| Auteur |
Message |
thorens
Newbie
Inscrit le: 22 Aoû 2007
Message(s): 26
Localisation: annecy
|
|
| Revenir en haut de page |
|
 |
APC
Invité
|
 Posté le: 01 Sep 2007 22:21 Sujet du message: |
 |
|
Génial 
J'ai pas eu le temps de vérifier encore pour le scan en ligne, mais on va tenter autre chose :
Suis ce tuto et donne moi le rapport d'analyse. 
Dis moi au passage comment va ta machine.
++
[Edit] TotalScan fonctionne chez moi. |
|
| Revenir en haut de page |
|
|
thorens
Newbie
Inscrit le: 22 Aoû 2007
Message(s): 26
Localisation: annecy
|
| Posté le: 01 Sep 2007 23:26 Sujet du message: |
|
|
Désolé de te faire faire des heures supplémentaires Sév,
Mais saches que j'apprécie beaucoup, tout le mal que tu te donnes pour résoudre mon problème 
J'ai fait l'analyse avec AVG, 4 cookies ont été détectés, de dangereusité moyenne,
la fonction enregistrer le rapport n'était pas possible (?? peut être de ma faute, mal installé ?)
J'ai donc supprimer ces cookies.
Pour la machine RAS, en fait elle tourne bien mais ce que j'apprécie le plus c'est Firefox et la possibilté d'aller sur Internet sans être embété toutes les 2mn par une pub.
La suite si tu le souhaite ce soir,
j'attends ta réponse, merci  |
|
| Revenir en haut de page |
|
|
thorens
Newbie
Inscrit le: 22 Aoû 2007
Message(s): 26
Localisation: annecy
|
| Posté le: 01 Sep 2007 23:32 Sujet du message: |
|
|
Autre Chose Sév,
Je viens de réessayer Totalscan et je peux accéder au site, faut-il que je le fasse ??
a++ |
|
| Revenir en haut de page |
|
|
APC
Invité
|
| Posté le: 01 Sep 2007 23:39 Sujet du message: |
|
|
Pas grave pour les heures sups, je suis une acharnée de toute façon, tout le monde pourra te le confirmer ici. 
« thorens » a écrit: la fonction enregistrer le rapport n'était pas possible (?? peut être de ma faute, mal installé ?)
Vi je pense que tu as dû faire une mauvaise manip, mais comme il ne contenait que des cookies, ce n'est pas dramatique.
« thorens » a écrit: Pour la machine RAS, en fait elle tourne bien mais ce que j'apprécie le plus c'est Firefox et la possibilté d'aller sur Internet sans être embété toutes les 2mn par une pub.
Sans rapport avec tes infections, Firefox est sans doute ce qu'on fait de mieux comme navigateur : il est plus sécurisé et offre beaucoup de confort de navigation. Pis tu peux le personnaliser à souhait si ça t'intéresse, va faire un petit tour chez Geckozone par exemple.
Ceci dit, j'aimerais que tu surfes un peu avec IE pour voir si l'infection est bien partie, car dans le cas contraire Firefox ou pas tu risques d'avoir de nouvelles pages de pub indésirables.
Mais je pense qu'on tient le bon bout maintenant 
Peux tu retester le scan en ligne ?
[Edit] Je n'avais pas vu ton post :
« thorens » a écrit: Je viens de réessayer Totalscan et je peux accéder au site, faut-il que je le fasse ??
Voui  |
|
| Revenir en haut de page |
|
|
thorens
Newbie
Inscrit le: 22 Aoû 2007
Message(s): 26
Localisation: annecy
|
| Posté le: 01 Sep 2007 23:54 Sujet du message: |
|
|
D'ac Sév, je lance le scan
Je te recontacterais demain pour le résultat sinon je risque de ne pas pouvoir suivre les enfants demain si je reste trop tard (il faut dire que j'ai 2 chérubins qui se réveillent aux alentours de 6h30 / 7h dimanche ou pas dimanche  )
merci pour cette soirée bien remplie  , à demain
Thorens |
|
| Revenir en haut de page |
|
|
APC
Invité
|
| Posté le: 01 Sep 2007 23:59 Sujet du message: |
|
|
Bon courage avec les enfants,
Bonne nuit  |
|
| Revenir en haut de page |
|
|
thorens
Newbie
Inscrit le: 22 Aoû 2007
Message(s): 26
Localisation: annecy
|
| Posté le: 02 Sep 2007 4:13 Sujet du message: |
|
|
Bonjour,
Voici le résultat totalScan
;***********************************************************************************************************************************************************************************
ANALYSIS: 2007-09-02 04:02:07
PROTECTIONS: 1
MALWARE: 8
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Kaspersky Internet Security 7.0.0.125 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00065337 adware/favadd Adware No 0 Yes No HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10954C80-4F0F-11d3-B17C-00C0DFE39736}
00139535 Application/Processor HackTools No 0 Yes No C:\Users\ALEX\Desktop\SECURITE\SmitfraudFix\Process.exe
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Users\ALEX\AppData\Roaming\Mozilla\Firefox\Profiles\mj0em968.default\cookies.txt[.xiti.com/]
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Users\ALEX\Desktop\Documents Famille\Application Data\Mozilla\Firefox\Profiles\ompze0yu.default\cookies.txt[.xiti.com/]
00167709 Cookie/fe.lea.lycos TrackingCookie No 0 Yes No C:\Users\ALEX\Desktop\Documents Famille\Application Data\Mozilla\Firefox\Profiles\ompze0yu.default\cookies.txt[.fe.lea.lycos.fr/]
00517584 Application/SuperFast HackTools No 0 Yes No C:\Users\ALEX\Desktop\SECURITE\SmitfraudFix\restart.exe
00547101 Application/Messengerskinner HackTools No 0 Yes No C:\Users\ALEX\AppData\Local\VirtualStore\Program Files\MessengerSkinner\updates\update.upd[MessengerSkinnerDll.dll]
01139987 Application/Messengerskinner HackTools No 0 Yes No C:\Users\ALEX\AppData\Local\VirtualStore\Program Files\MessengerSkinner\updates\update.upd[MessengerSkinner.exe]
01654728 Trj/Rebooter.J Virus/Trojan No 1 Yes No C:\Users\ALEX\Desktop\SECURITE\SmitfraudFix.exe
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
Ainsi que le rapport Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:03:26, on 02/09/2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Dell Photo AIO Printer 966\dlcqmon.exe
C:\Program Files\Dell Photo AIO Printer 966\memcard.exe
C:\Program Files\Common Files\logishrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Windows\System32\mobsync.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Common Files\LogiShrd\LComMgr\LVComSX.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Windows\system32\DllHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [dlcqmon.exe] "C:\Program Files\Dell Photo AIO Printer 966\dlcqmon.exe"
O4 - HKLM\..\Run: [MemoryCardManager] "C:\Program Files\Dell Photo AIO Printer 966\memcard.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Dell PC Fax\fm3032.exe" /s
O4 - HKLM\..\Run: [DLCQCATS] rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\DLCQtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: dlcq_device - - C:\Windows\system32\dlcqcoms.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
--
End of file - 5641 bytes
Bonne analyse et désolé je n'ai pas les croissants pour ce Dimanche matin  |
|
| Revenir en haut de page |
|
|
APC
Invité
|
| Posté le: 02 Sep 2007 7:12 Sujet du message: |
|
|
Bonjour Thorens,
Tant pis pour les croissants 
- Ouvre le bloc notes (notepad) et fais un copier/coller du texte suivant :
Citation: dir "C:\Users\ALEX\AppData\Local\Microsoft" /on > files.txt
notepad files.txt
Sauvegarde ce fichier sur ton Bureau, en faisant Fichier / Enregistrer sous et nomme le Search.bat (Sélectionne le type de fichier --> tous les fichiers)
Redémarre en mode sans échec et supprime ce dossier (assure-toi avant d'avoir accès aux fichiers cachés) :
- C:\Users\ALEX\AppData\Local\VirtualStore\Program Files\MessengerSkinner\
Ouvre HijackThis, coche ces lignes, puis cliques sur Fix Checked :
Citation: R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
Enfin, fais un clic droit sur Search.bat et sélectionne "Exécuter en tant qu'administrateur", le bloc notes va s'ouvrir et s'enregistrer sur le Bureau (Files.txt)
Redémarre en mode normal et poste moi le rapport de Files.txt
Petite remarque concernant Magentic, je suppose que si tu as ce programme, c'est que ton client de messagerie est Incredimail. Je te conseille vivement d'en changer et de passer sous Thunderbird
--> A lire pour info.
Bonne journée
++ |
|
| Revenir en haut de page |
|
|
thorens
Newbie
Inscrit le: 22 Aoû 2007
Message(s): 26
Localisation: annecy
|
|
| Revenir en haut de page |
|
|
APC
Invité
|
| Posté le: 02 Sep 2007 19:50 Sujet du message: |
|
|
Re bonjour Thorens,
« thorens » a écrit: J'utilise en même temps IE et apparemment tout se déroule normalement, pas de page vierge et pas de pubs
Bonne nouvelle
Pour que tu comprennes mieux ce qu'il s'est passé, je t'invite à consulter ce topic.
En clair, méfie toi de tout ce dont on te vante le mérite sur Internet.
« Thorens » a écrit: Pour magentic, c'est tout bête les économiseurs d'écran m'ont plu alors je l'ai installé 
C'est surtout Incredimail dont il faudrait que tu te passes au profit de Thunderbird.
Si tu veux des économiseurs d'écrans, peut être que tu trouveras ton bonheur sur cette page.
« thorens » a écrit: D'ailleurs que me conseilles-tu pour ne pas revivre cette mauvaise expérience, j'utilise régulièrement Ad Aware et Spybot
Mais c'est insuffisant
Multiplier les anti-trucs, ne sert effectivement à rien d'autre que ralentir ton PC.
Ce sont tes habitudes de surfs qu'il faut revoir : Utilise Firefox comme navigateur par défaut avec l'extension Adblock, fais régulièrement tes mises à jour et tout devrait bien se passer si tu fais attention à ce que tu installes.
Un petit nettoyage au moins une fois par semaine avec CCleaner pour nettoyer les traces de surfs et vider les fichiers temporaires de Windows.
Tu peux désinstaller HijackThis et les deux versions de Navilog1, au passage un très grand merci à IL-MAFIOSO pour sa réactivité et à toi aussi puisque cela permet d'avancer dans la lutte anti-malware.
________________  ________________
Pour faire condamner les auteurs responsables des infections dont tu as été victime [ Magic Control Agent sous Vista ], merci d'apporter ton témoignage sur Malware Complaints.
Tu trouveras des informations à ce sujet sur ce topic.
 Chaque témoignage est important et permettra que les auteurs de telles infections soient punis afin que cela n'arrive plus.
Cela prend 5 minutes 
|
|
| Revenir en haut de page |
|
|
APC
Invité
|
| Posté le: 03 Sep 2007 8:05 Sujet du message: |
|
|
Thorens,
Pour confirmer une info, peux-tu stp faire une petite vérification ?
Par la recherche du menu Démarrer, tape MessengerSkinner et dis moi si tu trouves quelque chose et si oui donne moi l'emplacement exact.
Il est possible qu'il y ait un dossier qui traîne dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs.
Merci,
@+ |
|
| Revenir en haut de page |
|
|
thorens
Newbie
Inscrit le: 22 Aoû 2007
Message(s): 26
Localisation: annecy
|
| Posté le: 03 Sep 2007 19:20 Sujet du message: |
|
|
Bonjour Sév
voici ce que je trouver: 1 fichier zip d'install et 2 autres que je ne peux supprimer car éléments introuvable ??
c:\users\ALEX\Documents\Mes fichiers reçus\Install_MessengerSkinner
c:\Users\ALEX\Documents\Mes fichiers reçus
Qu'en penses tu ? |
|
| Revenir en haut de page |
|
|
APC
Invité
|
| Posté le: 03 Sep 2007 19:35 Sujet du message: |
|
|
Bonsoir Thorens,
- Fais un copier / coller du texte suivant dans le bloc notes :
Citation: dir %Systemdrive%\*messengerskinner* /a h /s >search.txt
notepad search.txt
Nomme-le mskinner.bat
Fais un clic droit dessus et "exécuter en tant qu'administrateur"
Un fichier search.txt va être créé sur ton Bureau, poste moi le contenu.
@+ |
|
| Revenir en haut de page |
|
|
thorens
Newbie
Inscrit le: 22 Aoû 2007
Message(s): 26
Localisation: annecy
|
| Posté le: 03 Sep 2007 20:42 Sujet du message: |
|
|
Bonsoir,
Voilà le contenu de search.txt
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est F206-BE52
R‚pertoire de C:\ProgramData\Microsoft\Windows\Start Menu\Programs
28/08/2007 21:19 <REP> MessengerSkinner
0 fichier(s) 0 octets
R‚pertoire de C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Recent
03/09/2007 19:18 511 messengerskinner.txt.lnk
1 fichier(s) 511 octets
R‚pertoire de C:\Users\ALEX\Desktop\SECURITE
03/09/2007 19:09 113 messengerskinner.txt
1 fichier(s) 113 octets
R‚pertoire de C:\Users\All Users\Microsoft\Windows\Start Menu\Programs
28/08/2007 21:19 <REP> MessengerSkinner
0 fichier(s) 0 octets
R‚pertoire de C:\Users\Invit‚\AppData\Roaming
12/08/2007 18:16 <REP> MessengerSkinner
0 fichier(s) 0 octets
A tout à l'heure |
|
| Revenir en haut de page |
|
|
| Publicité |
|
|
FAQ
Charte
Rechercher
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
