Tuto Pratique HijackThis

Merci pour cette leçon magistrale



Et pour ne pas rester sur notre faim, ce serait bien de nous faire un cours sur "silent runners".

Je n'ai pas participé pour ce log car je ne connaissais pas ces deux outils. Mais j'ai suivi avec attention le déroulement des opérations. Il me reste à digérer tout çà.



Acrobaze, tes cours sont



Bonsoir à tous

beaucoup



Pareil, j'ai tout suivi discrètement.



Une question peut-être idiote : pourquoi n'y a-t-il pas de lignes O1 ? Est-ce que c'est la seule chose que les antispywares arrivaient à corriger ?

De 01, dans un log HijackThis ?



Les 01 c'est les sites contenus dans le fichier "Hosts".

Oui je c'est ce que c'est, on en voit suffisamment, je me demandais seulement pourquoi il n'y avait pas de problèmes de redirections dans le fichier host dans le cas précédent ?

Log 11 : justement des O1!



Popoups. Passé Ad-Aware, SpyBot et PestPatrol. J'ai lancé PestPatrol qui a trouvé plus de 400 entrées...juste après, je le repasse, il en trouve encore 200.



Le Pc est lent...s'il fait 5% de ses capacités, c'est déjà beaucoup.



Logfile of HijackThis v1.98.2

Scan saved at 1:15:59 PM, on 2/23/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Toolbar\TBPS.exe

C:\Programme\Toolbar\PIB.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\HP\KBD\KBD.EXE

C:\Programme\VERITAS Software\Update Manager\sgtray.exe

C:\WINDOWS\System32\atiptaxx.exe

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\Programme\PestPatrol\PPControl.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\PestPatrol\PPMemCheck.exe

C:\Programme\PestPatrol\CookiePatrol.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr_.exe

C:\Programme\Telenor\ecc\ecc.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\peite.exe

C:\Programme\ISTsvc\istsvc.exe

C:\Programme\Skype\Phone\Skype.exe

C:\Palm\HOTSYNC.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Dokumente und Einstellungen\Office\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://dech7.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/cus...//www.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus...rch/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cus...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://www.online.no/proxy.pac

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Programme\SurfSideKick 2\SskBho.dll

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dl l",cdaEngineMain

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr_.exe

O4 - HKLM\..\Run: [ecc] C:\Programme\Telenor\ecc\ecc.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe

O4 - HKLM\..\Run: [wBQai] C:\WINDOWS\peite.exe

O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe

O4 - HKLM\..\Run: [uã��¢ÖjX¡'‡íˆ£È¼»ëÁC:\Programme\ISTsvc\istsvc.exe ] C:\WINDOWS\peite.exe

O4 - HKLM\..\Run: [AutoLoaderwF7z1OIlKQaZ] "C:\WINDOWS\System32\wmipui.exe" /HideDir /HideUninstall /PC="CP.AMS" /ShowLegalNote="nonbranded"

O4 - HKLM\..\Run: [AutoLoaderEnvoloAutoUpdater] "C:\DOKUME~1\Anine\LOKALE~1\Temp\~compoundinst0\aut o_update_loader.exe" /HideDir /HideUninstall /PC="CP.AMS" /ShowLegalNote="nonbranded"

O4 - HKLM\..\Run: [wsoP34V] wmipui.exe

O4 - HKLM\..\Run: [pkd] C:\WINDOWS\pkd.exe

O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [SurfSideKick 2] C:\Programme\SurfSideKick 2\Ssk.exe

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [Weather] C:\Programme\AWS\WeatherBug\Weather.exe 1

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [SurfSideKick 2] C:\Programme\SurfSideKick 2\Ssk.exe

O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE

O4 - Global Startup: WebSecureAlert.lnk = C:\Programme\WebSecureAlert\WebSecureAlert.exe

O8 - Extra context menu item: &AIM Search - res://C:\Programme\AIM Toolbar\AIMBar.dll/aimsearch.htm

O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - (no file)

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe

O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (file missing) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binar...kr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binar...er.cab31267.cab

O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab31267.cab

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/m...pdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binar...ro.cab32846.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://active.macromedia.com/flash/cabs/swflash.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binar...wn.cab31267.cab

Voici ma réponse pour le log 11



1) Télécharger LspFix sur :

http://www.spychecker.com/download/download_lspfix.html



-Lance-le

-Coche "I know what I'm doing"

-Fais passer de gauche à droite tous les winlspak.dll

-Clique "Finish"

-Reboot.



2) Ferme toutes les applications actives (y compris internet explorer). Ensuite, relance HijackThis. Coche les lignes suivantes et clique sur Fix Checked (en répondant Oui à la question qui suit) :



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://dech7.hpwis.com/



R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank



R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank



R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://www.online.no/proxy.pac





R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Programme\SurfSideKick 2\SskBho.dll



O1 - Hosts: 69.20.16.183 auto.search.msn.com



O1 - Hosts: 69.20.16.183 search.netscape.com



O1 - Hosts: 69.20.16.183 ieautosearch



O1 - Hosts: 69.20.16.183 ieautosearch



O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)



O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)



O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dl l",cdaEngineMain



O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe



O4 - HKLM\..\Run: [wBQai] C:\WINDOWS\peite.exe



O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe



O4 - HKLM\..\Run: [uã� �¢ÖjX¡'‡íˆ£È¼»ëÁC:\Programme\ISTsvc\istsvc.exe ] C:\WINDOWS\peite.exe



O4 - HKLM\..\Run: [AutoLoaderwF7z1OIlKQaZ] "C:\WINDOWS\System32\wmipui.exe" /HideDir /HideUninstall /PC="CP.AMS" /ShowLegalNote="nonbranded"



O4 - HKLM\..\Run: [AutoLoaderEnvoloAutoUpdater] "C:\DOKUME~1\Anine\LOKALE~1\Temp\~compoundinst0\aut o_update_loader.exe" /HideDir /HideUninstall /PC="CP.AMS" /ShowLegalNote="nonbranded"



O4 - HKLM\..\Run: [wsoP34V] wmipui.exe



O4 - HKLM\..\Run: [pkd] C:\WINDOWS\pkd.exe



O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe



O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe



O4 - HKLM\..\Run: [SurfSideKick 2] C:\Programme\SurfSideKick 2\Ssk.exe



O4 - HKCU\..\Run: [SurfSideKick 2] C:\Programme\SurfSideKick 2\Ssk.exe



O4 - Global Startup: WebSecureAlert.lnk = C:\Programme\WebSecureAlert\WebSecureAlert.exe



O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx



Et si sa page d’accueil n’est pas yahoo, fixer également ces lignes :



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/cus...//www.yahoo.com



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus...rch/search.html



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cus...//www.yahoo.com



Et pour celle-ci j’hésite



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =



3) S’assurer d’avoir accès aux dossiers et fichiers cachés (mettre explication)



4) Supprimer les dossiers et fichiers en gras



C:\Programme\Toolbar



C:\WINDOWS\peite.exe



C:\Programme\ISTsvc



C:\WINDOWS\farmmext.exe



C:\WINDOWS\System32\wmipui.exe



C:\Programme\WildTangent



C:\WINDOWS\pkd.exe



C:\Program Files\AdTools Service



C:\Programme\SurfSideKick 2



C:\Programme\WebSecureAlert



5) Supprimer le contenu du dossier temp



6) Vider la corbeille



7) Redémarrer le pc



8) refaire un hijackthis après avoir téléchargé la nouvelle version 1.99.1 (mettre explication)

Pourquoi supprimer les occurences liées à wildtangent?

Mes recherches corrspondent à des jeux?

(j'essaie d'apprendre donc vraiment pas sûr de moi)

Après réflexion (la nuit porte conseil) il aurait peut-être mieux valu utiliser cet outil CoolWebSchredder et refaire un hijackthis avant d’en fixer les lignes

Attention, ma réponse n'est qu'une suggestion de solution. C'est acrobaze qui nous donnera la bonne solution.



Ma motivation pour fixer les lignes liées à WildTangent CDA ---> Parce que, après recherche sur le forum, j’ai trouvé dans plusieurs topics que Acrobaze avait donné comme consigne de les fixer

http://www.iamnotageek.com/a/245-p1.php

http://www.spyany.com/program/article_spw_rm_WildTangent.html

http://www.scanspyware.net/info/WildTangent.htm

Ok. Alors donc le plan était :



1- Eliminer les O10 grâce à LspFix.

2- Détecter l'infection Vx2.

3- Nettoyer les divers malwares de ce log.



=============



Ces lignes, qui reviendront sans cesse après avoir été "fixées" (quel que soit l'outil : HijackThis, tje Hoster, directement ds le fichier Hosts etc..):



O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch



caractérisent l'infection Vx2 (avec son lot de popups...) tout comme la O20 dans le log précédent.



Il faut donc utiliser là aussi l2mfix afin d'éliminer les fichiers que l'on ne voit pas là, et en particulier celui qui crée les dll (c:\windows\system32\guard.tmp, comme quoi il ne faut pas trop se fier à l'extension des fichiers).



Voici donc la procédure :



Message 1 : vérification.







Le gars poste son log. On constate la présence des dll et de guard.tmp.



Message 2 : nettoyage.







à l'issue de l'option 2, la O20 doit avoir disparu. Si ce sont des O1, comme ici, ça dépend des fois. Des fois elles auront disparu, des fois il faudra les "fixer", mais cette fois-ci, au log suivant, elle auront disparu.



==============================



Autre remarque : c'est un log 1.98, avec XP, demander le 1.99.1.

Les "Fix" pour ce log : (il y a un O23 car demandé un 1.99.1)



R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Programme\SurfSideKick 2\SskBho.dll

O1 - Hosts: netscape.com

O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)

O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)



O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe

O4 - HKLM\..\Run: [wBQai] C:\WINDOWS\peite.exe

O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe

O4 - HKLM\..\Run: [uã��¢ÖjX¡'‡íˆ£È¼»ëÁC:\Programme\ISTsvc\istsvc.exe ] C:\WINDOWS\peite.exe

O4 - HKLM\..\Run: [AutoLoaderwF7z1OIlKQaZ] "C:\WINDOWS\System32\wmipui.exe" /HideDir /HideUninstall /PC="CP.AMS" /ShowLegalNote="nonbranded"

O4 - HKLM\..\Run: [AutoLoaderEnvoloAutoUpdater] "C:\DOKUME~1\Anine\LOKALE~1\Temp\~compoundinst0\aut o_update_loader.exe" /HideDir /HideUninstall /PC="CP.AMS" /ShowLegalNote="nonbranded"

O4 - HKLM\..\Run: [wsoP34V] wmipui.exe

O4 - HKLM\..\Run: [pkd] C:\WINDOWS\pkd.exe

O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [SurfSideKick 2] C:\Programme\SurfSideKick 2\Ssk.exe

O4 - HKCU\..\Run: [Weather] C:\Programme\AWS\WeatherBug\Weather.exe 1

O4 - HKCU\..\Run: [SurfSideKick 2] C:\Programme\SurfSideKick 2\Ssk.exe



O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (file missing) (HKCU)



O23 - Service: .NET Framework Service (.NET Connection Service) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)



Les suppressions :



Dossiers :

C:\Programme\SurfSideKick 2\

C:\Programme\Toolbar\

C:\Program Files\AdTools Service\

C:\Programme\ISTsvc

C:\Programme\AWS\



Fichiers:

C:\WINDOWS\farmmext.exe

C:\WINDOWS\peite.exe

C:\WINDOWS\pkd.exe

C:\WINDOWS\System32\wmipui.exe

Petites précisions :



- Parfois, ce genre de ligne persiste :

O4 - HKLM\..\Run: [uã��¢ÖjX¡'‡íˆ£È¼»ëÁC:\Programme\ISTsvc\istsvc.exe ] C:\WINDOWS\peite.exe



même une fois les fichiers supprimés.



Il faut alors aller directement à (Démarrer->exécuter->taper: regedit):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



et supprimer ds le panneau de droite (clic droit->supprimer):

[uã��¢ÖjX¡'‡íˆ£È¼»ëÁC:\Programme\ISTsvc\istsvc.exe ] C:\WINDOWS\peite.exe



- WildTangent n'est pas un malware. Ce qui lui est reproché, c'est d'être installé sans que l'utilisateur le sache, souvent, par exemple avec AIM.

Ok, c'est très interressant tout ça. :)

Pour Wildtangent : il faut quand même le fixer à chaque fois ou pas ?

Message pour faire réapparaître les drapeaux verts des sujets auxquels on a participé et comportant de nouvelles réponses

Non, inutile.

topic super top....... merci Acrobaze..
vais approfondir,çà va etre dur...

J'ai pas le temps de tout lire mais je salue l'initiative d'Acrobaze! Un talent certain de pédagogue
Ce topic manquait sur le forum, ravi de tomber dessus. Je lirai ca cet été avec plaisir

Log 12 : Popups

Je suis bombardé de nombreux popups. Passé Norton, AdAware SpyBot..

Logfile of HijackThis v1.98.2
Scan saved at 2:25:05 AM, on 04/28/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Program Files\McAfee\QuickClean\Plguni.exe
C:\documents and settings\denny martin\local settings\temp\2VkS.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\WINDOWS\system32\mcdccr32.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\WINDOWS\system32\lzewan.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Program Files\CxtPls\CxtPls.exe
C:\DOCUME~1\DENNYM~1\LOCALS~1\Temp\Temporary Directory 1 for hijackthis1977.zip\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sony.com/vaiopeople
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus...rch/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/w/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.hotmail.com/
O1 - Hosts: 209.66.114.130 sitefinder.verisign.com
O1 - Hosts: 198.65.164.168 00hq.com
O1 - Hosts: 198.65.164.168 8ad.com
O1 - Hosts: 198.65.164.168 searchv.com
O1 - Hosts: 198.65.164.168 www.searchv.com
O1 - Hosts: 198.65.164.168 008k.com
O1 - Hosts: 198.65.164.168 www.008k.com
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\CxtPls\cxtpls.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file)
O2 - BHO: WinPage Affiliate - {E8EAEB34-F7B5-4C55-87FF-720FAF53D841} - C:\Documents and Settings\denny martin\Local Settings\Temp\wBhc7ZN.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ZTgServerSwitch] c:\program files\support.com\client\bin\tgcmd.exe /server
O4 - HKLM\..\Run: [ykSjpqkw.exe] C:\documents and settings\denny martin\local settings\temp\ykSjpqkw.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Imonitor] "C:\Program Files\McAfee\QuickClean\Plguni.exe" /START
O4 - HKLM\..\Run: [2VkS.exe] C:\documents and settings\denny martin\local settings\temp\2VkS.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [dvd43] C:\Program Files\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [x32i3qR] mcdccr32.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor
O4 - HKCU\..\Run: [g0tsRkd6Q] lzewan.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O9 - Extra button: iOpus Internet Macros - {0483894E-2422-45E0-8384-021AFF1AF3CD} - C:\Program Files\InternetMacros\imacros.dll (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sony.com/vaiopeople
O16 - DPF: {02CF1781-EA91-4FA5-A200-646E8241987C} (VaioInfo.CMClass) - http://esupport.sony.com/support/po...ct/VaioInfo.CAB
O16 - DPF: {09C6CAC0-936E-40A0-BC26-707480103DC3} - http://www.uproar.com/applets/activ...pside_web18.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6.../bridge-c18.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?lin...467&clcid=0x409
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/c...DC_1_0_0_44.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.c...iveX/winrep.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {A93D84FD-641F-43AE-B963-E6FA84BE7FE7} (LinkSys Content Update) - http://www.linksysfix.com/netcheck/...ll/gtdownls.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {B8F2846E-CE36-11D0-AC83-00C04FD97575} (Lernout & Hauspie TruVoice American English TTS Engine) - http://www.talkingbuddy.com/talkingbuddyinstall.exe
O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAF} - http://www.talkingbuddy.com/talkingbuddyinstall.exe
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O16 - DPF: {DBA230D1-8467-4e69-987E-5FAE815A3B45} -
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/download/0.x/regdload.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

Je pense déjà, dans un premier temps, qu'on peut utiliser le logiciel de réparation CWShredder pour éliminer les 01

!

1 Tirer un log avec la dernière version de HJT
2 Installer celui-ci dans un dossier qui lui est dédié


Ctrl/Alt/Suppr

Termine les processus suivants:

C:\documents and settings\denny martin\local settings\temp\2VkS.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\WINDOWS\system32\mcdccr32.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\WINDOWS\system32\lzewan.exe
C:\Program Files\CxtPls\CxtPls.exe

****************************************

Désinstalle, en passant par ajout/suppression de programmes, les progs suivants, si présents:

C:\Program Files\Media Access

****************************************

Ferme tous les programmes, y compris internet explorer.
Lance HijackThis "Do a system scan only". Coche ces lignes et clique "Fix checked".

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/w/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.hotmail.com/
O1 - Hosts: 209.66.114.130 sitefinder.verisign.com
O1 - Hosts: 198.65.164.168 00hq.com
O1 - Hosts: 198.65.164.168 8ad.com
O1 - Hosts: 198.65.164.168 searchv.com
O1 - Hosts: 198.65.164.168 www.searchv.com
O1 - Hosts: 198.65.164.168 008k.com
O1 - Hosts: 198.65.164.168 www.008k.com
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\CxtPls\cxtpls.dll
O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file)
O2 - BHO: WinPage Affiliate - {E8EAEB34-F7B5-4C55-87FF-720FAF53D841} - C:\Documents and Settings\denny martin\Local Settings\Temp\wBhc7ZN.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [ykSjpqkw.exe] C:\documents and settings\denny martin\local settings\temp\ykSjpqkw.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [2VkS.exe] C:\documents and settings\denny martin\local settings\temp\2VkS.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [x32i3qR] mcdccr32.exe
O4 - HKCU\..\Run: [g0tsRkd6Q] lzewan.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {09C6CAC0-936E-40A0-BC26-707480103DC3} - http://www.uproar.com/applets/activ...pside_web18.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6.../bridge-c18.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab

****************************************

Redémarre en mode sans échec (en tapotant F8 au démarrage).
Donne-toi accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)

Supprime les dossiers/fichiers en gras si présents

C:\WINDOWS\system32\mcdccr32.exe
C:\WINDOWS\system32\lzewan.exe

Toujours en mode sans echec:

C\temp\ <-- supprimer tout le contenu du dossier
C:\windows\temp\ <-- supprimer tout le contenu du dossier
C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\<-- supprimer tout le contenu du dossier

(Ne supprime pas les dossiers eux-mêmes, mais tous les fichiers contenus.)

IE > Outils > Options internet
Dans le champ "Fichiers Internet Temporaires", tu cliques sur le bouton du mileu "Supprimer les fichiers".
Tu coches la petite case "Supprimer tout le contenu hors connexion" et tu valides par Ok.

Vide la corbeille

Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir:
Retourne à la fenêtre <Paramètres de dossier> et sélectionne <Ne pas afficher les fichiers cachés ou les fichiers système>.

Reboot en mode normal et poste un nouveau log.

Voilà ma copie pour log 12

Télécharger la dernière version de hijackthis v1.99.1

Ensuite :

1) Fermer toutes les applications actives (y compris internet explorer). Ensuite, relancer HijackThis (V 1.99.1). Cocher les lignes suivantes et cliquer sur Fix Checked (en répondant Oui à la question qui suit) :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/

R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sharempeg.com/find/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus...rch/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/w/search.html

O1 - Hosts: 209.66.114.130 sitefinder.verisign.com
O1 - Hosts: 198.65.164.168 00hq.com
O1 - Hosts: 198.65.164.168 8ad.com
O1 - Hosts: 198.65.164.168 searchv.com
O1 - Hosts: 198.65.164.168 www.searchv.com
O1 - Hosts: 198.65.164.168 008k.com
O1 - Hosts: 198.65.164.168 www.008k.com
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com

O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\CxtPls\cxtpls.dll

O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file)

O2 - BHO: WinPage Affiliate - {E8EAEB34-F7B5-4C55-87FF-720FAF53D841} - C:\Documents and Settings\denny martin\Local Settings\Temp\wBhc7ZN.dll

O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)

O4 - HKLM\..\Run: [ykSjpqkw.exe] C:\documents and settings\denny martin\local settings\temp\ykSjpqkw.exe

O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe

O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe

O4 - HKLM\..\Run: [2VkS.exe] C:\documents and settings\denny martin\local settings\temp\2VkS.exe

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [x32i3qR] mcdccr32.exe

O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"

O4 - HKCU\..\Run: [g0tsRkd6Q] lzewan.exe

O4 - Startup: PowerReg Scheduler V3.exe

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6.../bridge-c18.cab

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab

O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAF} - http://www.talkingbuddy.com/talkingbuddyinstall.exe

2) Supprimer le contenu du dossier Temporary internet files

Pour supprimer le contenu du cache quand on est dans IE, aller dans Options Internet, onglet Général, cliquer sur "Supprimer les fichiers" et ne pas oublier de cocher la case "Supprimer tout le contenu hors connexion".

3) Vider le contenu du dossier temp

4) Désinstaller par ajout/suppression de programmes

CxtPls
Viewpoint
Media Access

5) Supprimer les dossiers ou fichiers en gras. Pour cela s'assurer d'avoir accès aux dossiers et fichiers cachés

C:\Program Files\Viewpoint
C:\Program Files\Media Access
C:\Program Files\CxtPls
C:\WINDOWS\sysupd.exe
C:\WINDOWS\system32\lzewan.exe
C:\WINDOWS\system32\mcdccr32.exe
C:\PROGRA~1\PANICW~1
C:\WINDOWS\sysupd.exe

6) Vider la corbeille

7) Redémarrer l'ordinateur

8) Refaire un hijackthis et poster le rapport

voila , je m ' adresse a vous ! une personne pourrez venir analyser ce log : >>içi << d ' avance !

Voilà.

Mais attention :

1- Viewpoint n'est pas un spyware ou autre. La seul chose qu'on pourrait lui reprocher c'est de ne pas avertir l'utilisateur de son installatuion. Avec AOL par exemple.
Donc, ne pas fixer :
O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe

2- Panicware Software Pop-Up Stopper est un programme légitime aussi :
http://www.liutilities.com/products/wintaskspro/processlibrary/psfree/
Donc, ne pas fixer la ligne:
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"

Donc, si je comprends bien, il ne faut pas non plus désinstaller Viewpoint, ni supprimer C:\Program Files\Viewpoint et C:\PROGRA~1\PANICW~1

Pour View Point, on peut suggérer ceci :
" Si tu n'as pas installé ViewPoint toi-même...panneau de configuration->Ajout/suppression de programmes" etc...

L'autre, non, c'est un programme tout à fait légitime.

Voici les "fix" utilisés ici :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/w/search.html

O1 - Hosts: 209.66.114.130 sitefinder.verisign.com
O1 - Hosts: 198.65.164.168 00hq.com
O1 - Hosts: 198.65.164.168 8ad.com
O1 - Hosts: 198.65.164.168 searchv.com
O1 - Hosts: 198.65.164.168 www.searchv.com
O1 - Hosts: 198.65.164.168 008k.com
O1 - Hosts: 198.65.164.168 www.008k.com
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\CxtPls\cxtpls.dll
O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file)
O2 - BHO: WinPage Affiliate - {E8EAEB34-F7B5-4C55-87FF-720FAF53D841} - C:\Documents and Settings\denny martin\Local Settings\Temp\wBhc7ZN.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)

O4 - HKLM\..\Run: [ykSjpqkw.exe] C:\documents and settings\denny martin\local settings\temp\ykSjpqkw.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [2VkS.exe] C:\documents and settings\denny martin\local settings\temp\2VkS.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [x32i3qR] mcdccr32.exe
O4 - HKCU\..\Run: [g0tsRkd6Q] lzewan.exe
O4 - Startup: PowerReg Scheduler V3.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6.../bridge-c18.cab
O16 - DPF: {DBA230D1-8467-4e69-987E-5FAE815A3B45} -

Click "Fix checked".

Puis supprimer en sans échec:
C:\Program Files\CxtPls\ <-the folder
C:\WINDOWS\sysupd.exe
C:\Program Files\Media Access\ <-the folder
C:\WINDOWS\system32\mcdccr32.exe
C:\WINDOWS\system32\lzewan.exe

Vider les dossiers:
-C:\documents and settings\<your name>\local settings\temp
-C:\temp (if present)
-C:\windows\temp

======================

Au deuxième passage, il restait ceci :

O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file)

O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab

chers amis vous avez du talent !!
BRAVO

Merci acrobaze pour cette nouvelle leçon.

J'en profite pour te demander s'il serait possible, en cliquant sur le n° du log dans ton premier post, que l'on puisse directement arriver sur le topic où tu as posté ce log

Je donne un exemple pour me faire comprendre parce que ce n'est pas évident à expliquer :

Voilà ce que j'aimerais, si c'est possible :

Je suis dans ton 1er message
Je clique sur log 8
Cela me mène directement page 3 à l'emplacement où tu as posté le log à analyser

Merci d'avance

Log 13 : Aurora

J'ai en ce moment 5 fenêtres "Aurora" etc....

Logfile of HijackThis v1.99.1
Scan saved at 23:28:05, on 08/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows Washer\Webroot\Washer\wwDisp.exe
C:\Program Files\Evidence Eliminator\ee.exe
C:\Program Files\Volumouse\volumouse.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ntlworld.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://security.symantec.com/defaul...en-us&venid=sym
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nsa26.dll (file missing)
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Program Files\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Windows Washer\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [Evidence Eliminator] C:\Program Files\Evidence Eliminator\ee.exe /m
O4 - HKCU\..\Run: [$Volumouse$] "C:\Program Files\Volumouse\volumouse.exe" /nodlg
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/tec...sa/LSSupCtl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1114415410109
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tec...sa/SymAData.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Démarrer >> Exécuter >> Services.msc >> Arrête ce service et désactive-le :
System Startup Service

Ensuite, lance HiJackThis et fixe ces lignes :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nsa26.dll (file missing)
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Windows Washer\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [Evidence Eliminator] C:\Program Files\Evidence Eliminator\ee.exe /m
O4 - HKCU\..\Run: [$Volumouse$] "C:\Program Files\Volumouse\volumouse.exe" /nodlg


Ensuite, démarrer >> Exécuter >> cmd >> tape nail.exe /FullRemove

PS : il nous faut pas un logiciel nommé "find It" ?

Ce log est très utile, car en ce moment, je ne sais pas ce qui se passe, mais beaucoup de personne sont victime de Aurora.

Voilà, la première chose à faire est de stopper et désactiver ce service :


Puis:

Démarrer->exécuter->taper: cmd
Entrer la commande ( en respectant l'espace) : nail.exe /FullRemove
Redémarrer.

Et maintenant on peut cocher la ligne F2 dans HijackThis (mais ça ne marche pas dans 100% des cas).

Non, ces fichiers sont valides, ne pas les éliminer:

O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Windows Washer\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [Evidence Eliminator] C:\Program Files\Evidence Eliminator\ee.exe /m
O4 - HKCU\..\Run: [$Volumouse$] "C:\Program Files\Volumouse\volumouse.exe" /nodlg

WebRoot par exemple, c'est l'éditeur de SpySweeper.

Ah oui, mince. Quelle erreur grave...
Et donc après, la désinsfection est complète ?

bonjour Acrobaze, ça faisait longtemps

nail.exe /FullRemove <-- peut-on remplacer par nail.exe /Babymove?

Bolger.dll a du mal à être délogé, utilisation de Killbox.