Problème au démarrage du PC et trojan récurrents

Problème au démarrage du PC et trojan récurrents - Sécurité - Windows & Software

Marsh Posté le 16-08-2005 à 01:02:33    

Bonjour, désolé mais j'ai un problème avec un autre PC (boulot). Voici le log Hijackthis:
 
Logfile of HijackThis v1.99.1
Scan saved at 01:00:54, on 15/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\etb\pokapoka63.exe
C:\Program Files\SurfAccuracy\SAcc.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\hpdriver.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\System32\Rpcmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ABox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\FrancisFredo\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://imp4.free.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://192.168.0.4/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot
O4 - HKLM\..\Run: [3dfx Task Manager] "C:\Program Files\3dfx Interactive\3dfx Tools\Apps\3dfxMan.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [ABox] C:\WINDOWS\ABox.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pao_med.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/software [...] egular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 1378472968
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: AVPCC - Unknown owner - C:\PROGRA~1\ANTIVI~1\avpcc.exe (file missing)
O23 - Service: hpdriver - Unknown owner - C:\WINDOWS\hpdriver.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe
O23 - Service: RA Server (Slave) - Unknown owner - C:\WINDOWS\Slave.exe (file missing)
 

Reply

Marsh Posté le 16-08-2005 à 01:02:33   

Reply

Marsh Posté le 16-08-2005 à 06:14:38    

Bonjour
 
1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html    
Installe le dans un répertoire dédié.
 
Ewido  
http://www.ewido.net/fr/download/
Tu l'installes et tu le mets à jour.
 
2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.  
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.
 
3 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.  
Dans la liste des services, cherche et sélectionne  
"Remote Procedure Call" / double clique sur la ligne  
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il  
s'agit bien de "C:\WINDOWS\System32\Rpcmon.exe " / dans Type de démarrage,  
sélectionne Désactiver / valide la modification.  
 
Recommences avec RA Server  et C:\WINDOWS\Slave.exe
 
4 Désinstalle ces applications  (si tu les trouves) dans Ajout-Suppression de programmes :
 
SurfAccuracy
 
5 Relance un scan HijackThis et coche les lignes ci-dessous :
 
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe  
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe  
O4 - HKLM\..\Run: [ABox] C:\WINDOWS\ABox.exe  
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe  
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pao_med.exe  
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/software [...] egular.cab  
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe  
O23 - Service: RA Server (Slave) - Unknown owner - C:\WINDOWS\Slave.exe (file missing)  
 
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
 
6 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
 
7 Supprime les fichiers/dossiers incriminés  (s'ils existent encore) :
 
C:\Program Files\SurfAccuracy
C:\WINDOWS\etb
C:\WINDOWS\ABox.exe
C:\WINDOWS\logon.exe
C:\WINDOWS\Slave.exe
C:\WINDOWS\System32\Rpcmon.exe
 
8 Lance et exécute Ewido
Sauvegarde le rapport.
 
9 Lance et exécute CCleaner.
 
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
10 Redémarre normalement.
 
11 Fais une analyse antivirus en ligne sur Panda
http://www.pandasoftware.com/activ [...] ncipal.htm
 
Colle ici les rapports d'Ewido et de Panda, avec un nouveau log HijackThis.


Message édité par chercheurbis le 16-08-2005 à 06:15:31
Reply

Marsh Posté le 16-08-2005 à 14:02:55    

---------------------------------------------------------
 ewido security suite - Rapport de scan
---------------------------------------------------------
 
 + Créé le:  13:38:02, 15/08/2005
 + Somme de contrôle: 3423FAA4
 
 + Résultats du scan:
 
 HKLM\SOFTWARE\Classes\CLSID\{02C20140-76F8-4763-83D5-B660107BABCD} -> Spyware.EliteBar : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Classes\CLSID\{86227D9C-0EFE-4f8a-AA55-30386A3F5686} -> Spyware.YourSiteBar : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Classes\Interface\{03B800F9-2536-4441-8CDA-2A3E6D15B4F8} -> Spyware.YourSiteBar : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Classes\Interface\{A74CD7DE-EA6F-11D4-ABF3-000102378429} -> Spyware.EliteBar : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Classes\Interface\{DFBCC1EB-B149-487E-80C1-CC1562021542} -> Spyware.YourSiteBar : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Classes\TypeLib\{4EE12B71-AA5E-45EC-8666-2DB3AD3FDF44} -> Spyware.YourSiteBar : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Classes\TypeLib\{A74CD7DD-EA6F-11D4-ABF3-000102378429} -> Spyware.EliteBar : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Classes\Ysb.YsbObj -> Spyware.YourSiteBar : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Classes\Ysb.YsbObj\CLSID -> Spyware.YourSiteBar : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Classes\Ysb.YsbObj\CurVer -> Spyware.YourSiteBar : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YourSiteBar -> Spyware.ISTBar : Nettoyer et sauvegarder
 HKLM\SOFTWARE\YourSiteBar -> Spyware.ISTBar : Erreur durant le nettoyage
 HKLM\SOFTWARE\YourSiteBar\Historyfiles -> Spyware.ISTBar : Erreur durant le nettoyage
 HKLM\SOFTWARE\YourSiteBar\Historysearch -> Spyware.ISTBar : Erreur durant le nettoyage
 HKU\S-1-5-21-682003330-725345543-1587542522-1003\Software\IST -> Spyware.ISTBar : Nettoyer et sauvegarder
 :mozilla.15:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder
 :mozilla.17:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
 :mozilla.18:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
 :mozilla.19:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
 :mozilla.27:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
 :mozilla.30:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder
 :mozilla.49:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Realmedia : Nettoyer et sauvegarder
 :mozilla.56:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
 :mozilla.57:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
 :mozilla.58:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
 :mozilla.59:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
 C:\Documents and Settings\LocalService\Cookies\system@paypopup[1].txt -> Spyware.Cookie.Paypopup : Nettoyer et sauvegarder
 C:\Documents and Settings\LocalService\Cookies\system@ysbweb[2].txt -> Spyware.Cookie.Ysbweb : Nettoyer et sauvegarder
 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\joysaver[1].cab/m67m.ocx -> Spyware.MediaMotor : Nettoyer et sauvegarder
 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\v3cab[1].cab/v3.dll -> Spyware.EliteBar : Nettoyer et sauvegarder
 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\SAcc[1].prod.11jui2005.exe.dd2bfdb316c9bf8d02d2419aba787f66 -> Spyware.SurfAccuracy : Nettoyer et sauvegarder
 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\G9QBRQLY\v3cab[1].cab/v3.dll -> Spyware.EliteBar : Nettoyer et sauvegarder
 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\m11[1].jpg/y.bat -> Trojan.Zapchast : Nettoyer et sauvegarder
 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\istsvc[1].exe -> TrojanDownloader.IstBar : Nettoyer et sauvegarder
 C:\Program Files\ISTsvc -> Spyware.ISTBar : Nettoyer et sauvegarder
 C:\WINDOWS\Downloaded Program Files\m67m.ocx -> Spyware.MediaMotor : Nettoyer et sauvegarder
 C:\WINDOWS\Downloaded Program Files\v3.dll -> Spyware.EliteBar : Nettoyer et sauvegarder
 C:\WINDOWS\y.bat -> Trojan.Zapchast : Nettoyer et sauvegarder
 C:\WINDOWS\ra.reg -> Trojan.WinREG.LowZones.f : Nettoyer et sauvegarder
 C:\c7kd45.exe/y.bat -> Trojan.Zapchast : Nettoyer et sauvegarder
 
 
::Fin du rapport
 
--------------------------------------------------------------------------
 
 
Incident                      Status                        Location                                                                                                                                                                                                                                                        
 
Spyware:Spyware/YourSiteBar   No disinfected                C:\Documents and Settings\FrancisFredo\Local Settings\Temp\ysb.dll                                                                                                                                                                                              
Spyware:spyware/istbar        No disinfected                C:\Documents and Settings\FrancisFredo\Local Settings\Temp\iinstall.exe                                                                                                                                                                                          
Adware:Adware/Tracking        No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\advertising[2].htm                                                                                                                                          
Adware:Adware/Tracking        No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\advertising[1].htm                                                                                                                                          
Virus:W32/Sdbot.EOO.worm      Disinfected                   C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\G9QBRQLY\d[1].exe                                                                                                                                                    
Virus:Trj/Multidropper.ARV    Disinfected                   C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\G9QBRQLY\m11[1].jpg                                                                                                                                                  
Virus:Trj/Multidropper.ARV    Disinfected                   C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\G9QBRQLY\m11[2].jpg                                                                                                                                                  
Adware:Adware/SurfAccuracy    No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\sacc_remove[1].exe                                                                                                                                          
Spyware:Spyware/YourSiteBar   No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\ysb[1].dll                                                                                                                                                  
Adware:Adware/EliteBar        No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\js[1].htm                                                                                                                                                    
Spyware:Spyware/XXXToolbar    No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\prompt[1].htm                                                                                                                                                
Spyware:Spyware/YourSiteBar   No disinfected                C:\Program Files\YourSiteBar\ysb.dll                                                                                                                                                                                                                            
Spyware:Spyware/YourSiteBar   No disinfected                C:\Program Files\YourSiteBar\ys2.dll                                                                                                                                                                                                                            
Spyware:spyware/yoursitebar   No disinfected                C:\WINDOWS\Downloaded Program Files\ysbactivex.dll                                                                                                                                                                                                              
Virus:W32/Gaobot.JLC.worm     Disinfected                   C:\WINDOWS\system32\Netmon.exe                                                                                                                                                                                                                                  
Virus:Trj/Wayphisher.A        Disinfected                   C:\WINDOWS\system32\dllcache\javascript.dll                                                                                                                                                                                                                      
Virus:W32/Sdbot.EOO.worm      Disinfected                   C:\WINDOWS\system32\Rpcmon.exe                                                                                                                                                                                                                                  
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\symantec.css                                                                                                                                                                                                                                          
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\symantec.html                                                                                                                                                                                                                                        
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\symantec-scan.html                                                                                                                                                                                                                                    
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\update-sp2.html                                                                                                                                                                                                                                      
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\update-sp3.html                                                                                                                                                                                                                                      
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\z.bat                                                                                                                                                                                                                                                
Adware:adware/sahagent        No disinfected                C:\WINDOWS\unstall.exe                                                                                                                                                                                                                                          
Virus:Trj/Multidropper.ARV    Disinfected                   C:\c7kd45.exe                                                                                                                                                                                                                                                    
 
---------------------------------------------------------------------------------------
 
Logfile of HijackThis v1.99.1
Scan saved at 14:01:27, on 16/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\sqlserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\FrancisFredo\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://imp4.free.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://192.168.0.4/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot
O4 - HKLM\..\Run: [3dfx Task Manager] "C:\Program Files\3dfx Interactive\3dfx Tools\Apps\3dfxMan.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/software [...] egular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 1378472968
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: AVPCC - Unknown owner - C:\PROGRA~1\ANTIVI~1\avpcc.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: sqlserver - Unknown owner - C:\WINDOWS\sqlserv.exe
 

Reply

Marsh Posté le 16-08-2005 à 18:55:49    

Bonjour
 
On continue  ;)  
 
1 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
 
5 Désinstalle ces applications (si tu les trouves) dans Ajout-Suppression de programmes :
 
YourSiteBar
 
3 Relance un scan HijackThis et coche les lignes ci-dessous :
 
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll  
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab  
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/software [...] egular.cab  
 
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
 
4 Assure toi d'avoir accés à tous les fichiers.
 
5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
 
C:\Program Files\YourSiteBar
C:\WINDOWS\Downloaded Program Files\ysbactivex.dll
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD
C:\Documents and Settings\FrancisFredo\Local Settings\Temp\iinstall.exe
C:\Documents and Settings\FrancisFredo\Local Settings\Temp\ysb.dll
C:\WINDOWS\unstall.exe
C:\WINDOWS\z.bat
C:\WINDOWS\update-sp3.html
C:\WINDOWS\update-sp2.html
C:\WINDOWS\symantec-scan.html
 
6  Lance et exécute Ewido .
Sauvegarde le rapport.  
 
7 Lance et exécute CCleaner.
 
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
8 Redémarre normalement.
 
9 Nouveau scan Panda.
 
Colle ici les rapports d'Ewido et de Panda, avec un nouveau log HijackThis.

Reply

Marsh Posté le 16-08-2005 à 21:28:40    

---------------------------------------------------------
 ewido security suite - Rapport de scan
---------------------------------------------------------
 
 + Créé le:  20:57:52, 16/08/2005
 + Somme de contrôle: D434B68
 
 + Résultats du scan:
 
 HKLM\SOFTWARE\Classes\CLSID\{39DA2444-065F-47CB-B27C-CCB1A39C06B7} -> Spyware.PurityScan : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Classes\CLSID\{86227D9C-0EFE-4f8a-AA55-30386A3F5686} -> Spyware.YourSiteBar : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Classes\CLSID\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Nettoyer et sauvegarder
 HKLM\SOFTWARE\ClickSpring -> Spyware.PurityScan : Nettoyer et sauvegarder
 HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Nettoyer et sauvegarder
 HKLM\SOFTWARE\YourSiteBar -> Spyware.ISTBar : Erreur durant le nettoyage
 HKLM\SOFTWARE\YourSiteBar\Historyfiles -> Spyware.ISTBar : Erreur durant le nettoyage
 HKLM\SOFTWARE\YourSiteBar\Historysearch -> Spyware.ISTBar : Erreur durant le nettoyage
 HKU\.DEFAULT\Software\IST -> Spyware.ISTBar : Nettoyer et sauvegarder
 HKU\S-1-5-21-682003330-725345543-1587542522-1003\Software\IST -> Spyware.ISTBar : Nettoyer et sauvegarder
 HKU\S-1-5-18\Software\IST -> Spyware.ISTBar : Nettoyer et sauvegarder
 C:\Documents and Settings\LocalService\Cookies\system@paypopup[1].txt -> Spyware.Cookie.Paypopup : Nettoyer et sauvegarder
 C:\Documents and Settings\LocalService\Cookies\system@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder
 C:\Documents and Settings\LocalService\Cookies\system@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
 C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx -> Spyware.MediaTickets : Nettoyer et sauvegarder
 C:\WINDOWS\ra.reg -> Trojan.WinREG.LowZones.f : Nettoyer et sauvegarder
 C:\WINDOWS\hpdriver.exe -> Backdoor.SdBot.aad : Nettoyer et sauvegarder
 C:\c7kd45.exe/y.bat -> Trojan.Zapchast : Nettoyer et sauvegarder
 
 
::Fin du rapport
 
------------------------------------------------------------------------------------------
Rapport Panda:
 
Incident                      Status                        Location                                                                                                                                                                                                                                                        
 
Adware:Adware/MediaTickets    No disinfected                C:\Documents and Settings\FrancisFredo\Bureau\read.txt                                                                                                                                                                                                          
Virus:Trj/Multidropper.ARV    Disinfected                   C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\m11[1].jpg                                                                                                                                                  
Possible Virus.               No disinfected                C:\Program Files\oreb\itee.exe                                                                                                                                                                                                                                  
Spyware:spyware/yoursitebar   No disinfected                C:\WINDOWS\Downloaded Program Files\ysbactivex.dll                                                                                                                                                                                                              
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.INF                                                                                                                                                                                                    
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\z.bat                                                                                                                                                                                                                                                
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\LastGood\Downloaded Program Files\MediaTicketsInstaller.INF                                                                                                                                                                                          
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\symantec-scan.html                                                                                                                                                                                                                                    
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\update-sp2.html                                                                                                                                                                                                                                      
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\update-sp3.html                                                                                                                                                                                                                                      
Adware:Adware/PurityScan      No disinfected                C:\WINDOWS\system32\Shex.exe                                                                                                                                                                                                                                    
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\symantec.css                                                                                                                                                                                                                                          
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\symantec.html                                                                                                                                                                                                                                        
Virus:Trj/Multidropper.ARV    Disinfected                   C:\c7kd45.exe                                                                                                                                                                                                                                                    
 
---------------------------------------------------------------------------------------
 
Logfile of HijackThis v1.99.1
Scan saved at 21:26:02, on 16/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\sqlserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\oreb\itee.exe
C:\WINDOWS\system32\??chost.exe
C:\Documents and Settings\FrancisFredo\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://imp4.free.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://192.168.0.4/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot
O4 - HKLM\..\Run: [3dfx Task Manager] "C:\Program Files\3dfx Interactive\3dfx Tools\Apps\3dfxMan.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Roep] C:\Program Files\oreb\itee.exe
O4 - HKCU\..\Run: [Lex] C:\WINDOWS\System32\??chost.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/software [...] egular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 1378472968
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTi [...] refid=4678
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: AVPCC - Unknown owner - C:\PROGRA~1\ANTIVI~1\avpcc.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: sqlserver - Unknown owner - C:\WINDOWS\sqlserv.exe


Message édité par jbvador le 16-08-2005 à 21:29:31
Reply

Marsh Posté le 16-08-2005 à 22:50:41    

Bonsoir
 
Quel est le parefeu ?
 
1 Ouvre le Bloc-note et copie-colle les lignes entre --- ci-dessous (y compris la ligne vide à la fin)  
-----------------------------------------------------------------------------------
REGEDIT4  
 
[-HKLM\SOFTWARE\YourSiteBar]
 
[-HKLM\SOFTWARE\YourSiteBar\Historyfiles]
 
[-HKLM\SOFTWARE\YourSiteBar\Historysearch]
 
----------------------------------------------------------------------------------
 
Enregistre ce fichier sur ton bureau (Nom du fichier : "Fixme.reg " -sans inclure les guillemets- ; Type : Tous les fichiers).
 
2 Télécharge PocketKillBox
http://www.bleepingcomputer.com/fi [...] illBox.zip
Ensuite, tu le dézippes sur ton bureau.
Démo animée
http://pageperso.aol.fr/balltrap34/killbox.htm
Lance PocketKillBox, coche la case "Delete on reboot".
Colle tout le contenu du fichier suivant dans un fichier .texte que tu nommeras CODE.
Ensuite tu fais Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

Citation :

C:\Documents and Settings\FrancisFredo\Bureau\read.txt  
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD
C:\Program Files\oreb
C:\WINDOWS\Downloaded Program Files\ysbactivex.dll
C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.INF
C:\WINDOWS\LastGood\Downloaded Program Files\MediaTicketsInstaller.INF  
C:\WINDOWS\z.bat
C:\WINDOWS\symantec-scan.html
C:\WINDOWS\update-sp2.html
C:\WINDOWS\update-sp3.html
C:\WINDOWS\system32\Shex.exe
C:\WINDOWS\symantec.css
C:\WINDOWS\symantec.html
C:\WINDOWS\System32\??chost.exe


Sur PocketKillBox-->File-->Paste from Clipboard, tu cliques ensuite sur la croix rouge
Au deux messages qui vont s'afficher,tu réponds par "YES"
 
3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
 
4 Double-clique sur Fixme.reg  
Clique sur Oui lorsqu'on te demande confirmation pour Fusionner.
Lorsque tu reçois un message du bon déroulement, supprime le fichier Fixme.reg.
 
5 Relance un scan HijackThis et coche les lignes ci-dessous :
 
O4 - HKCU\..\Run: [Roep] C:\Program Files\oreb\itee.exe  
O4 - HKCU\..\Run: [Lex] C:\WINDOWS\System32\??chost.exe  
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/software [...] egular.cab  
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTi [...] refid=4678  
 
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
 
6 Lance et exécute Ewido
 
7 Lance et exécute CCleaner.
 
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
8 Redémarre normalement.
 
9 Nouveau scan Panda
 
Postes les rapports des scans d'Ewido, de Panda et d'HijackThis.

Reply

Marsh Posté le 17-08-2005 à 02:24:42    

Le pare feu est celui d'xp.
 
-------------------------------------------------------------------------------
 
---------------------------------------------------------
 ewido security suite - Rapport de scan
---------------------------------------------------------
 
 + Créé le:  01:24:21, 17/08/2005
 + Somme de contrôle: C1818ED4
 
 + Résultats du scan:
 
 HKLM\SOFTWARE\ClickSpring -> Spyware.PurityScan : Nettoyer sans sauvegarder
 HKLM\SOFTWARE\YourSiteBar -> Spyware.ISTBar : Erreur durant le nettoyage
 HKLM\SOFTWARE\YourSiteBar\Historyfiles -> Spyware.ISTBar : Erreur durant le nettoyage
 HKLM\SOFTWARE\YourSiteBar\Historysearch -> Spyware.ISTBar : Erreur durant le nettoyage
 :mozilla.22:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Mediaplex : Nettoyer sans sauvegarder
 :mozilla.23:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer sans sauvegarder
 :mozilla.24:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer sans sauvegarder
 :mozilla.25:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer sans sauvegarder
 C:\Documents and Settings\FrancisFredo\Cookies\francisfredo@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Nettoyer sans sauvegarder
 C:\Documents and Settings\LocalService\Cookies\system@ysbweb[1].txt -> Spyware.Cookie.Ysbweb : Nettoyer sans sauvegarder
 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\m11[1].jpg/y.bat -> Trojan.Zapchast : Nettoyer sans sauvegarder
 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ELO3EHYD\sacc_remove[1].exe -> Spyware.SurfAccuracy : Nettoyer sans sauvegarder
 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\SAcc[1].prod.11jui2005.exe.dd2bfdb316c9bf8d02d2419aba787f66 -> Spyware.SurfAccuracy : Nettoyer sans sauvegarder
 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\optimize[1].exe -> TrojanDownloader.Dyfuca.ei : Nettoyer sans sauvegarder
 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\8DKFGZ6V\bb[1].exe -> TrojanDownloader.Adload.a : Nettoyer sans sauvegarder
 C:\Program Files\SurfAccuracy\SAccU.exe -> Spyware.SurfAccuracy : Nettoyer sans sauvegarder
 C:\WINDOWS\ra.reg -> Trojan.WinREG.LowZones.f : Nettoyer sans sauvegarder
 C:\c7kd45.exe/y.bat -> Trojan.Zapchast : Nettoyer sans sauvegarder
 
 
::Fin du rapport
 
----------------------------------------------------------------------------------------
 
 
Incident                      Status                        Location                                                                                                                                                                                                                                                        
 
Adware:Adware/Tracking        No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\advertising[1].htm                                                                                                                                          
Virus:Trj/Multidropper.ARV    Disinfected                   C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\m11[1].jpg                                                                                                                                                  
Spyware:Spyware/YourSiteBar   No disinfected                C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\G9QBRQLY\ysb[1].dll                                                                                                                                                  
Virus:Trj/Downloader.DRJ      Disinfected                   C:\Program Files\oreb\itee.exe                                                                                                                                                                                                                                  
Spyware:spyware/yoursitebar   No disinfected                C:\WINDOWS\Downloaded Program Files\ysbactivex.dll                                                                                                                                                                                                              
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\symantec.css                                                                                                                                                                                                                                          
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\symantec.html                                                                                                                                                                                                                                        
Adware:Adware/Abox            No disinfected                C:\WINDOWS\ABox.exe                                                                                                                                                                                                                                              
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\symantec-scan.html                                                                                                                                                                                                                                    
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\update-sp2.html                                                                                                                                                                                                                                      
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\z.bat                                                                                                                                                                                                                                                
Adware:Adware/MediaTickets    No disinfected                C:\WINDOWS\update-sp3.html                                                                                                                                                                                                                                      
Virus:Trj/Agent.AHB           Disinfected                   C:\BHTREF.exe                                                                                                                                                                                                                                                    
Virus:Trj/Multidropper.ARV    Disinfected                   C:\c7kd45.exe                                                                                                                                                                                                                                                    
 
 
---------------------------------------------------------------------------------
 
Logfile of HijackThis v1.99.1
Scan saved at 02:17:41, on 17/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\FrancisFredo\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://imp4.free.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://192.168.0.4/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot
O4 - HKLM\..\Run: [3dfx Task Manager] "C:\Program Files\3dfx Interactive\3dfx Tools\Apps\3dfxMan.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AVPCC] C:\PROGRA~1\ANTIVI~1\avpcc.exe /wait
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: AVPCC - Unknown owner - C:\PROGRA~1\ANTIVI~1\avpcc.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
 
 
 
Le problème aussi c'est que avast s'affole à chaque redémarrage en mode normal.ca va tout de même nettement mieux qu'au début!

Reply

Marsh Posté le 18-08-2005 à 00:30:50    

Bonsoir
 
Même traitement que le post du dessus. Mais il y en a moins.
 
1 Ouvre le Bloc-note et copie-colle les lignes entre --- ci-dessous (y compris la ligne vide à la fin)  
-----------------------------------------------------------------------------------  
REGEDIT4  
 
[-HKLM\SOFTWARE\YourSiteBar]  
 
----------------------------------------------------------------------------------  
 
Enregistre ce fichier sur ton bureau (Nom du fichier : "Fixme.reg " -sans inclure les guillemets- ; Type : Tous les fichiers).  
 
2 Lance PocketKillBox, coche la case "Delete on reboot".  
Colle tout le contenu du fichier suivant dans un fichier .texte que tu nommeras CODE.  
Ensuite tu fais Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.  

Citation :

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MADUN10D\advertising[1].htm                                              
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\G9QBRQLY\ysb[1].dll                                                      
C:\Program Files\oreb                                          
C:\WINDOWS\Downloaded Program Files\ysbactivex.dll                                      
C:\WINDOWS\symantec.css                                                                    
C:\WINDOWS\symantec.html                              
C:\WINDOWS\ABox.exe            
C:\WINDOWS\symantec-scan.html  
C:\WINDOWS\update-sp2.html    
C:\WINDOWS\z.bat              
C:\WINDOWS\update-sp3.html

         
Sur PocketKillBox-->File-->Paste from Clipboard, tu cliques ensuite sur la croix rouge  
Au deux messages qui vont s'afficher,tu réponds par "YES"  
 
3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.  
 
4 Double-clique sur Fixme.reg  
Clique sur Oui lorsqu'on te demande confirmation pour Fusionner.  
Lorsque tu reçois un message du bon déroulement, supprime le fichier Fixme.reg.  
 
5 Lance et exécute Ewido  
 
6 Lance et exécute CCleaner.  
Clique sur Lancer le nettoyage.
 
7 Redémarre normalement.  
 
8 Nouveau scan Panda  
 
Postes les rapports des scans d'Ewido et de Panda

Reply

Marsh Posté le 18-08-2005 à 21:56:38    

Rapport ewiso:
 
---------------------------------------------------------
 ewido security suite - Rapport de scan
---------------------------------------------------------
 
 + Créé le:  21:36:32, 18/08/2005
 + Somme de contrôle: 44E81EF
 
 + Résultats du scan:
 
 HKLM\SOFTWARE\YourSiteBar -> Spyware.ISTBar : Erreur durant le nettoyage
 HKLM\SOFTWARE\YourSiteBar\Historysearch -> Spyware.ISTBar : Erreur durant le nettoyage
 :mozilla.13:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder
 :mozilla.15:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
 :mozilla.16:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
 :mozilla.19:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
 :mozilla.25:C:\Documents and Settings\FrancisFredo\Application Data\Mozilla\Firefox\Profiles\7bhcq8py.default\cookies.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
 C:\Documents and Settings\FrancisFredo\Cookies\francisfredo@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
 C:\Documents and Settings\FrancisFredo\Cookies\francisfredo@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
 C:\Documents and Settings\FrancisFredo\Cookies\francisfredo@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
 C:\Documents and Settings\FrancisFredo\Cookies\francisfredo@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
 C:\Documents and Settings\FrancisFredo\Cookies\francisfredo@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
 C:\Documents and Settings\LocalService\Cookies\system@paypopup[1].txt -> Spyware.Cookie.Paypopup : Nettoyer et sauvegarder
 C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ysbactivex.dll -> TrojanDownloader.IstBar : Nettoyer et sauvegarder
 C:\WINDOWS\ra.reg -> Trojan.WinREG.LowZones.f : Nettoyer et sauvegarder
 C:\WINDOWS\system32\orans.sys -> Trojan.Rootkit.Agent.ae : Nettoyer et sauvegarder
 C:\WINDOWS\system32\hpr34k8.sys -> Trojan.Rootkit.Agent.ae : Nettoyer et sauvegarder
 C:\WINDOWS\sqlserv.exe -> Backdoor.SdBot.aad : Nettoyer et sauvegarder
 
 
::Fin du rapport
 
----------------------------------------------------------------------------
 
Rapport Panda:
 
RAS
 
----------------------------------------------------------------------------
 
 
Merci pour tout, t'assures chercheurbis!  ;)

Reply

Marsh Posté le 19-08-2005 à 01:54:08    

Bonsoir
 
Tout est propre sauf les traces dans le registre de YourSiteBar.
 
Je pars en vacances, donc soit quelqu'un d'autre t'aura aidé, soit on continuera dans une dizaine de jours.
 
A +

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed