Accès au Site
 FAQFAQ   RechercherCharte   RechercherRechercher   MembresMembres   UtilisateursUtilisateurs   S'enregistrerS'enregistrer   ProfilProfil   Vérifier ses messages privésVérifier ses messages privés   ConnexionConnexion
 
Infections de ErrorSafe, SaferScan & Tibick [Résolu]
Aller à la page 1, 2  Suivante
 
Ce sujet est verrouillé; vous ne pouvez pas éditer les messages ou faire de réponses. Le site -> Assiste PC Index du Forum -> Désinfection des virus & analyses de logs HijackThisCréer un flux RSS 2.0
Auteur Message
etave
Newbie
Newbie


Inscrit le: 08 Sep 2006
Message(s): 10
MessagePosté le: 09 Sep 2006 0:14    Sujet du message: Infections de ErrorSafe, SaferScan & Tibick [Résolu] Répondre en citant
bonjour,
j'ai des soucis avec errorsafe
j'ai suivi la procédure que ous décrivez, voici les résultats:

rapport active scan:

Citation:
Incident Statut Analyse

Adware:Adware/IST.SaferScan No Désinfecté C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HO77V3O9\uninstall[1].exe
Adware:Adware/IST.SaferScan No Désinfecté C:\Program Files\SaferScan\uninstall.exe
Spyware:Cookie/Weborama No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq21.tmp
Outil indésirable:Application/Winantivirus2006 No Désinfecté C:\WINDOWS\Downloaded Program Files\UERSV_0001_N91S2108NetInstaller.exe
Adware:adware/dollarrevenue No Désinfecté C:\WINDOWS\gimmygames.dat
Adware:Adware/Tracking No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\BSA5QHLV\advertising[1].htm
Adware:Adware/IST.ISTBar No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WEIUGCN9\xml_istbar[1].xml
Adware:Adware/WUpd No Désinfecté C:\WINDOWS\system32\expIorer.exe
Adware:Adware/WUpd No Désinfecté C:\WINDOWS\system32\sufF3.tmp
Adware:Adware/WUpd No Désinfecté C:\WINDOWS\system32\sufF7.tmp

rapport hijackthis:

Citation:
Logfile of HijackThis v1.99.1
Scan saved at 00:05:19, on 09/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\PV92Tray.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\eMule\emule.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log] C:\WINDOWS\system32\warez.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Shell API32] svcnet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: BoontyBox neuf telecom.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O15 - Trusted Zone: http//support.errorsafe.com
O15 - Trusted Zone: http//www.support.errorsafe.com
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157746915734
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{51C31271-B63C-493A-B706-DA440EABDD32}: NameServer = 84.103.237.146 86.64.145.146
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


Merci si vous pouvez me depanner
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 09 Sep 2006 11:14    Sujet du message: Répondre en citant
Bonjour & bienvenue,

Il y a du monde sur ta machine mis à part ErrorSafe, notamment une infection de Tibick.

Citation:
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log] C:\WINDOWS\system32\warez.exe


Au moins avec ça, on sait d'où viennent tes problèmes wacko

Je ne vois pas de trace d'antivirus sur ton log Peur

Exclamation Il va falloir en installer un d'urgence : Antivir est gratuit, son interface est en anglais mais il est simple d'utilisation Flèche Bleue Infos.

On a du travail, mais on devrait s'en sortir Wink

Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnecté d'Internet et en mode sans échec. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre. Elle peut te paraître longue, mais elle est simple à réaliser. Smile

  1. Commence par désinstaller tous tes logiciels de P2P (eMule, Kazaa, etc...), pour ne pas te faire surinfecté. Tu pourras les réinstaller une fois que ton pc sera propre.

    Idea N'oublie pas de supprimer le dossier Incoming dans c:\Program Files\eMule.

  2. Télécharge let installe es outils suivants :



  3. Télécharge également ces deux outils et laisse les en attente sur ton bureau pour le moment :



  4. Fais les mises à jour de Ewido et Spybot S&D, qui sont déjà installés, mais ne lance pas de scan pour le moment.

  5. Ouvre le bloc notes (Notepad), copie et sauvegarde cette liste. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :

    Citation:
    C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
    C:\WINDOWS\system32\warez.exe
    C:\Program Files\SaferScan\uninstall.exe
    C:\WINDOWS\Downloaded Program Files\UERSV_0001_N91S2108NetInstaller.exe
    C:\WINDOWS\gimmygames.dat
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WEIUGCN9\xml_istbar[1].xml
    C:\WINDOWS\system32\expIorer.exe
    C:\WINDOWS\system32\sufF3.tmp
    C:\WINDOWS\system32\sufF7.tmp
    C:\WINDOWS\system32\svcnet.exe


  6. Débranche ta connexion internet pour éviter les downloads silencieux et ferme tous les programmes en cours.

  7. Désinstalle ces logiciels par Ajout / Suppression de Programmes du panneau de configuration si présents :

    • Boonty
    • Winantivirus 2006
    • SaferScan


  8. Fais un premier nettoyage avec CCleaner

  9. Ouvre Killbox et le fichier texte contenant la liste de fichiers que tu as copié préalablement. Suis ce qui est écrit sur le tuto de Killbox à partir du point 6.

    Idea Il est possible que Killbox ne trouve pas tous les fichiers, ne t'en inquiéte pas.

  10. Redémarre en mode sans échec

  11. Ouvre HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :

    Citation:
    O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log] C:\WINDOWS\system32\warez.exe
    O4 - HKLM\..\Run: [Shell API32] svcnet.exe
    O4 - Startup: BoontyBox neuf telecom.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
    O15 - Trusted Zone: http//support.errorsafe.com
    O15 - Trusted Zone: http//www.support.errorsafe.com
    O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http//us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab


  12. Clique sur Fix Checked et accepte les modifications.

  13. Lance un scan complet avec Ewido et sauvegarde le rapport dans tes documents.

  14. Donne toi accès aux fichiers cachés

  15. Supprime les dossiers suivants, si présents, et vide la corbeille :

    • C:\Program Files\Boonty
    • C:\Program Files\SaferScan
    • C:\Program Files\Winantivirus 2006


  16. Fais un clic droit sur le fichier DelDomains.inf, dans le menu contextuel choisis installer.

  17. Double-clicque sur Hoster

    • Clique sur Restore original Hosts et rien d'autre

    • Ferme le programme

    • Suis ce chemin de fichier dans l'explorateur de Windows : C:\WINDOWS\system32\drivers\etc

    • Repère les fichiers lmhosts.sam et HOSTS, clicque droit sur chacun d'entre eux, choisis Propriétés dans le menu contextuel et coche la case Lecture seule


  18. Lance un scan complet de Spybot S&D et supprime tout ce qu'il trouve,

  19. Même chose avec Antivir

  20. Nouveau passage de CCleaner

  21. Redémarre ton pc en mode normal

  22. Fais un scan en ligne avec Kaspersky et poste le rapport,

  23. Poste le rapport de Ewido

  24. Nouveau log HijackThis (Do A System Scan and Save A Logfile)

  25. Fais une recherche du dossier MSVIEW et donne moi son emplacement sur le disque, si tu le trouves. (par ex : C:\Windows\MSVIEW)


Dis moi sur ta prochaine réponse ce qu'il te reste comme problème.

Il restera certainement du nettoyage à faire et des consignes de sécurité à appliquer. Je ne t'ai pas tout indiqué sur cette procédure pour que ce ne soit pas trop lourd et qu'on nettoie ce qui est le plus dangereux en priorité.

Bon courage Wink

Bye
Revenir en haut de page
etave
Newbie
Newbie


Inscrit le: 08 Sep 2006
Message(s): 10
MessagePosté le: 09 Sep 2006 18:39    Sujet du message: error safe Répondre en citant
apres plusieurs heures, voici lezs resultats:

rapport ewido:
Citation:
HKLM\SOFTWARE\ISTbar -> Adware.ISTBar : No action taken.
HKLM\SOFTWARE\ISTbar\Historyfiles -> Adware.ISTBar : No action taken.
HKLM\SOFTWARE\ISTbar\Historystring -> Adware.ISTBar : No action taken.
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@estat[1].txt -> TrackingCookie.Estat : No action taken.
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@weborama[2].txt -> TrackingCookie.Weborama : No action taken.
C:\Program Files\Yahoo!\YPSR\Quarantine\ppq21.tmp -> TrackingCookie.Weborama : No action taken.


::Report end


rapport kaspersky:

Citation:
KASPERSKY ON-LINE SCANNER REPORT
Saturday, September 09, 2006 6:25:47 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 9/09/2006
Enregistrements dans la base antivirus Kaspersky : 209101


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
F:\

Statistiques de l'analyse
Total d'objets analysés 110194
Nombre de virus trouvés 3
Nombre d'objets infectés 5 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:02:51

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Utilisateur\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\ApplicationHistory\cli.exe.c88dbd71.ini.inuse L'objet est verrouillé ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Historique\History.IE5\MSHist012006090920060910\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Temp\Perflib_Perfdata_1a4.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Temp\Perflib_Perfdata_76c.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Temp\Perflib_Perfdata_eac.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Utilisateur\ntuser.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Utilisateur\NTUSER.DAT.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Utilisateur\UserData\index.dat L'objet est verrouillé ignoré
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2006-09-09.16-48-30.log L'objet est verrouillé ignoré
C:\Program Files\eMule\Incoming\[ Cracked NOCD] Panzer Elite Action leaked by ShareReactor.zip/install.exe/user32.exe Infecté : Trojan-Downloader.Win32.Harnig.bh ignoré
C:\Program Files\eMule\Incoming\[ Cracked NOCD] Panzer Elite Action leaked by ShareReactor.zip/install.exe/dr.exe Infecté : Trojan-Downloader.Win32.Adload.ap ignoré
C:\Program Files\eMule\Incoming\[ Cracked NOCD] Panzer Elite Action leaked by ShareReactor.zip/install.exe/shell32.exe Infecté : Trojan-Downloader.Win32.IstBar.gen ignoré
C:\Program Files\eMule\Incoming\[ Cracked NOCD] Panzer Elite Action leaked by ShareReactor.zip/install.exe Infecté : Trojan-Downloader.Win32.IstBar.gen ignoré
C:\Program Files\eMule\Incoming\[ Cracked NOCD] Panzer Elite Action leaked by ShareReactor.zip ZIP: infecté - 4 ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\ACEEvent.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd2317.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\vaxscsi.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.


CHEMIN POUR msview: C:\Windows\system32

Par rapport au message que vous m'avez envoyé je n'ai pas fait les choses suivantes:
suppression Emule (mais je ne l'ai pas relancé depuis
Je n'ai pas trouvé en revanche le programme winativirus 2006 que vous m'aviez demandé de supprimer.
Pour le reste , j'ai tous suivi à la lettre

Merci pour le coup de main

J'attends vos nelles directives pour l'acte 2!!!
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 09 Sep 2006 19:20    Sujet du message: Répondre en citant
Tu ne m'as pas donné de nouveau log HijackThis .

En attendant que j'ai ton log, tu peux déjà supprimer ce dossier de ton répertoire Incoming et vider la corbeille : [ Cracked NOCD] Panzer Elite Action leaked by ShareReactor.zip, il est vérolé.

  1. Télécharge ce Bat et dézippe-le sur ton bureau.

  2. Double clique sur msview.bat, à la fin de la recherche, le bloc notes va s'ouvrir, fais moi un copier / coller de la totalité
    (Edition / Sélectionner Tout puis Edition / Copier et colle ici en faisant un clic droit et Coller)


Tu n'as rien supprimé avec Ewido, pour bien faire il aurait fallu cliquer sur Apply all actions à la fin de l'analyse.

Tu trouveras un tuto complet ICI pour l'utilisation de Ewido.
Ne relance pas de scan pour le moment, on le fera le moment venu.

J'attends ton log HJT et le résultat du Bat pour te donner la suite. Wink

@+

[Edit] Si je t'ai demandé de désinstaller tes logiciels de Peer to peer, c'est parceque le ver que tu as attrapé se propage par le réseau et qu'il utilise les ports ouverts par les logiciels de P2P. Donc si les programmes sont toujours là, le vers continuera à downloader du code et nous on tourne en rond pour nettoyer ton PC. Triste
Revenir en haut de page
etave
Newbie
Newbie


Inscrit le: 08 Sep 2006
Message(s): 10
MessagePosté le: 09 Sep 2006 19:29    Sujet du message: errorsafe Répondre en citant
salut

Sympa d'etre aussi rapide

Bon j'avais oublié de te mettre le rapport suivant

Citation:
Logfile of HijackThis v1.99.1
Scan saved at 18:26:34, on 09/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\PV92Tray.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157746915734
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{51C31271-B63C-493A-B706-DA440EABDD32}: NameServer = 86.64.145.144 84.103.237.144
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Voila c'est chose faite

maintenant voici le rapport msview:
Citation:
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 24F3-9C1A

R‚pertoire de c:\Program Files

09/09/2006 14:10 <REP> .
09/09/2006 14:10 <REP> ..
30/04/2006 20:25 <REP> Adobe
13/05/2006 11:45 <REP> Alcohol Soft
14/02/2006 12:24 <REP> Analog Devices
18/06/2006 12:05 <REP> AnswerWorks 4.0
09/09/2006 11:33 <REP> AntiVir PersonalEdition Classic
14/02/2006 10:06 <REP> ATI Technologies
18/06/2006 12:06 <REP> AutoCAD 2006
18/06/2006 11:56 <REP> Autodesk
23/06/2006 17:08 <REP> Bethesda Softworks
07/09/2006 22:06 <REP> blade
29/03/2006 22:29 <REP> Canon
08/09/2006 22:40 <REP> CCleaner
08/09/2006 21:08 <REP> Common Files
01/09/2006 23:03 <REP> DivX
15/02/2006 19:12 <REP> Doom 3
17/07/2006 21:46 <REP> EA GAMES
13/07/2006 17:54 <REP> EA SPORTS
15/02/2006 11:34 <REP> EACOM
09/09/2006 19:19 <REP> eMule
18/02/2006 00:53 <REP> Espre
09/09/2006 12:06 <REP> ewido anti-spyware 4.0
28/08/2006 21:54 <REP> Fichiers communs
23/07/2006 23:24 <REP> GameHouse
02/05/2006 20:06 <REP> GameSpy Arcade
28/08/2006 17:55 <REP> Google
14/02/2006 10:24 <REP> HighMAT CD Writing Wizard
08/09/2006 23:33 <REP> Internet Explorer
14/02/2006 18:27 <REP> InterVideo
28/08/2006 21:56 <REP> Java
06/07/2006 22:10 <REP> JoWooD
14/02/2006 17:39 <REP> Kit ADSL
19/03/2006 11:25 <REP> Lavasoft
28/08/2006 18:57 <REP> LevelUpGames
08/08/2006 12:54 <REP> LucasArts
01/09/2006 23:05 <REP> Mes Jeux T‚l‚charg‚s
14/02/2006 10:26 <REP> Messenger
13/02/2006 19:24 <REP> microsoft frontpage
17/07/2006 21:04 <REP> Microsoft Games
18/06/2006 12:06 <REP> Microsoft Office
14/02/2006 17:23 <REP> Microsoft Visual Studio
14/02/2006 09:46 <REP> Movie Maker
13/02/2006 19:20 <REP> MSN Gaming Zone
14/02/2006 09:44 <REP> NetMeeting
28/08/2006 19:38 <REP> OnGame
19/04/2006 13:00 <REP> Outlook Express
14/02/2006 09:32 <REP> Services en ligne
18/02/2006 09:58 <REP> SLD Codec Pack
23/02/2006 18:30 <REP> Smart Projects
04/04/2006 17:50 <REP> Sonic
29/06/2006 19:47 <REP> SpellForce
08/09/2006 23:40 <REP> Spybot - Search & Destroy
17/04/2006 19:57 <REP> THQ
17/07/2006 21:16 <REP> TryMedia
22/05/2006 20:34 <REP> Ubisoft
14/02/2006 17:33 <REP> Utilitaire de gestion du LAN Wifi IEEE 802.11g
14/02/2006 09:31 <REP> VIA
11/04/2006 11:48 <REP> VideoLAN
28/08/2006 21:57 <REP> WildTangent
18/02/2006 11:05 <REP> Windows Media Connect 2
08/09/2006 23:46 <REP> Windows Media Player
14/02/2006 09:44 <REP> Windows NT
08/09/2006 23:46 <REP> WinRAR
13/02/2006 19:24 <REP> xerox
25/04/2006 21:52 <REP> XviD
08/09/2006 21:08 <REP> Yahoo!
17/07/2006 21:20 <REP> Yahoo! Games
0 fichier(s) 0 octets
68 R‚p(s) 8ÿ049ÿ201ÿ152 octets libres


J'ai viré tout ce qui était dans incomming.

Le seul moment ou j'ai un soucis avec mon pc , c'est lorsque je veux aller sur le site ringo.com alors là le fameux message de analyse errorsafe se lance. Sur les autres sites je navigue sans probleme.
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 09 Sep 2006 21:28    Sujet du message: Répondre en citant
Ok, le log est propre, on avance. Très Content

Concernant le site ringo.com, je n'ai aucun problème que ce soit avec Firefox, Opéra ou Internet Explorer, c'est donc que cela vient bien de chez toi.

  1. Télécharge ces deux dossiers compressés et dézippe les sur ton bureau, (n'y touche pas pour l'instant) :



  2. Télécharge Blacklight de F-Secure, crée lui son propre dossier, sur le bureau, ce programme va nous permettre de voir les éventuelles infections cachées du système.

    • Ferme tous les programmes et toutes les fenêtres, et déconnecte toi d'internet.

    • Clique sur Accept, puis sur Scan

    • A la fin du scan, ouvre le dossier que tu as créé, tu trouveras un fichier fsbl + date du jour.log, poste le rapport.


  3. Redémarre de nouveau en mode sans échec

  4. Supprime le dossier C:\Windows\system32\msview et vide la corbeille,

  5. Lance un scan complet de Ewido et cette fois supprime tout ce qu'il trouve.
    Si tu ne sais pas comment faire repporte toi au tuto dont je t'ai donné le lien sur ma précédente réponse. Wink

  6. Double clique sur fix_errorsafe.reg et accepte la fusion à la base de registre.

  7. Nouveau nettoyage avec CCleaner

  8. Redémarre en mode normal

  9. Double clique sur Common Files.bat et comme précédemment fais moi un copier coller du contenu.

  10. Nouveau scan et rapport de Panda (pour que le scan soit moins long, lance l'analyse de C:\ uniquement si tu as plusieurs partitions)

  11. Fais un scan avec PestPatrol, qu'on voit si ton registre a besoin d'un coup de ménage. Ce scan est très rapide, par contre tu dois bien développer toute l'arborescence en cliquant sur le + en haut à gauche à la fin de l'analyse. Fais moi un copier / coller du rapport complet.

  12. Nouveau log HijackThis + rapport de Ewido, sans oublier le rapport de Blacklight s'il trouve quelque chose, ainsi que le résultat de common files. bat.


Bon courage,
@+
Revenir en haut de page
etave
Newbie
Newbie


Inscrit le: 08 Sep 2006
Message(s): 10
MessagePosté le: 15 Sep 2006 12:17    Sujet du message: errorsafe Répondre en citant
salut

Je m'étais accordé un break

voici les resultats:

rapport fsbl:

Citation:
09/15/06 08:42:03 [Info]: BlackLight Engine 1.0.46 initialized
09/15/06 08:42:03 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/15/06 08:42:03 [Note]: 7019 4
09/15/06 08:42:03 [Note]: 7005 0
09/15/06 08:42:38 [Note]: 7006 0
09/15/06 08:42:38 [Note]: 7011 1920
09/15/06 08:42:38 [Note]: 7026 0
09/15/06 08:42:38 [Note]: 7026 0
09/15/06 08:42:46 [Note]: FSRAW library version 1.7.1019
09/15/06 08:50:35 [Note]: 7007 0


rapport ewido:

Citation:
HKLM\SOFTWARE\ISTbar -> Adware.ISTBar : Error during cleaning.
HKLM\SOFTWARE\ISTbar\Historyfiles -> Adware.ISTBar : Error during cleaning.
HKLM\SOFTWARE\ISTbar\Historystring -> Adware.ISTBar : Error during cleaning.
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@adbrite[2].txt -> TrackingCookie.Adbrite : Cleaned.
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned.
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@estat[1].txt -> TrackingCookie.Estat : Cleaned.
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Cleaned.
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@tacoda[1].txt -> TrackingCookie.Tacoda : Cleaned.
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@weborama[2].txt -> TrackingCookie.Weborama : Cleaned.
C:\Program Files\Yahoo!\YPSR\Quarantine\ppq21.tmp -> TrackingCookie.Weborama : Cleaned.
C:\Documents and Settings\Utilisateur\Cookies\utilisateur@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Cleaned.


rapport common files:

Citation:
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 24F3-9C1A

R‚pertoire de c:\Program Files\Common Files

08/09/2006 21:08 <REP> .
08/09/2006 21:08 <REP> ..
08/09/2006 21:08 <REP> Scanner
0 fichier(s) 0 octets
3 R‚p(s) 4ÿ243ÿ529ÿ728 octets libres


et là je bloque car je ne me rappel plus à quoi corrrespond rapport panda

peux tu me donner le lien ou le nom du programme à lancer

à tout de suite
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Piero
Admin
Admin


Inscrit le: 15 Aoû 2006
Message(s): 320
Localisation: Marseille
MessagePosté le: 15 Sep 2006 13:25    Sujet du message: Répondre en citant
Bonjour

Pour le scan Panda, jette un coup d'oeil ici Wink

@+
Bye
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur
APC
Invité
MessagePosté le: 15 Sep 2006 15:11    Sujet du message: Répondre en citant
Bonjour Etave,


N'oublie pas le rapport de Pestpatrol non plus Wink


@+

Salut Piero et merci Smile
Revenir en haut de page
etave
Newbie
Newbie


Inscrit le: 08 Sep 2006
Message(s): 10
MessagePosté le: 15 Sep 2006 15:53    Sujet du message: errorsafe Répondre en citant
J'arrive au bout

rapport panda:

Citation:
Incident Statut Analyse

Adware:Adware/Tracking No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\BSA5QHLV\advertising[1].htm


rapportpespatrol:

Citation:
P2P "eMule" trouvé(s) dans:
key "hkey_classes_root \.emulecollection"
key "hkey_classes_root \emule"
key "hkey_current_user \software\emule"
key "hkey_local_machine \software\classes\ed2k"
key "hkey_local_machine \software\microsoft\windows\currentversion\uninstall\emule"
Folder "C:\Program Files\emule\config"
Folder "C:\Program Files\emule\lang"
Folder "C:\Program Files\emule\logs"
Folder "C:\Program Files\emule\skins"
Folder "C:\Program Files\emule\webserver"
File "C:\Program Files\emule\changelog.ger.txt"
File "C:\Program Files\emule\changelog.txt"
File "C:\Program Files\emule\downloads.txt"
File "C:\Program Files\emule\emule.1031.chm"
File "C:\Program Files\emule\emule.chm"
File "C:\Program Files\emule\emule.exe"
File "C:\Program Files\emule\license-ger.txt"
File "C:\Program Files\emule\license.txt"
File "C:\Program Files\emule\linkcreator.exe"
File "C:\Program Files\emule\readme.txt"
File "C:\Program Files\emule\template.emuleskin.ini"
File "C:\Program Files\emule\uninstall.exe"
Plus d'informations
ISTbar Hijacker
Hijacker "ISTbar" trouvé(s) dans:
key "hkey_local_machine \software\istbar"


rapport hijack:

Citation:
Logfile of HijackThis v1.99.1
Scan saved at 15:48:06, on 15/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\WINDOWS\system32\PV92Tray.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157746915734
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{51C31271-B63C-493A-B706-DA440EABDD32}: NameServer = 84.103.237.143 86.64.145.143
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe


le reste tu doit l'avoir dans mon message précedent
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 15 Sep 2006 16:16    Sujet du message: Répondre en citant
« etave » a écrit:
J'arrive au bout


Non

Alors on reprend, parceque là ça ne va pas du tout.

Tu as installé Panda Titanium, et ce n'est pas du tout ce qu'on t'a dit de faire. Confused

Pour l'heure tu te retrouves avec deux antivirus actifs sur ton pc : Antivir et Panda. Il va falloir faire un choix sur l'antivirus, tu ne peux pas garder les deux sinon tu risques de planter ton pc et en plus ta protection n'est plus efficace. De plus c'est la version Titatium, très mauvais choix...

Il doit démarrer vite ton pc maintenant avec ça Rolling Eyes

Profites en pour désinstaller ces deux programmes : WildTangent et TryMedia, ce sont deux spywares. Si impossible par Ajout / Suppression de programmes, redémarre en mode sans échec et supprime les à partir de C:\ Program Files.

Passe un coup de CCleaner ensuite.

Il reste ISTBar à enlever, mais on va attendre que tu aies fait un peu de ménage sur ton pc, avant d'aller s'aventurer dans le registre.

Reposte moi un log HJT une fois que tu auras viré un des deux AV, que je vois s'il est bien parti.

@+

[Edit] Tu as bien supprimé le dossier msview comme je te l'avais dit Question
Revenir en haut de page
etave
Newbie
Newbie


Inscrit le: 08 Sep 2006
Message(s): 10
MessagePosté le: 15 Sep 2006 19:26    Sujet du message: Répondre en citant
Milles excuses mais je me suis planté sur panda.
Bon çà devrait être bon maintenant

voici le rapport:

Citation:
Logfile of HijackThis v1.99.1
Scan saved at 19:24:14, on 15/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\PV92Tray.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Hijackthis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157746915734
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


merci encore pour le coup de main
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 17 Sep 2006 20:57    Sujet du message: Répondre en citant
Bonjour Etave,

Ok, Panda est bien parti et ton log est propre. Wink

On va nettoyer enlever la clé de IstBar qui pose problème :

  1. Fais Démarrer / Exécuter...

  2. Tape dans l'invite de commande : regedit

  3. Une fenêtre s'ouvre, c'est ta base de registre, fais très attention, c'est le coeur de Windows, il ne faut pas faire de connerie.

  4. On va commencer par faire une sauvegarde au cas où Wink

    • Place toi sur le Poste de Travail, dans la colonne de gauche
    • Ensuite, fais fichier / exporter, place le fichier .reg dans tes documents par exemple.


  5. Ouvre le repertoire hkey_local_machine

  6. Puis software

  7. Cherche la clé 180solutions

    Idea Tu peux utiliser la fonction recherche pour trouver cette clé en appuyant sur le touche CTRL et F, tu fais un copier / coller de : istbar

    Exclamation Fais bien attention au chemin dans la barre tout en bas à gauche de la fenêtre.

  8. Sélectionne cette clé et supprime là avec la touche suppr de ton clavier

  9. Effectue un nouveau nettoyage avec CCleaner

  10. Redémarre ton pc normalement ensuite.

  11. Pour vérifier que tout est bien parti, fais un nouveau scan avec PestPatrol et poste le rapport s'il trouve quelque chose



Comment va ton PC, est ce qu'il te reste des problèmes Question

@+
Revenir en haut de page
etave
Newbie
Newbie


Inscrit le: 08 Sep 2006
Message(s): 10
MessagePosté le: 19 Sep 2006 19:11    Sujet du message: istbar Répondre en citant
à l'aide

après avoir tapé dans regedit 180solutions voilà ce qu'il me propose de supprimer:

180solutions.com
bis.180solutions.com
config.180solutions.com
downloads.180solutions.com
installs.180solutions.com

voici le rapport de pestpatrol apres avoir supprimer les cle ci dessus:

P2P "eMule" trouvé(s) dans:
key "hkey_classes_root \.emulecollection"
key "hkey_classes_root \emule"
key "hkey_current_user \software\emule"
key "hkey_local_machine \software\classes\ed2k"
key "hkey_local_machine \software\microsoft\windows\currentversion\uninstall\emule"
Folder "C:\Program Files\emule\config"
Folder "C:\Program Files\emule\lang"
Folder "C:\Program Files\emule\logs"
Folder "C:\Program Files\emule\skins"
Folder "C:\Program Files\emule\webserver"
File "C:\Program Files\emule\changelog.ger.txt"
File "C:\Program Files\emule\changelog.txt"
File "C:\Program Files\emule\downloads.txt"
File "C:\Program Files\emule\emule.1031.chm"
File "C:\Program Files\emule\emule.chm"
File "C:\Program Files\emule\emule.exe"
File "C:\Program Files\emule\license-ger.txt"
File "C:\Program Files\emule\license.txt"
File "C:\Program Files\emule\linkcreator.exe"
File "C:\Program Files\emule\readme.txt"
File "C:\Program Files\emule\template.emuleskin.ini"
File "C:\Program Files\emule\uninstall.exe"
Plus d'informations
ISTbar Hijacker
Hijacker "ISTbar" trouvé(s) dans:
key "hkey_local_machine \software\istbar"
Plus d'informations
Bluestreak.com Tracking Cookie
Tracking Cookie "Bluestreak.com" trouvé(s) dans:
Cookie "utilisateur@bluestreak[1].txt" File "C:\Documents and Settings\Utilisateur\Cookies\utilisateur@bluestreak[1].txt"
Plus d'informations
Weborama Tracking Cookie
Tracking Cookie "Weborama" trouvé(s) dans:
Cookie "utilisateur@weborama[2].txt" File "C:\Documents and Settings\Utilisateur\Cookies\utilisateur@weborama[2].txt"

apparemment istbar est toujours là
je suis retouné sur regedit et fait une recherche de ISTbar qu'il m'a trouvé mais qu'il refuse de supprimer

J'en suis à ce stade
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 19 Sep 2006 19:36    Sujet du message: Répondre en citant
Bonjour Etave,

Je me suis fait une chaussette, la recherche était bien sur istbar et pas sur 180solutions. Neutre

Les clés trouvées, tu n'y touches pas, elles sont légitimes. Il s'agit de la zone de confiance de IE.

Seule la clé hkey_local_machine \software\istbar est à supprimer.

« etave » a écrit:
apparemment istbar est toujours là
je suis retouné sur regedit et fait une recherche de ISTbar qu'il m'a trouvé mais qu'il refuse de supprimer


Il te dit quoi Windows exactement Question

Que tu n'as pas de droits suffisants pour supprimer cette clé Question

Fais une recherche (démarrer / rechercher) de Istb* sur ton disque dur, avec ses critères :



Donne moi tous les emplacements exacts si il y a quelque chose. Wink

@+
Revenir en haut de page
Publicité
Ce sujet est verrouillé; vous ne pouvez pas éditer les messages ou faire de réponses. Le site -> Assiste PC Index du Forum -> Désinfection des virus & analyses de logs HijackThis Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2  Suivante
Page 1 sur 2

Navigation Autres sujets similaires

Sauter vers :
10 

 


Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum

| Le Site | Nous contacter | Annuaire | phpBB | phpBB SEO | Informatruc | Forum Map | Site Map |

CrawlTrack: free crawlers and spiders tracking script for webmaster - script gratuit de détection des robots pour webmaster