Security-X
Forum Security-X => Désinfections => Discussion démarrée par: domi1968 le novembre 12, 2011, 14:37:22
-
Bonjour,
Suite à un problème sur un pc je me suis permis d'enregistrer ce log avec une ligne au moins me semblant douteuse... et pour les autres pas assez au point pour dire ce qu'il en est.
Merci de votre aide !
Domi1968
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:43:28, on 12/11/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\yk3z584r.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Common Files\Research In Motion\Auto Update\RIMAutoUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\D-Link\DWA-131 revA\wirelesscm.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\ALERTM~1.EXE
C:\Documents and Settings\Eileen Willoughby\Desktop\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/uk/enu/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.uk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://uk.red.clientapps.yahoo.com/customize/btyahoo/defaults/sb/*http://uk.docs.yahoo.com/info/bt_side.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://uk.red.clientapps.yahoo.com/customize/btyahoo/defaults/su/*http://uk.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:7180
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:7180;maj.wanadoo.fr
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [IntelMeM] C:\Program Files\Intel\Modem Event Monitor\IntelMEM.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [yk3z584r] C:\WINDOWS\system32\yk3z584r.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BlackBerryAutoUpdate] C:\Program Files\Common Files\Research In Motion\Auto Update\RIMAutoUpdate.exe /background
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [Privacy Eraser Pro] C:\Program Files\PrivacyEraser Computing\Privacy Eraser Pro\PrivacyEraser.exe /Startup
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [yk3z584r] C:\WINDOWS\system32\yk3z584r.exeO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: MailWasherPro.lnk = C:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Desktop Manager.lnk = C:\Program Files\Research In Motion\BlackBerry\DesktopMgr.exe
O4 - Global Startup: Wireless Connection Manager.lnk = ?
O8 - Extra context menu item: Afficher l'image non compressée - res://C:\PROGRA~1\Booster Wanadoo\wanadoo_booster.exe/227
O8 - Extra context menu item: Afficher toutes les images non compressées - res://C:\PROGRA~1\Booster Wanadoo\wanadoo_booster.exe/250
O8 - Extra context menu item: SYSTRAN: &Clear Translation Cache - C:\Program Files\Systran\Premium\menuClearCache.html
O8 - Extra context menu item: SYSTRAN: &Options - C:\Program Files\Systran\Premium\menuConfigure.html
O8 - Extra context menu item: SYSTRAN: &Register - C:\Program Files\Systran\Premium\menuRegister.html
O8 - Extra context menu item: SYSTRAN: &Translate - C:\Program Files\Systran\Premium\menuTranslate.html
O8 - Extra context menu item: SYSTRAN: Check for &Updates - C:\Program Files\Systran\Premium\menuUpdate.html
O8 - Extra context menu item: SYSTRAN: Translate All &Frames - C:\Program Files\Systran\Premium\menuTranslateAll.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: @sysiecom.dll,-2100 - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslate.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2102 - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslate.html
O9 - Extra button: @sysiecom.dll,-2103 - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslateAll.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2105 - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslateAll.html
O9 - Extra button: @sysiecom.dll,-2115 - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuConfigure.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2117 - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuConfigure.html
O9 - Extra button: (no name) - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuClearCache.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2108 - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuClearCache.html
O9 - Extra button: (no name) - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuRegister.html
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2111 - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuRegister.html
O9 - Extra button: (no name) - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuUpdates.html (file missing)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2114 - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuUpdates.html (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {DAF7E6E6-D53A-439A-B28D-12271406B8A9} (RIM AxLoader) - http://mobileapps.blackberry.com/devicesoftware/AxLoader.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5001CD0-836B-4CF8-9054-ED1FCD0C6729}: NameServer = 192.168.0.1
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: WLSVC - Unknown owner - C:\Program Files\D-Link\DWA-131 revA\WLSVC.exe
--
End of file - 9906 bytes
-
:III Hello,
Oui, ça ressemble à une jolie infection, et j'espère pas à celle que je pense ...
Fais ceci s'il te plait :
1) Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Coche en haut la case devant "Tous les utilisateurs"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
CREATERESTOREPOINT
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://pjjoint.malekal.com/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Note : Les rapports sont aussi enregistrés sur le bureau
2) Télécharge TDSSKiller (http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip) de Kaspersky sur ton bureau.
- Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
- Double clique sur "TDSSKiller.exe" pour lancer l'outil.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
- Clique alors sur le bouton "Start Scan".
- Laisse le scan s'effectuer.
- Dans la fenêtre de résultat :
- Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
- Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
- Pour la partie "Suspicious object" laisse sur "Skip"
- /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
- Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
- Clique enfin sur "Continue"
- Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"
- Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
-
:AAC
Des nouvelles ?
-
Bonjour,
Je m'en occupe ce matin... et je te donne des nouvelles dans la journée !
A plus tard entre deux questions...
;)
-
Bonjour voici les logs demandés,
http://pjjoint.malekal.com/files.php?id=m9w9g6y9c9q12b12s13w15l14z10p7x15w5f7v13o13u67b8
http://pjjoint.malekal.com/files.php?id=k15p6e7s13e14l12i5k14v6t9t12y15p14z12w14t15u13m13m13m9
http://pjjoint.malekal.com/files.php?id=e6y6c8d8n5l5s10k12o11q10j7w7i13y7p15z5y11p11y5o11
Mot de passe pour les lire "hyunkel" en minuscules...
Merci de ton aide
;)
-
Re,
Cela ne fonctionne pas.
En plus c'est inutile de les mettre en privé, cette aprtie du forum est publique, donc visible, donc le mot de passe aussi :NNN
Reposte-les normalement s'il te plait ;)
-
http://pjjoint.malekal.com/files.php?id=z13z7g13j13s5j6f11p7x6p7k11q13l8h8i14x10v14d8v6z15
http://pjjoint.malekal.com/files.php?id=q14b6l13c15t1315o10s11t713s8c12f6s7n6m11t13n13c15p5
http://pjjoint.malekal.com/files.php?id=g11u11f10t15l9i6d11n15i15e10y8y798o7l7n15l7w11s5
nouvel essai et j'ai bien noté ... pour le mot de passe...
;)
-
Re,
Bon déjà c'est pas du zeroaccess, c'est pas mal :NNN
Locale: 00000809 | Country: United Kingdom | Language: ENG
C'est un pc anglais ?
Il se connecte encore sur un modem ADSL en USB Wanadoo ?
1) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
MOD - [2011/02/17 08:28:54 | 000,022,528 | ---- | M] () -- C:\WINDOWS\SYSTEM32\yk3z584r.exe
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Media Player\npViewpoint.dll ()
O3 - HKLM\..\Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - SITEguard - No CLSID value found.
O3 - HKU\S-1-5-21-3762736679-1203505073-1321709335-1006\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: [yk3z584r] C:\WINDOWS\SYSTEM32\yk3z584r.exe ()
O4 - HKU\S-1-5-21-3762736679-1203505073-1321709335-1006..\Run: [yk3z584r] C:\WINDOWS\SYSTEM32\yk3z584r.exe ()
O4 - Startup: C:\Documents and Settings\Eileen Willoughby\Start Menu\Programs\Startup\MailWasherPro.lnk = File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\control panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\restrictions present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\control panel present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\restrictions present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\control panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\restrictions present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\control panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\restrictions present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\control panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\restrictions present
O7 - HKU\S-1-5-21-3762736679-1203505073-1321709335-1006\Software\Policies\Microsoft\Internet Explorer\control panel present
O7 - HKU\S-1-5-21-3762736679-1203505073-1321709335-1006\Software\Policies\Microsoft\Internet Explorer\restrictions present
O9 - Extra Button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe File not found
O9 - Extra 'Tools' menuitem : Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe File not found
ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player
[2011/02/17 08:29:26 | 000,022,528 | ---- | C] () -- C:\WINDOWS\System32\yk3z584r.exe
[2008/11/12 08:42:52 | 000,126,395 | ---- | C] () -- C:\WINDOWS\System32\wini101977.exe
[2008/11/12 08:31:14 | 000,010,240 | ---- | C] () -- C:\WINDOWS\brastk.exe
[2008/11/12 08:31:14 | 000,006,144 | ---- | C] () -- C:\WINDOWS\System32\karna.dat
[2008/11/12 08:31:14 | 000,006,144 | ---- | C] () -- C:\WINDOWS\karna.dat
[2008/11/12 08:29:03 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\brastk.exe
[2005/12/05 10:12:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\McAfee.com
[2011/09/23 14:58:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
[2011/09/23 14:59:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Eileen Willoughby\Application Data\Lavasoft
[2011/09/23 14:58:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Eileen Willoughby\Application Data\MailWasherPro
[2006/02/27 21:27:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Viewpoint
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\SYSTEM32\yk3z584r.exe"=-
:Files
C:\Program Files\Viewpoint
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Si le pc demande à redémarrer accepte.
- Poste le rapport de suppression.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.
2) Télécharge MalwareByte's Anti-Malware (http://www.inforumatique.fr/site/download/download-82+malwarebytes-anti-malware.php) :
- Installe le programme (aide ici (http://www.bibou0007.com/antispywares-f77/malwarebytes-anti-malware-t952.htm))
- Lance-le et met à jour la base de définition.
- Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
- Sélectionne les disques dur et clique sur "Lancer l'examen"
- Laisse l'analyse se faire (cela peut durer longtemps).
- A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
- Puis clique sur "Supprimer la sélection" en bas.
- Un redémarrage peut être nécessaire.
- Un rapport va s'afficher, enregistre-le sur ton bureau.
- ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
-
La réponse à PC Anglais est Oui ... par contre pour la connexion au modem ADSL USB Wanadoo c'est non, ils ont une connexion internet satellite chez Numéo car non elligible à l'ADSL. Ils ont aussi un modem RTC qui actuallement fonctionne très mal le numéro se compose mais la ligne sonne occupée...
Voilà j'y passe dans la matinée pour faire ce que tu m'as demandé et je poste les liens des rapports entre midi et 14 h
Ca caille ce matin dans le Saumurois tu es de quel région ?
Beaujolais nouveau bien arrivé ... ;)
Bonne journée
:AAN
-
Lien apres le passage d OTL
http://pjjoint.malekal.com/files.php?id=s6e7n10v5q9e13j13d7i6n12y12w10p9q10x15t7v7h7b10u13
-
Re,
Sud, nord de Nîmes sous la grisaille aujourd'hui :III
J'ai de la famille à Brézé, donc je connais bien le saumurois :D
Alors, on va virer les reste des truc wanadoo, ça consomme des ressources pour rien :
Désinstalle les programmes suivants :
- Wanadoo
- Booster Wanadoo
2) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
- Ouvre le lien ci-dessous
- Copie-colle l'ensemble de son contenu dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
SRV - [2005/01/27 16:41:14 | 000,040,960 | ---- | M] (France Telecom) [Auto | Running] -- C:\WINDOWS\SYSTEM32\FTRTSVC.exe -- (FTRTSVC)
IE - HKU\S-1-5-21-3762736679-1203505073-1321709335-1006\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Wanadoo\SearchPageURL.dll ()
IE - HKU\S-1-5-21-3762736679-1203505073-1321709335-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:7180;maj.wanadoo.fr
IE - HKU\S-1-5-21-3762736679-1203505073-1321709335-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:7180
O4 - HKLM..\Run: [WOOWATCH] C:\Program Files\Wanadoo\Watch.exe (France Télécom R&D)
O4 - HKU\S-1-5-21-3762736679-1203505073-1321709335-1006..\Run: [WooCnxMon] Reg Error: Invalid data type. File not found
O4 - HKU\S-1-5-21-3762736679-1203505073-1321709335-1006..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe File not found
O8 - Extra context menu item: Afficher l'image non compressée - C:\Program Files\Booster Wanadoo\wanadoo_booster.exe (SlipStream Data Inc.)
O8 - Extra context menu item: Afficher toutes les images non compressées - C:\Program Files\Booster Wanadoo\wanadoo_booster.exe (SlipStream Data Inc.)
ActiveX: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - Viewpoint Media Player
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\PROGRA~1\Yahoo!\MESSEN~1\YPAGER.EXE"=-
"C:\PROGRA~1\Yahoo!\MESSEN~1\yserver.exe"=-
:Files
C:\WINDOWS\SYSTEM32\FTRTSVC.exe
C:\Program Files\Wanadoo
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Si le pc demande à redémarrer accepte.
- Poste le rapport de suppression.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.
J'attends aussi le rapport Malwarebyte's s'il te plait ;)
-
Rapports suite
http://pjjoint.malekal.com/files.php?id=n10r5j6b9y15n9p12u15f5r6n10r9n14u7b14l14w14e7s9b8
http://pjjoint.malekal.com/files.php?id=i6z13w11y9k5d14o13j13s6z13i10c15v5y9k15e14s97q11h8
Voilà ;)
-
Re,
Pour moi c'est ok, as-tu encore des symptômes/problèmes visible ?
Si c'est bon, on passera au ménage final.
:AAN
-
Ok pour moi,
J'ai pris mon sceau et ma balayette pour le ménage final...
J'attends les instructions ...
Domi :AAN
-
:III Hello,
Allons-y alors.
1) Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur "Purge d'outils"
- Valide l'avertissement par "ok" et laisse le pc redémarrer.
2) Purge de la restauration système :
Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :
XP :
http://www.inforumatique.fr/forum/la-restauration-du-systeme-t352.html
(Fin du tuto)
Mise à jour des logiciels :
Met à jour les programmes suivants :
- Adobe reader vers X (10.1.x) (http://get.adobe.com/fr/reader/) (vérifie que les anciennes versions sont supprimée)
- Flash player (http://get.adobe.com/fr/flashplayer/) (pense à fermer IE avant le lancement de la mise à jour si tu veux être sur qu'il puisse supprimer l'ancienne version)
Concernant AVG :
Il semble avoir de nombreux problèmes :
Error - 16/10/2011 03:08:56 | Computer Name = RICE | Source = AVG7 | ID = 100
Description = 2011-10-16 07:08:56,343 RICE [000232:000248] ERROR 000 AVG7.AM service
module run failed: Error 0x80040154
Error - 17/11/2011 01:52:02 | Computer Name = RICE | Source = Service Control Manager | ID = 7026
Description = The following boot-start or system-start driver(s) failed to load:
Avg7Core Avg7RsXP Beep
Je te conseille fortement de le supprimer et de réinstaller la dernière version, ou un autre antivirus
Tu peux passer cet outil avant de réinstaller la nouvelle version pour t'assurer qu'il n'y a plus de restes :
http://www.inforumatique.fr/index.php/utilitaires/nettoyeurs-et-desinstallateurs/item/95-d%C3%A9sinstallateur-avg.html
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Installer un parefeu en remplacement de celui de Windows XP :
Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm (http://www.inforumatique.fr/site/download/download-3+zonealarm.php) ou Kerio (http://www.inforumatique.fr/site/download/download-2+sunbelt-personal-firewall.php) par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows (http://support.microsoft.com/kb/283673/fr) si tu en installes un autre !!!
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
- Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
Firefox (http://www.mozilla-europe.org/fr/firefox/) offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple.
- Surfer sans les droits d'administration : En session limitée (http://www.malekal.com/2010/11/12/gestion-des-utilisateurs-sous-windows-2/) ou avec DropMyRight (http://www.malekal.com/tutorial_DropMyRights.php)
Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)