|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour!
Je n'y connais absolument rien en informatique; j'ai des fenêtres qui s'ouvrent quelque fois sur mon ordi. Crazy girl et serial players. Et un site (quelque chose comme fpc. internet) : quelqu'un pourrait-il avoir la gentillesse de m'aider.
Merci
-->Message édité par Soso456 le 02/08/2007 00:20:59<--
|
|
|
|
|
Bonjour,
télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau
dézippe le dossier, double-clique sur GenProc.bat  et poste le contenu du rapport qui s'ouvre
Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
|
|
|
|
|
Merci Jean-chrétien
Je t'envoie le rapport
Rapport GenProc 0.65 [1] effectué le 25/07/2007 à 17:05:59,69 - SystemRoot = C:\WINDOWS
# Etape 1/ Télécharge :
- CCleaner http://www.ccleaner.com/download/downloadpage.aspx?f=2
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.
- Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau
- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
* Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU).
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/Ser(...) (choisis ta session courante "Milaine") *****
# Etape 2/
* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert
* Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert
* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.
* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :
electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"
=> Supprime-les tous
# Etape 3/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 4/
Redémarre normalement et poste :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail C:\ ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
|
|
|
|
|
|
IL me semble que ce n'est pas un rapport comme j'en voie sur le net, mais c'est ce que j'ai obtenu lors du lancement de genprocbat, le bloc note s'est ouvert.
|
|
|
|
|
|
il suffit de suivre la procédure que tu viens de poster
|
|
|
|
|
Merci Jean-Chrétien
RAPPORT HIJKACKTHIS:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:55:14, on 26/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Anti-Dialer\a2service.exe
C:\Program Files\a-squared Free\a2service.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Milaine\Local Settings\Temporary Internet Files\Content.IE5\01K3DWFP\HiJackThis[1].exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOCUME~1\Milaine\LOCALS~1\Temp\ImInstaller\IncrediMail\incredimail_install(2).exe -startup -product IncrediMail
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Program Files\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [gqcerii] c:\windows\system32\gqcerii.exe gqcerii
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {201B9B37-848F-40BD-90EA-7B8F0AA89D6A} -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housec(...)
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {C432C4BD-3566-411C-8F3C-E5E0D3AE5D33} (CBrowser Class) - http://www.streamingfaith.com/common/mbrowser/MINIBrowser.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3F4C693-423E-44FA-B563-AA5C68684F64}: NameServer = 80.10.246.5 80.10.246.136
O20 - Winlogon Notify: yvbb01 - C:\WINDOWS\SYSTEM32\yvbb01.dll
O20 - Winlogon Notify: yvpp01 - yvpp01.dll (file missing)
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Dialer\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOCUME~1\MILAINE\LOCALS~1\TEMP\_VWUPSRV.EXE (file missing)
O24 - Desktop Component 0: (no name) - http://www.coin-urbanisme.org/images/fond2.gif
O24 - Desktop Component 1: (no name) - http://www.atout-reussite.com/images/barre_en_tete.jpg
O24 - Desktop Component 2: (no name) - http://www.creer.fr/images/menu/metier.gif
--
End of file - 7147 bytes
|
|
|
|
|
RAPPORT NAVIPROMO:
Rapport Navipromo.bat 0.73 effectué le 26/07/2007 à 21:32:34,53
C:\WINDOWS\system32
L'opération se déroule en mode sans échec sous le compte "Milaine"
** Recherche...
1/ gqcerii trouvé, recherche de gqcerii*
C:\WINDOWS\system32\gqcerii.dat
C:\WINDOWS\system32\gqcerii.exe
C:\WINDOWS\system32\gqcerii_nav.dat
C:\WINDOWS\system32\gqcerii_navps.dat
C:\WINDOWS\prefetch\GQCERII.EXE-2E79B7C1.pf
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
gqcerii REG_SZ c:\windows\system32\gqcerii.exe gqcerii
------------------
2/ fssccp trouvé, recherche de fssccp*
C:\WINDOWS\system32\fssccp.dat
C:\WINDOWS\system32\fssccp.exe
C:\WINDOWS\system32\fssccp_nav.dat
C:\WINDOWS\system32\fssccp_navps.dat
C:\WINDOWS\prefetch\FSSCCP.EXE-2EB37A12.pf
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
fssccp REG_SZ c:\windows\system32\fssccp.exe fssccp
------------------
Fin du rapport de recherche
Adware Navipromo trouvé 2 fois avec cette méthode
################################################
** Nettoyage...
1/ Déplacement de gqcerii* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\gqcerii* déplacé avec succès !
C:\WINDOWS\prefetch\gqcerii* déplacé avec succès
------------------
2/ Déplacement de fssccp* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\fssccp* déplacé avec succès !
C:\WINDOWS\prefetch\fssccp* déplacé avec succès
------------------
* Suppression clés et valeurs de registre
2 entrées de registre netttoyées
* Backups :
C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\fssccp.dat
C:\Navipromo\Backups\fssccp.exe
C:\Navipromo\Backups\FSSCCP.EXE-2EB37A12.pf
C:\Navipromo\Backups\fssccp_nav.dat
C:\Navipromo\Backups\fssccp_navps.dat
C:\Navipromo\Backups\gqcerii.dat
C:\Navipromo\Backups\gqcerii.exe
C:\Navipromo\Backups\GQCERII.EXE-2E79B7C1.pf
C:\Navipromo\Backups\gqcerii_nav.dat
C:\Navipromo\Backups\gqcerii_navps.dat
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\pack.epk
C:\Navipromo\Backups\Uninstall.reg
Ajout d'extension .off aux backups
## Fin du rapport de Suppression
-------------
Rapport Navipromo.bat 0.73 effectué le 26/07/2007 à 21:33:55,26
L'opération se déroule en mode sans échec sous le compte "Milaine"
## Suppression Heuristique
* Backups :
C:\Navipromo\Backups\Heuristic\linkprd.exe
Ajout d'extension .off aux backups
Backups exe renommés avec succès
## Fin du rapport Heuristique
|
|
|
|
|
Tout a été facile, aucune difficulté.
Seulement il m'a fallu 1 heure pour tout faire.
J'ai l'impression que je n'ai plus ces fenêtres, je posterai certainement après demain donner des infos supplémentaires.
Merci
|
|
|
|
|
Les programmes suivants installent discrètement l'adware Navipromo, par conséquent, en aucun cas ils ne doivent être installés/réinstallés :
Instant Access
MailSkinner
InternetGameBox
GoRecord2
GoAstro
SudoPlanet
WebMediaPlayer
MessengerSkinner
Pour terminer, supprime les dossiers jaunes GenProc, C:\Navipromo, C:\BFU, ainsi que les fichiers C:\Navipromo.txt et Navipromo.bat, puis vide ta corbeille.
* fais ce scan en ligne : http://www.bitdefender.fr/bd/site/page.php?tab=0#
Clique, en bas à gauche, sur "scan on line (nouveau)"
Accepte ensuite la licence puis laisse-lui installer l'ActiveX
Laisse-toi guider.
* lorsqu'il a terminé, désactive ta restauration système, redémarre l'ordinateur et réactive-la :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/2002083(...)
* A ce moment là, tu pourras marquer ton sujet "résolu" si tu estimes que c'est le cas http://forum.telecharger.01net.com/microhebdo/regles_et_mode_demploi/_aide_du(...)
à+
|
|
|
|
|
Je te remercie Jean-chrétien1;
Tout est ok; pourrais-tu aussi me dire s'il faut que j'enlève bitdefender et ccleaner, j'ai comme antivirus AVG free;
J'ai aussi une autre question: sais-tu comment on fait pour enlever le trojan backdoor (generic 3 il me semble).
merci
|
|
|
|
|
Garde CCleaner, et lance le régulièrement. Sous windows, ce genre d'opération est obligatoire si tu veux un système d'exploitation à peu près potable d'un point de vue performances
Bitdefender n'est pas installé, c'est juste activeX. Pour le supprimer > dans internet > options internet > uninstall bitdefender
Et ton trojan, quel est son chemin exact ? backdoor generic, je sais pas ce que c'est
|
|
|
|
|
Je crois que j'écrirai un autre post lorsque ce problème se représentera.
J'ai un autre petit probème: j'essaie d'enlever "incredimail" de mon disque dur mais rien à faire, au démarrage de mon ordinateur il est toujours présent.
Comment le faire disparaître?
Je cherche à mettre "résolu" mais j'ai beau chercher comment faire,je n'y arrive pas, je ne sais toujours pas sur quel bouton appuyer.
Merci
-->Message édité par Soso456 le 28/07/2007 20:43:08<--
|
|
|
|
|
|
Il me semble qu'il y a un malentendu. Pourquoi poses-tu cette question sur "le trojan backdoor" ?
|
|
|
|
|
Non, il n'y a pas de malentendu: AVG free m'annonce,quelque fois, que mon ordianteur a le trojan backdoor- mais je ne connais pas le chemin d'accès; quand j'aurai ces précisions je pense que je pourrai mieux me faire aider.
Je ne trouve toujours pas l'icone pour indiquer "résolu".
Aurais-tu une réponse pour incredimail- merci d'avance
|
|
|
|
|
On verra ça plus tard car je m'aperçois, avec beaucoup de retard, que dans ton dernier HJT il y a des éléments qu'il faut rapidement enlever
Télécharge haxfix.exe sur le bureau.
Double clique sur haxfix.exe pour installer haxfix (l'installation standard est C:\Program Files\haxfix).
Coche "Create a desktop icon"
Clique "Next"
Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
Clique "Finish"
Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
E. Exit Haxfix (quitter Haxfix)
Sélectionne l'option 1. Make logfile en tapant 1 puis tape "Entrée"
Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira : haxlog.txt > (C:\haxlog.txt)
Copie le contenu de ce rapport dans ta prochaine réponse.
|
|
|
|
|
Voici le rapport:
HAXFIX logfile - by Marckie
version 4.48
28/07/2007 15:21:35,05
--- Checking for Haxdoor ---
checking for a3d files
a3d files not found
checking for matching notify keys
matching notify keys found
yvbb
yvpp
checking for matching services
matching services found
yvbb01
yvbb02
checking for matching safeboot services
matching safeboot services found
yvbb02.sys
checking for other Haxdoor-files
no other Haxdoor-files found
--- Checking for Goldun ---
checking for SSODL keys
no ssodl keys found
checking for notify keys
no notify keys found
checking for services
no services found
checking for other Goldun-files
no other Goldun-files found
checking iexplore.exe
iexplore.exe is not infected
--- Catchme logfile - thank you Gmer ---
catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-28 15:21:35
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
C:\WINDOWS\system32\qo.dll
C:\WINDOWS\system32\qo.sys
C:\WINDOWS\system32\yvbb01.dll
C:\WINDOWS\system32\yvbb01.sys
C:\WINDOWS\system32\yvbb02.sys
C:\safeserv.txt
C:\serv.txt
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 7
--- Analysing Catchme logfile ---
matching notify key found: yvbb01
matching service found: yvbb01
matching service found: yvbb02
matching safeboot services found: yvbb02.sys
Finished!
|
|
|
|
|
l'outil a repéré le malware, c'est bon signe. Ouvre le dossier C:\Program Files\haxfix et double-clique sur fix.bat (ou double-clique sur l'icone du bureau HaxFix )
Ferme toutes les autres fenêtres, car Haxfix redémarerra le système.
Selectionne l'option 2. Run auto fix en tapant 2 puis "Entrée"
si une infection est trouvée, tu auras un message demandant de fermer toutes les autres fenêtres ouvertes.
Ferme toutes les autres fenêtres sauf la fenêtre à fond rouge de haxfix puis tape "Entrée"
La machine sera redémarrée
En fin de redémarrage un rapport s'ouvrira > (c:\haxfix.txt)
Poste le contenu de ce rapport ainsi qu'un nouveau rapport HijackThis.
|
|
|
|
|
Rapport Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:01:21, on 28/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Anti-Dialer\a2service.exe
C:\Program Files\a-squared Free\a2service.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\a-squared Anti-Dialer\a2adguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Milaine\Bureau\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOCUME~1\Milaine\LOCALS~1\Temp\ImInstaller\IncrediMail\incredimail_install(2).exe -startup -product IncrediMail
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Program Files\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [gqcerii] c:\windows\system32\gqcerii.exe gqcerii
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {201B9B37-848F-40BD-90EA-7B8F0AA89D6A} -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housec(...)
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {C432C4BD-3566-411C-8F3C-E5E0D3AE5D33} (CBrowser Class) - http://www.streamingfaith.com/common/mbrowser/MINIBrowser.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3F4C693-423E-44FA-B563-AA5C68684F64}: NameServer = 80.10.246.5 80.10.246.136
O20 - Winlogon Notify: yvbb01 - C:\WINDOWS\
O20 - Winlogon Notify: yvpp01 - C:\WINDOWS\
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Dialer\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOCUME~1\MILAINE\LOCALS~1\TEMP\_VWUPSRV.EXE (file missing)
O24 - Desktop Component 0: (no name) - http://www.coin-urbanisme.org/images/fond2.gif
O24 - Desktop Component 1: (no name) - http://www.atout-reussite.com/images/barre_en_tete.jpg
O24 - Desktop Component 2: (no name) - http://www.creer.fr/images/menu/metier.gif
--
End of file - 7377 bytes
-->Message édité par Soso456 le 28/07/2007 22:08:48<--
|
|
|
|
|
Rapport haxfix
HAXFIX logfile - by Marckie
version 4.48
28/07/2007 15:41:30,50
--- Auto Haxdoorfix ---
searching for files:
searching for services....
service yvbb01 found
[SWSC] DeleteService SUCCESS
service yvbb02 found
[SWSC] DeleteService SUCCESS
searching for services....
services not found, haxdoorkey yvpp not added to delete
--- Goldunfix ---
searching for files:
checking iexplore.exe
iexplore.exe is not infected
searching for SSODLkeys:
no SSODLkeys found
searching for notifykeys:
no notifykeys found
searching for services:
no services found
.....rebooting the computer.....
searching for ssodlkeys
not needed
searching for notifykeys
notifykey yvpp01 not found
notifykey yvbb01 not found
searching for services
service yvbb01 not found
service yvbb02 not found
searching for safeboot services
safeboot service yvbb02.sys not found
searching for files
yvbb01.dll exists
deleting yvbb01.dll
yvbb01.dll has been deleted
yvbb01.sys exists
deleting yvbb01.sys
yvbb01.sys has been deleted
yvbb02.sys exists
deleting yvbb02.sys
yvbb02.sys has been deleted
checking for other files
kgctini.dat exists
deleting kgctini.dat
kgctini.dat has been deleted
qo.dll exists
deleting qo.dll
qo.dll has been deleted
qo.sys exists
deleting qo.sys
qo.sys has been deleted
klo5.sys exists
deleting klo5.sys
klo5.sys has been deleted
lps.dat exists
deleting lps.dat
lps.dat has been deleted
checking for a3d files
no a3d files found
--- Catchme logfile - thank you Gmer ---
catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-28 15:44:59
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Finished
|
|
|
|
|
|
|
Excuse-moi, mon ordinateur avait ralenti,
le nouveau hijackthis, est juste avant le rapport haxfix;
je l'ai posté avant le rapport Haxfix mais fais le scan dans l'ordre indiqué:
1) haxfix
2)hijackthis
|
|
|
|
|
Ok. On termine par un scan en ligne et après je te dirais deux-trois choses assez importantes
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et poste un rapport Panda
http://www.pandasoftware.com/activescan/fr/activescan_principal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> cocher "Je n'accepte pas" en bas -> "Analyser gratuitement maintenant" -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.
-->Message édité par jean-chretien1 le 28/07/2007 22:21:19<--
|
|
|
|
|
Mon parefeu windows, qui ne fonctionnait plus s'est débloqué.
Merci
|
|
|
|
|
Désolée pour le temps qu'il m'a fallu, mais j'ai un modem 56 kbps
Voici le rapport:
Incident Statut Analyse
Outil indésirable:application/funweb No Désinfecté c:\windows\downloaded program files\f3initialsetup1.0.0.6.inf
Outil indésirable:application/mywebsearch No Désinfecté hkey_classes_root\clsid\{07B18EA9-A523-4961-B6BB-170DE4475CCA}
Adware:adware/favadd No Désinfecté Registre Windows
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Milaine\Cookies\milaine@weborama[2].txt
Outil indésirable:Application/Processor No Désinfecté C:\Program Files\HaxFix\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\process.exe
|
|
|
|
|
Bonjour,
* Démarrer/exécuter > regedit. Supprime cette clé de registre en gras :
hkey_classes_root\clsid\{07B18EA9-A523-4961-B6BB-170DE4475CCA}
en faisant attention de ne pas te tromper
* Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOCUME~1\Milaine\LOCALS~1\Temp\ImInstaller\IncrediMail\incredimail_install(2).exe -startup -product IncrediMail
O4 - HKLM\..\Run: [gqcerii] c:\windows\system32\gqcerii.exe gqcerii
O20 - Winlogon Notify: yvbb01 - C:\WINDOWS\
O20 - Winlogon Notify: yvpp01 - C:\WINDOWS\
- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.
* Lance HijackThis > "Open the misc tool section" > "Delete a file on reboot"
-> dans la fenêtre qui s'ouvre, colle ce chemin :
c:\windows\downloaded program files\f3initialsetup1.0.0.6.inf
puis clique sur "Ouvrir"
Valide le message, l'ordinateur va redémarrer (sinon fais-le toi-même)
* Désinstalle Haxfix, et supprime les dossiers C:\Program Files\HaxFix, GenProc, C:\BFU, C:\Navipromo
* désactive ta restauration système, redémarre l'ordinateur et réactive-la :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/2002083(...)
* pour désinstaller IM, regarde ici http://www.incrediworld.com/article113.html
===============
Important
Haxdoor est un malware dangereux. Au moyen d'un ou plusieurs keyloggers, il peut enregistrer tes saisies et transmettre ces données - sensibles ou pas - à des personnes malintentionnées. Pour cette raison, tu dois impérativement changer tous tes mots de passe, et contacter ta banque si tu réalises des opérations de ce type à partir de ordinateur.
Il faut que tu t'intéresses un peu plus à la sécurité de ton ordi, dès lors qu'on surfe sur internet, on est exposé au risque. La prévention, ce n'est pas que la multiplication des utilitaires (antivirus, antispyware, etc), mais aussi le respect de quelques règles de prudence : on n'ouvre pas de pièces jointes suspectes dans un mail, on ne visite pas n'importe quel site, on utilise toujours les dernières versions des logiciels (par exemple tu utilises IE6, la dernière version est IE7 http://www.microsoft.com/france/windows/downloads/ie/getitnow.mspx )
Enfin, et sans doute le plus important, on ne laisse pas la porte grande ouverte en permanence, si tu utilises un compte avec des droits administrateur, n'importe quel malware aura exactement les mêmes droits de modification du registre, des paramètres systèmes, etc que toi. Donc on utilise un compte limité http://www.microsoft.com/switzerland/athome/fr/security/online/logoff_admin_a(...) c'est sans doute l'une des protections les plus efficaces
Je te laisse méditer sur tout cela
|
|
|
|
|
Bonjour!
Je suis désolée, mais pendant tout le week-end mon ordinateur a refusé de reconnaître mon modem, j'ai eu ce problème juste avant d'attraper "crazygirls"... (et après j'ai eu crazygirls); hier, j'ai eu de nouveau ce problème il m'a marqué "absent" et il m'était impossible d'entrer dans la partie "propriété".
Bon, ce matin, il a reconnu mon modem et j'ai pu commencer le travail indiqué, il me reste à désactiver la restauration système et à la réactiver;
concernant incredimail, lorsque mon parefeu windows, s'est rétabli,
j'ai décoché (ou coché) incredimail, depuis il ne réapparait plus.
Désolée si je prend du temps à répondre, nous avons 6 heures de décalage horaire.
J'ai pris beaucoup de ton temps, mais pourras-tu me répondre si je te parle de mon problème avec le trojan backdoor.
Je méditerai ton message et merci pour les conseils.
-->Message édité par Soso456 le 30/07/2007 14:35:10<--
|
|
|
|
|
Bonjour,
pourras-tu me répondre si je te parle de mon problème avec le trojan backdoor.
oui, n'hésite pas
|
|
|
|
|
Bonjour,
C:\System Volume Information\_restore (avec des chiffres derrière)
le trojan horse backdoor.generic3.LRT et le trojan horse backdoor.generic 3.LSA
AVG free l'a supprimé, il me semble mais il me semble aussi qu'il revient;
ces parties étaient atteintes: A0000034.dll; A0000035.sys; A0000036.sys; A0000045.dll; A0000046.sys
Merci
|
|
|
|
|
Concernant ta remarque sur les comptes d'utilisateurs: j'ai mis un compte limité;
J'ai remarqué que j'ai un compte utilisateur: ASp.net machine A... : que dois-je en faire: le supprimer (je ne sais pas du tout à quoi il correspond).
Faut-il que je supprime le compte administrateur de l'ordianteur?
Merci
|
|
|
| |
