| Analyse de rapport MB ? | |
|
|
Auteur | Message |
---|
kwini Membre
Nombre de messages : 20 Age : 45 Date d'inscription : 29/08/2008
| Sujet: Analyse de rapport MB ? Mar 2 Déc - 17:36:52 | |
| Bonjour, controle de routine ce matin (mon PC rame un peu). après avoir nettoyé avec spybot puis adaware, j'execute MalewareBytes : 3 infections :
Malwarebytes' Anti-Malware 1.30 Version de la base de données: 1445 Windows 5.1.2600 Service Pack 2
02/12/2008 15:28:11 mbam-log-2008-12-02 (15-28-04).txt
Type de recherche: Examen complet (C:\|) Eléments examinés: 109239 Temps écoulé: 58 minute(s), 9 second(s)
Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 1 Dossier(s) infecté(s): 1 Fichier(s) infecté(s): 1
Processus mémoire infecté(s): (Aucun élément nuisible détecté)
Module(s) mémoire infecté(s): (Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dllschannel.dlldigest.dllmsnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> No action taken.
Dossier(s) infecté(s): C:\Documents and Settings\NetworkService\Application Data\sysproc64 (Trojan.Agent) -> No action taken.
Fichier(s) infecté(s): C:\Documents and Settings\NetworkService\Application Data\sysproc64\sysproc32.sys (Trojan.Agent) -> No action taken.
voici le log hijackthis :
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:33:59, on 02/12/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Microsoft ActiveSync\wcescomm.exe C:\Program Files\DartyBox_v3\Bewan\AssistantDB\AssistantDB_Bewan.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\évribadi\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dartybox.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Assistant DartyBox] C:\Program Files\DartyBox_v3\Bewan\AssistantDB\AssistantDB_Bewan.exe -m O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: GigaTribe.lnk = C:\Program Files\GigaTribe\gigatribe.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O15 - Trusted Zone: http://www.secuser.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\508\G2AWinLogon.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing) O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing) O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing) O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\508\g2aservice.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Jumpstart Wifi Protected Setup (jswpsapi) - Atheros Communications, Inc. - C:\Program Files\DartyBox_v3\Bewan\NetAgent\jswpsapi.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
-- End of file - 8405 bytes
Quelqu'un peut m'aider à interpréter ça ?
Merci d'avance. K
Dernière édition par kwini le Mer 3 Déc - 14:09:05, édité 1 fois | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: Analyse de rapport MB ? Mar 2 Déc - 17:40:15 | |
| Bonjour kwini et Tu peux supprimer ce que malwarebytes a trouvé As-tu un problème en particulier ?? | |
|
| |
kwini Membre
Nombre de messages : 20 Age : 45 Date d'inscription : 29/08/2008
| Sujet: Re: Analyse de rapport MB ? Mar 2 Déc - 19:37:54 | |
| Hello, non on dirait que ça va mieux. C'est quoi les trucs que MB a trouvé ? Je les ai supprimés... Faut que je relance un scan ? | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: Analyse de rapport MB ? Mar 2 Déc - 23:26:45 | |
| Tu avais 2 trojans...
est ce que tu as bien vider la quarantaine de malwarebytes ??
Et est ce que tu as le logiciel Spybot ?? | |
|
| |
kwini Membre
Nombre de messages : 20 Age : 45 Date d'inscription : 29/08/2008
| Sujet: Re: Analyse de rapport MB ? Mer 3 Déc - 1:47:34 | |
| oui j'ai vidé la quarantaine de malwarebytes. ET j'ai spybot. Je l'avais lancé avant de lancer MB. Si Malwarebytes les a supprimés, je suis tranquille ? Le pb est que je n'ai pas lancé MB en mode sans échec, donc ils ont peut-être eu le temps de se transmettre avant d'être supprimés ? | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: Analyse de rapport MB ? Mer 3 Déc - 1:55:50 | |
| fais une analyse avec spybot... Supprime ce qu il trouvera et ensuite vas faire une analyse complete avec malwarebytes en mode sans échec stp Voici mon tutoriel qui t aidera à supprimer correctement | |
|
| |
kwini Membre
Nombre de messages : 20 Age : 45 Date d'inscription : 29/08/2008
| Sujet: Re: Analyse de rapport MB ? Mer 3 Déc - 14:08:49 | |
| Hello, analyse malwarebytes terminée avec 0 document infecté. C'est incroyable que antivir n'ai pas vu venir les deux trojans... Je classe en résolu :-) | |
|
| |
bluestyle Contributeur
Nombre de messages : 158 Age : 53 Localisation : canada Système d\'exploitation * : Windows Date d'inscription : 23/11/2008
| Sujet: Re: Analyse de rapport MB ? Mer 3 Déc - 14:39:47 | |
| kwini, Trace d'Avast à désinstaller.Relancer HijackThis, • Appuyer sur [ Do a system scan only], • Cocher toutes les lignes suivantes et >>> Fermer les navigateurs, logiciels.. <<< • Appuyer sur [ Fix Checked] pour les supprimer. O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing) O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing) O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing) ________________________________________________________ Suite de la désinstallation des services (ligne 023-) d'Avast. Aller dans Démarrer --> Exécuter..., copier/coller y les lignes suivantes (une après l'autre) et valider pour chacune :. sc delete "avast! Web Scanner" sc delete "avast! Mail Scanner" sc delete "avast! Antivirus" sc delete aswUpdSvComplétez la désinstallation d'Avast avec l' Outil de désinstallation Avast. ________________________________________________________ Si nécessaire Antivir gratuit et en français S.V.P. !Téléchargement Antivir français (gratuit): http://www.free-av.com/fr/products/1/avira_antivir_personal__free_antivirus.html | |
|
| |
kwini Membre
Nombre de messages : 20 Age : 45 Date d'inscription : 29/08/2008
| Sujet: Re: Analyse de rapport MB ? Mer 3 Déc - 17:49:10 | |
| | |
|
| |
bluestyle Contributeur
Nombre de messages : 158 Age : 53 Localisation : canada Système d\'exploitation * : Windows Date d'inscription : 23/11/2008
| Sujet: Re: Analyse de rapport MB ? Mer 3 Déc - 19:04:44 | |
| kwini,
Pour le reste Geoffrey5 complètera avec vous.. | |
|
| |
kwini Membre
Nombre de messages : 20 Age : 45 Date d'inscription : 29/08/2008
| Sujet: Re: Analyse de rapport MB ? Jeu 4 Déc - 12:58:19 | |
| pourquoi, j'ai encore des actions à faire pour être peinard ? | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: Analyse de rapport MB ? Jeu 4 Déc - 13:32:26 | |
| Salut kwini
- Télécharge RegCleaner
- Une fois installé, double-clique sur son icône pour l'exécuter
- Dans la barre de menu, clique sur Options puis sélectionne Language => Choose the language
- recherche French.rlg et double-clique dessus pour appliquer la langue
- Clique ensuite sur Outils dans la barre de menu
- Sélectionne Nettoyage du registre => Nettoyeur de registre automatique
- RegCleaner va alors lancer le nettoyage automatiquement
- Coche ensuite les entrées invalides et clique sur Supprimer sélections => Terminer => Quitter
Et ensuite refais un nouveau rapport hijackthis stp | |
|
| |
Anthony5151 Modérateur
Nombre de messages : 177 Age : 36 Localisation : Reims (51) Système d\'exploitation * : Vista / Ubuntu Date d'inscription : 03/12/2008
| Sujet: Re: Analyse de rapport MB ? Jeu 4 Déc - 18:02:01 | |
| Bonjour à tous,
Pour info, ces fichiers semblent ajoutés par un trojan qui dérobe des mots de passe : "Troj/PWS-ATI is a password stealing Trojan for the Windows platform" d'après l'éditeur de logiciels de sécurité Sophos
Et apparemment, il ne crée pas que ce fichier...
Un scan avec SDFix (ou Combofix si rien n'est détecté) puis une modification des mots de passe sensibles s'imposent (banques, paypal... etc) | |
|
| |
kwini Membre
Nombre de messages : 20 Age : 45 Date d'inscription : 29/08/2008
| Sujet: Re: Analyse de rapport MB ? Jeu 4 Déc - 19:33:13 | |
| ah ? Hein ? Quoi ? Comment ? non sérieux, faut que je change tous mes mots de passe ? C'est quoi ça Troj/PWS-ATI ? J'ai pas eu ça moi... je suis concerné par ce post ? Arrrgh... On peut jamais être peinards... help please ! PS : Malwarebytes trouve rien, sypbot non plus. Recleaner non plus. | |
|
| |
kwini Membre
Nombre de messages : 20 Age : 45 Date d'inscription : 29/08/2008
| Sujet: Re: Analyse de rapport MB ? Jeu 4 Déc - 19:40:18 | |
| (Pour Geoffrey5) le rapport HijackThis
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:38:57, on 04/12/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Microsoft ActiveSync\wcescomm.exe C:\Program Files\DartyBox_v3\Bewan\AssistantDB\AssistantDB_Bewan.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Program Files\GigaTribe\gigatribe.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\évribadi\Bureau\XnView-win\XnView-win\XnView\xnview.exe C:\Program Files\Adobe\Photoshop 6.0\Photoshp.exe C:\Program Files\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\system32\notepad.exe C:\Program Files\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dartybox.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Assistant DartyBox] C:\Program Files\DartyBox_v3\Bewan\AssistantDB\AssistantDB_Bewan.exe -m O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: GigaTribe.lnk = C:\Program Files\GigaTribe\gigatribe.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O15 - Trusted Zone: http://www.secuser.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\508\G2AWinLogon.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\508\g2aservice.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Jumpstart Wifi Protected Setup (jswpsapi) - Atheros Communications, Inc. - C:\Program Files\DartyBox_v3\Bewan\NetAgent\jswpsapi.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
-- End of file - 7697 bytes | |
|
| |
Anthony5151 Modérateur
Nombre de messages : 177 Age : 36 Localisation : Reims (51) Système d\'exploitation * : Vista / Ubuntu Date d'inscription : 03/12/2008
| Sujet: Re: Analyse de rapport MB ? Jeu 4 Déc - 23:46:50 | |
| Le lien de Sophos est la seule référence sérieuse correspondant au fichier détecté par MalwareBytes sur ton ordinateur (le nom des infections change selon les éditeurs) : - Citation :
- The following data files are created:
<Profile>\LocalService\Application Data\sysproc64\sysproc32.sys De toute façon, à partir du moment où un trojan est détecté sur ton ordinateur, c'est une mesure de précaution de changer les mots de passe les plus sensibles (ceux qui donnent accès à de l'argent + les adresses e-mail) Mais avant de changer tes mots de passe, il faut vérifier que toute l'infection a été supprimée : Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : • Redémarre ton ordinateur • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". • Choisis ton compte. • Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. • Appuie sur une touche pour commencer le processus de nettoyage. • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. • Appuie sur une touche pour redémarrer le PC. • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt : copie le ici stp | |
|
| |
kwini Membre
Nombre de messages : 20 Age : 45 Date d'inscription : 29/08/2008
| Sujet: Re: Analyse de rapport MB ? Ven 5 Déc - 2:08:44 | |
| hello,
le rapport sdfix
SDFix: Version 1.240 Run by ‚vribadi on 04/12/2008 at 23:24
Microsoft Windows XP [version 5.1.2600] Running From: C:\SDFix
Checking Services :
Restoring Default Security Values Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-04 23:53:37 Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\Program Files\\TribalWeb.net\\tribalweb.exe"="C:\\Program Files\\TribalWeb.net\\tribalweb.exe:*:Enabled:TribalWeb.net : R‚seau priv‚ sur Internet" "C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus" "C:\\Program Files\\Soulseek\\slsk.exe"="C:\\Program Files\\Soulseek\\slsk.exe:*:Enabled:SoulSeek" "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule" "C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" "C:\\Program Files\\Sprite Software\\Sprite Backup\\SpriteService.exe"="C:\\Program Files\\Sprite Software\\Sprite Backup\\SpriteService.exe:*:Enabled:Sprite Backup PC Service" "C:\\Program Files\\GigaTribe\\gigatribe.exe"="C:\\Program Files\\GigaTribe\\gigatribe.exe:*:Enabled:gigatribe" "C:\\WINDOWS\\Temp\\NavBrowser.exe"="C:\\WINDOWS\\Temp\\NavBrowser.exe:*:Enabled:NAVBrowser" "C:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe"="C:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe:*:Enabled:Malwarebytes' Anti-Malware"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
Remaining Files :
Files with Hidden Attributes :
Tue 29 Jan 2008 6,219,320 A..H. --- "C:\Program Files\Picasa\setup.exe" Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll" Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe" Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll" Thu 8 May 2008 12,518 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys" Wed 19 Sep 2007 25,600 A..H. --- "C:\Backup\Mon Boulot 03-08\GS -le Pian-2007\~WRL0240.tmp" Wed 19 Sep 2007 21,504 A..H. --- "C:\Backup\Mon Boulot 03-08\GS -le Pian-2007\~WRL1023.tmp" Thu 12 Apr 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak" Mon 4 Oct 2004 417,792 A..H. --- "C:\Program Files\Canon\Canon Setup Utility 2.3\Maint.exe" Thu 27 May 2004 61,440 A..H. --- "C:\Program Files\Canon\Canon Setup Utility 2.3\uinstrsc.dll" Mon 29 Oct 2007 20,480 A..H. --- "C:\Backup\Mon Boulot 03-08\GS -le Pian-2007\emplois du temps semaine\~WRL0001.tmp" Fri 28 Dec 2007 25,600 A..H. --- "C:\Backup\Mon Boulot 03-08\PS - Flornoy-2008\Emplois du temps … la semaine\~WRL0001.tmp" Mon 24 Dec 2007 25,600 A..H. --- "C:\Backup\Mon Boulot 03-08\PS - Flornoy-2008\Emplois du temps … la semaine\~WRL0263.tmp" Thu 20 Dec 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp" Sun 14 Jan 2007 25,600 A..H. --- "C:\Backup\Mon Boulot 03-08\IUFM Stages PE2\Stage R1 Janv CE2 - CM2\Musique\~WRL0689.tmp" Sun 14 Jan 2007 23,040 A..H. --- "C:\Backup\Mon Boulot 03-08\IUFM Stages PE2\Stage R1 Janv CE2 - CM2\Musique\~WRL2284.tmp" Wed 10 Jan 2007 40,448 A..H. --- "C:\Backup\Mon Boulot 03-08\IUFM Stages PE2\Stage R1 Janv CE2 - CM2\Lecture suivie\Lecture suivie\~WRL3843.tmp" Tue 16 Jan 2007 168,448 ...H. --- "C:\Documents and Settings\All Users\Application Data\DartyBox\Drivers\WinXP\Setup.exe" Wed 19 Sep 2007 25,600 A..H. --- "C:\Documents and Settings\‚vribadi\Bureau\Mule\Ecole\GS - RENTREE 2007\~WRL0240.tmp" Wed 19 Sep 2007 21,504 A..H. --- "C:\Documents and Settings\‚vribadi\Bureau\Mule\Ecole\GS - RENTREE 2007\~WRL1023.tmp" Sat 15 Nov 2008 34,304 A..H. --- "C:\Documents and Settings\‚vribadi\Bureau\Mule\ce2-CM1\OUTILS Classe\P R O G R A M M A T I O N S\~WRL1233.tmp" Fri 24 Nov 2006 22,528 A..H. --- "C:\Documents and Settings\‚vribadi\Bureau\Mule\Ecole\A trier - documents trouves sur le bureau de mon ancien PC\Mon BOULOT\~WRL3879.tmp" Sun 19 Nov 2006 19,456 A..H. --- "C:\Documents and Settings\‚vribadi\Bureau\Mule\Ecole\A trier - documents trouves sur le bureau de mon ancien PC\Mon BOULOT\~WRL3978.tmp" Thu 15 May 2008 22,528 A..H. --- "C:\Documents and Settings\‚vribadi\Mes documents\6 [ P R O ]\2 0 0 8 - E D U C A T I O N N A T I O N A L E\Stage CM1 - SAUV 1905\Projet\~WRL0003.tmp" Sat 30 Dec 2006 24,576 A..H. --- "C:\Documents and Settings\‚vribadi\Bureau\Mule\Ecole\A trier - documents trouves sur le bureau de mon ancien PC\Mon BOULOT\Stage R1 Janv\~WRL1881.TMP"
Finished!
Faut que je change mes mdp ? Je me demande si ces trucs c'était pas des résidus de ma dernière attaque (un genre de rootkit ultra chiant à virer, je saurais pas trop me rappeller du truc mais ça a nécessité des dizaines de manips pour s'en débarrasser...et 3 jours :-/), ça me rappelle quelque choses ces deux noms sysproc 32 et 64. Peut-être une inscription dans la base des registres qui n'avait pas été nettoyée la dernière fois ? Parce que entre le grand nettoyage, l'antivir, le fire-wall windows et tout ça, j'aurais mal que cette sal..erie ait réussi à déjouer tout ça... | |
|
| |
Anthony5151 Modérateur
Nombre de messages : 177 Age : 36 Localisation : Reims (51) Système d\'exploitation * : Vista / Ubuntu Date d'inscription : 03/12/2008
| Sujet: Re: Analyse de rapport MB ? Ven 5 Déc - 7:28:47 | |
| SDFix n'a rien détecté, c'est bon signe ! En effet, le fichier détecté par MalwareBytes n'est pas le fichier principal de l'infection, toujours d'après Sophos. Il est donc fort possible que ce soit un reste de ta précédente infection qui n'avait pas été supprimé. Mais il fallait vérifier Pour tes mots de passe, ça ne fera pas de mal de changer les plus sensibles, mais c'est à toi de voir... - kwini a écrit:
- Parce que entre le grand nettoyage, l'antivir, le fire-wall windows et tout ça, j'aurais mal que cette sal..erie ait réussi à déjouer tout ça...
Le pare-feu de Windows xp est très rudimentaire... Pour ta protection en temps réel, tu n'as "que" Antivir, et c'est très bien. Tes autres logiciels ne font que des scans à la demande : MalwareBytes, Ad-Aware (inutile...) et Spybot. Mais les logiciels de sécurité, quels qu'ils soient, ont toujours un temps de retard sur les infections de toute façon, donc il aurait aussi été possible que ton ordinateur soit à nouveau infecté Reposte un rapport hijackthis, quelqu'un te donnera les derniers conseils pour finir (je ne serai pas présent avant lundi prochain) | |
|
| |
kwini Membre
Nombre de messages : 20 Age : 45 Date d'inscription : 29/08/2008
| Sujet: Re: Analyse de rapport MB ? Ven 5 Déc - 13:07:35 | |
| Hello, merci pour tout. Voilà le dernier rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:06:22, on 05/12/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Microsoft ActiveSync\wcescomm.exe C:\Program Files\DartyBox_v3\Bewan\AssistantDB\AssistantDB_Bewan.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Program Files\GigaTribe\gigatribe.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dartybox.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Assistant DartyBox] C:\Program Files\DartyBox_v3\Bewan\AssistantDB\AssistantDB_Bewan.exe -m O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: GigaTribe.lnk = C:\Program Files\GigaTribe\gigatribe.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O15 - Trusted Zone: http://www.secuser.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\508\G2AWinLogon.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\508\g2aservice.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Jumpstart Wifi Protected Setup (jswpsapi) - Atheros Communications, Inc. - C:\Program Files\DartyBox_v3\Bewan\NetAgent\jswpsapi.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
-- End of file - 7474 bytes
a plus | |
|
| |
shion-ares Modérateur
Nombre de messages : 323 Age : 54 Localisation : NANTES Système d\'exploitation * : xp ubuntu en test sur d'autre linux Date d'inscription : 17/09/2008
| Sujet: Re: Analyse de rapport MB ? Ven 5 Déc - 13:35:43 | |
| bonjour
maintenant il ne te reste plus qu'a installer le service pack 3 de windows xp
clique ICI | |
|
| |
Anthony5151 Modérateur
Nombre de messages : 177 Age : 36 Localisation : Reims (51) Système d\'exploitation * : Vista / Ubuntu Date d'inscription : 03/12/2008
| Sujet: Re: Analyse de rapport MB ? Sam 6 Déc - 19:09:45 | |
| 1) Sécurise ton ordinateur
* Installe Spyware Blaster : http://www.commentcamarche.net/telecharger/telecharger-226-spyware-blaster
Il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection »)
* En complément, garde MalwareBytes pour son scan de nettoyage performant.
- Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Tu peux trouver frd explications ici : http://www.malekal.com/securiser_Firefox.php
- Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : http://java.com/fr/
2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) :
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
Coche également toutes les lignes commençant par 016
Ensuite, clique sur "Fix checked"
3) Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : http://www.commentcamarche.net/telecharger/telechargement-34055291-toolscleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.
4) Télécharge et installe CCleaner (si ce n’est déjà fait) : http://www.ccleaner.com/download/builds/downloading-slim
Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
(Tu peux garder ce logiciel et l'utiliser régulièrement).
5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection).
* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés.
* Sélectionne l'onglet restauration du système
* Coche l'option Désactiver la restauration du système sur tous les lecteurs
* Clique sur OK.
Puis refais la manipulation inverse pour réactiver la restauration système. | |
|
| |
kwini Membre
Nombre de messages : 20 Age : 45 Date d'inscription : 29/08/2008
| Sujet: Re: Analyse de rapport MB ? Sam 6 Déc - 22:02:59 | |
| ok je m'occupe de tout ça. Merci beaucoup pour toutes ces infos.
Si je résume, pour avoir une sécurité optimale : - installer le dernier service pack disponible pour windaube - MAJ de firefox pour avoir toujours la dernière version - MAJ de java pour avoir toujours la dernière version - antivir en permanence - sypware blaster, sypbot et malwarebytes régulièrement pour vérifier qu'il n'y a pas d'infection (tous les 10 jours donc) - regcleaner et ccleaner pour finir de virer les entrées inutiles - point de restauration
C'est bon ou j'oublie des trucs ? A plus | |
|
| |
Patdam Membre
Nombre de messages : 75 Age : 61 Date d'inscription : 13/11/2008
| Sujet: Re: Analyse de rapport MB ? Lun 8 Déc - 0:41:44 | |
| Salut à tous J'intervient juste dans ce post pour demander si vous pouvez m'expliquer à quoi correspondent ces lignes : - Citation :
- O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') Je vois souvent qu'il faut les cocher dans Hijackthis mais je ne trouve pas à quoi elles servent. Merci @+ | |
|
| |
Anthony5151 Modérateur
Nombre de messages : 177 Age : 36 Localisation : Reims (51) Système d\'exploitation * : Vista / Ubuntu Date d'inscription : 03/12/2008
| Sujet: Re: Analyse de rapport MB ? Lun 8 Déc - 21:21:21 | |
| @ kwini : Oui en gros c'est ça En complément, je t'invite à consulter cet article : Prévention et sécurité sur internet En plus des logiciels de sécurité et des mises à jour de tes programmes, il explique comment la plupart des infections s'installe, et les erreurs à ne pas commettre pour éviter l'infection @ Patdam : C'est un processus Windows, mais il n'est pas nécessaire qu'il se lance au démarrage de l'ordinateur. Il correspondant apparemment à tout ce qui est alternatif au clavier pour l'acquisition de texte (reconnaissance vocale, reconnaissance d'écriture...). Source | |
|
| |
Patdam Membre
Nombre de messages : 75 Age : 61 Date d'inscription : 13/11/2008
| Sujet: Re: Analyse de rapport MB ? Mar 9 Déc - 0:40:00 | |
| Ok, merci Anthony5151, je vais de ce pas désactiver ces processus qui ne me servent à rien.
@+ | |
|
| |
bluestyle Contributeur
Nombre de messages : 158 Age : 53 Localisation : canada Système d\'exploitation * : Windows Date d'inscription : 23/11/2008
| Sujet: Re: Analyse de rapport MB ? Mar 9 Déc - 1:04:00 | |
| Patdam,
Va être utile, entre autre aussi, pour les langue asiatiques via texte manuscrit. Pas besoin d'un MP pour ça ! | |
|
| |
Contenu sponsorisé
| Sujet: Re: Analyse de rapport MB ? | |
| |
|
| |
| Analyse de rapport MB ? | |
|