                 C:\Documents and Settings\Anne Hanoteau\Cookies\anne hanoteau@weborama[1].txt                                                                                                                                                                                    
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\Anne Hanoteau\Cookies\anne hanoteau@xiti[1].txt                                                                                                                                                                                        
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\Anne Hanoteau\Mes documents\PC & Internet\SmitfraudFix\SmitfraudFix\Process.exe                                                                                                                                                        
Virus:W32/Bagle.pwdzip                                                          Désinfecté                    C:\RECYCLER\S-1-5-21-1179001135-1024208226-3939802731-1006\Dc1.zip                                                                                                                                                                                              

Reply

Marsh Posté le 08-07-2006 à 10:01:06    

Salut, il serait préférable que tu effetues cette manip en mode sans échecs :
 
1/ vide les cookies, l'historique et le cache internet
 
2/ Vide la corbeille
 
3/ Fait démarrer/éxécuter et tapes Regsvr32 /u wininet.dll
 
@+

Reply

Marsh Posté le 09-07-2006 à 00:23:57    

salut, j'ai fait 1/2/3/ malheureusement le message est:
 
'Wininet.dll a été chargé mais le point d'entrée DllUnregisterServer est introuvable. Ce fichier ne peut pas être enregistré.

Reply

Marsh Posté le 09-07-2006 à 11:55:55    

Salut, éssaies comme ca :

wininet.dll /unreg

Reply

Marsh Posté le 09-07-2006 à 13:57:48    

salut
 

med365 a écrit :

Salut, éssaies comme ca :

wininet.dll /unreg


 
quel est l'intérêt de cette manip ?

Reply

Marsh Posté le 09-07-2006 à 14:11:29    

Essayer de virer les entrées wininet du registre, si ca foire on verra avec JV16 peut etre :D

Reply

Marsh Posté le 09-07-2006 à 23:33:18    

on me demande d'"Ouvrir avec"... et de choisir un programme... kezako ?

Reply

Marsh Posté le 10-07-2006 à 00:19:33    

bonsoir
 
télécharge RegSearch http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Dézippe-le sur ton bureau.
 
Double-clique sur le fichier .vbs et dans la petite boite de dialogue entre ce terme :
mediacodec
Clique "ok" et patiente. Quand il a terminé, le bloc-notes va s'ouvrir avec les résultats de la recherche dans le registre, poste son contenu
 
Puis recommence avec ces 3 noms :
atmclk
dcomcfg
regperf

Reply

Marsh Posté le 11-07-2006 à 02:51:39    

search completed in 30 seconds. No instances of 'mediacodec' found.
search completed in 29 seconds. No instances of 'atmclk' found.  
search completed in 29 seconds. No instances of 'dcomcfg' found.  
search completed in 29 seconds. No instances of 'regperf' found.  


Message édité par pouloua le 11-07-2006 à 02:57:28
Reply

Marsh Posté le 11-07-2006 à 02:53:07    

????????????  :pt1cable:


Message édité par pouloua le 11-07-2006 à 02:58:16
Reply

Marsh Posté le 11-07-2006 à 02:54:13    

que fait-on Docteur ?


Message édité par pouloua le 11-07-2006 à 02:56:47
Reply

Marsh Posté le 11-07-2006 à 18:14:00    

où en sont tes pbs ?
 
une nouvelle version de smitfraudfix est sortie, ce serait peut etre une bonne occasion de la tester :)
 
option 1 -> poste le rapport, pour voir

Reply

Marsh Posté le 11-07-2006 à 19:10:59    

Salut, on dirait qu'il n'y a plus de trace de regperf mais que ca s'est changé en cette dll wininet, recherche dans le registre avec.
 
eZula ? Media Gateway d'apres toi ?

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed