Votre question

spyware et trojan, de l'aide s'il vous plait ! [résolu]

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Janvier 2006 20:54:16

bonjour a tous.
voila je viens vous rendre visite parce que depuis 2 jours, je me suis fait infecté de maniere visible par un trojan (autrement dit, j'ai vu un type lancer en direct devant moi le notepad depuis la commande executer.)
coup de stress donc.
j'ai depuis essayé de regler le probleme seul
ad aware, et l'antispyware de microsoft, plus norton mais pas a jour... en attendant une repose ici je vais essayer de me prendre un antivirus plus performant.

j'ai egalement telecharger un prog qui s'appelle starter qui m'a permis de fouiller dans mes processus et d'y voir un peu plus clair. je pense avoir viré quelques trucs mais j'en ai d'autre qui me posent problemes...

voila le log de hjt ...
merci de votre aide.

========================

Logfile of HijackThis v1.99.1
Scan saved at 20:44:10, on 29/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\appyq32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\TOSHIBA\TME3\TMEEJME.EXE
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\iere.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\manukeo\Bureau\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\itfno.dll/sp.html#10001%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\itfno.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\itfno.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\itfno.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\itfno.dll/sp.html#10001%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\itfno.dll/sp.html#10001%resultposition.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {3E589AC4-D875-E18F-230E-C2FBCC1516D6} - C:\WINDOWS\atlmn32.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [iere.exe] C:\WINDOWS\system32\iere.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appyq32.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe" /Service (file missing)

Autres pages sur : spyware trojan aide plait resolu

29 Janvier 2006 22:31:14

svp aidez moi...
si je nai pas donne assez d'infos dites moi ce qu'il vous faut pour m'aider..
v'est mon ordinateur de taf, et je suis assez inquiet
29 Janvier 2006 22:50:48

Bonsoir

Infection parfois résistante.

1 Télécharge
CCleaner.

http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

About Buster
http://www.softpedia.com/get/Internet/Popup-Ad-Spyware-...
Une fois téléchargé,tu le dézippe,et tu mets un raccourci sur le bureau.

CWShredder
http://cwshredder.net/bin/CWShredder.exe
Mettre CWShredder dans un répertoire dédié

Ewido
http://www.ewido.net/fr/download/
Tu l'installes et tu le mets à jour.
Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".

2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

3 Relance un scan HijackThis et coche les lignes ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\itfno.dll/sp.html#10001%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\itfno.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\itfno.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\itfno.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\itfno.dll/sp.html#10001%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\itfno.dll/sp.html#10001%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {3E589AC4-D875-E18F-230E-C2FBCC1516D6} - C:\WINDOWS\atlmn32.dll
O4 - HKLM\..\Run: [iere.exe] C:\WINDOWS\system32\iere.exe

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINDOWS\system32\iere.exe
C:\WINDOWS\atlmn32.dll
C:\WINDOWS\system32\itfno.dll

6 Lance le nettoyage avec CCleaner.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

7 Double clique sur About:Buster.
Clique sur Begin Removal
Un scan est exécuté.
Refaire un second scan.
Continue les scans tant qu'il trouve quelque chose.
Poste le rapport ici.

8 Lancer CWShredder
Fermer toutes les fenêtres
Cliquer sur "Fix".

9 Lance Ewido.
Fais un scan en mode complet.
Sauvegardes le rapport.

10 Redémarre normalement et poste les rapports d'Ewido et d'About Buster avec un nouveau log HijackThis.
Contenus similaires
30 Janvier 2006 20:00:36

merci beaucoup ..
j'ai fait ce que tu m'as dit et tout semble s'etre passé comme prévu... : voila les logs

_______________________________________

aboutbuster


AboutBuster 6.0
Scan started on [30/01/2006] at [17:38:50]
-------------------------------------------------------------
Internet Explorer Instances Terminated!
HomeSearch Service stopped if present
-------------------------------------------------------------
Removed Stream! C:\WINDOWS\ACD Wallpaper.cmp:KAVICHS
Removed Stream! C:\WINDOWS\agrsmdel.exe:KAVICHS
Removed Stream! C:\WINDOWS\agrsmmsg.exe:KAVICHS
Removed Stream! C:\WINDOWS\ATMREG.ATM:KAVICHS
Removed Stream! C:\WINDOWS\bootstat.dat:KAVICHS
Removed Stream! C:\WINDOWS\Bulles de savon.bmp:KAVICHS
Removed Stream! C:\WINDOWS\cfdemo.exe:KAVICHS
Removed Stream! C:\WINDOWS\cfdemo.scr:KAVICHS
Removed Stream! C:\WINDOWS\ChgRXPWT.exe:KAVICHS
Removed Stream! C:\WINDOWS\clock.avi:KAVICHS
Removed Stream! C:\WINDOWS\d3dx.dat:KAVICHS
Removed Stream! C:\WINDOWS\explorer.exe:KAVICHS
Removed Stream! C:\WINDOWS\explorer.scf:KAVICHS
Removed Stream! C:\WINDOWS\Granit vert.bmp:KAVICHS
Removed Stream! C:\WINDOWS\hh.exe:KAVICHS
Removed Stream! C:\WINDOWS\IsUn040c.exe:KAVICHS
Removed Stream! C:\WINDOWS\IsUninst.exe:KAVICHS
Removed Stream! C:\WINDOWS\iun506.exe:KAVICHS
Removed Stream! C:\WINDOWS\Jour de pêche.bmp:KAVICHS
Removed Stream! C:\WINDOWS\logs1.ini:KAVICHS
Removed Stream! C:\WINDOWS\lpkvr.dat:KAVICHS
Removed Stream! C:\WINDOWS\MakeMrk.exe:KAVICHS
Removed Stream! C:\WINDOWS\mozver.dat:KAVICHS
Removed Stream! C:\WINDOWS\msdfmap.ini:KAVICHS
Removed Stream! C:\WINDOWS\Mur de Santa Fe.bmp:KAVICHS
Removed Stream! C:\WINDOWS\NOTEPAD.EXE:KAVICHS
Removed Stream! C:\WINDOWS\ODBC.INI:KAVICHS
Removed Stream! C:\WINDOWS\ODBCINST.INI:KAVICHS
Removed Stream! C:\WINDOWS\orun32.ini:KAVICHS
Removed Stream! C:\WINDOWS\orun32.isu:KAVICHS
Removed Stream! C:\WINDOWS\Plume.bmp:KAVICHS
Removed Stream! C:\WINDOWS\Qosmio_1024x768_FR.bmp:KAVICHS
Removed Stream! C:\WINDOWS\Qosmio_1280x1024_FR.bmp:KAVICHS
Removed Stream! C:\WINDOWS\Qosmio_1400x1050_FR.bmp:KAVICHS
Removed Stream! C:\WINDOWS\Qosmio_1600x1200_FR.bmp:KAVICHS
Removed Stream! C:\WINDOWS\regedit.exe:KAVICHS
Removed Stream! C:\WINDOWS\REGLOCS.OLD:KAVICHS
Removed Stream! C:\WINDOWS\Rhododendron.bmp:KAVICHS
Removed Stream! C:\WINDOWS\Rivière Sumida.bmp:KAVICHS
Removed Stream! C:\WINDOWS\Rosace bleue 16.bmp:KAVICHS
Removed Stream! C:\WINDOWS\smscfg.ini:KAVICHS
Removed Stream! C:\WINDOWS\stub1.ini:KAVICHS
Removed Stream! C:\WINDOWS\stub2.ini:KAVICHS
Removed Stream! C:\WINDOWS\stub3.ini:KAVICHS
Removed Stream! C:\WINDOWS\stub4.ini:KAVICHS
Removed Stream! C:\WINDOWS\stub5.ini:KAVICHS
Removed Stream! C:\WINDOWS\stub6.ini:KAVICHS
Removed Stream! C:\WINDOWS\stub7.ini:KAVICHS
Removed Stream! C:\WINDOWS\stub8.ini:KAVICHS
Removed Stream! C:\WINDOWS\stub9.ini:KAVICHS
Removed Stream! C:\WINDOWS\system.ini:KAVICHS
Removed Stream! C:\WINDOWS\TASKMAN.EXE:KAVICHS
Removed Stream! C:\WINDOWS\Tasse à café.bmp:KAVICHS
Removed Stream! C:\WINDOWS\TcdsASC2.ini:KAVICHS
Removed Stream! C:\WINDOWS\TCDSetup.exe:KAVICHS
Removed Stream! C:\WINDOWS\TChkCDRW.exe:KAVICHS
Removed Stream! C:\WINDOWS\TMEVALDD.DLL:KAVICHS
Removed Stream! C:\WINDOWS\TOSHIBA Satellite 1024x768.bmp:KAVICHS
Removed Stream! C:\WINDOWS\TOSHIBA Satellite 1280x1024.bmp:KAVICHS
Removed Stream! C:\WINDOWS\TOSHIBA Satellite 1400x1050.bmp:KAVICHS
Removed Stream! C:\WINDOWS\TOSHIBA Satellite 1600x1200.bmp:KAVICHS
Removed Stream! C:\WINDOWS\TOSHIBA1024x0768.bmp:KAVICHS
Removed Stream! C:\WINDOWS\TOSHIBA1280x1024.bmp:KAVICHS
Removed Stream! C:\WINDOWS\TOSHIBA1400x1050.bmp:KAVICHS
Removed Stream! C:\WINDOWS\TOSHIBA1600x1200.bmp:KAVICHS
Removed Stream! C:\WINDOWS\TURBOGO.INI:KAVICHS
Removed Stream! C:\WINDOWS\twain.dll:KAVICHS
Removed Stream! C:\WINDOWS\twain_32.dll:KAVICHS
Removed Stream! C:\WINDOWS\twunk_16.exe:KAVICHS
Removed Stream! C:\WINDOWS\twunk_32.exe:KAVICHS
Removed Stream! C:\WINDOWS\unin040c.exe:KAVICHS
Removed Stream! C:\WINDOWS\UninstallFirefox.exe:KAVICHS
Removed Stream! C:\WINDOWS\UninstallThunderbird.exe:KAVICHS
Removed Stream! C:\WINDOWS\vb.ini:KAVICHS
Removed Stream! C:\WINDOWS\vbaddin.ini:KAVICHS
Removed Stream! C:\WINDOWS\Vent de prairie.bmp:KAVICHS
Removed Stream! C:\WINDOWS\vmmreg32.dll:KAVICHS
Removed Stream! C:\WINDOWS\win.ini:KAVICHS
Removed Stream! C:\WINDOWS\winamp.ini:KAVICHS
Removed Stream! C:\WINDOWS\winhelp.exe:KAVICHS
Removed Stream! C:\WINDOWS\winhlp32.exe:KAVICHS
Removed Stream! C:\WINDOWS\winnt.bmp:KAVICHS
Removed Stream! C:\WINDOWS\winnt256.bmp:KAVICHS
Removed Stream! C:\WINDOWS\wmprfFRA.prx:KAVICHS
Removed Stream! C:\WINDOWS\WMSysPr9.prx:KAVICHS
Removed Stream! C:\WINDOWS\WORDPAD.INI:KAVICHS
Removed Stream! C:\WINDOWS\Zapotec.bmp:KAVICHS
Removed Stream! C:\WINDOWS\_default.pif:KAVICHS
-------------------------------------------------------------
Removed File! : C:\WINDOWS\lpkvr.dat
Removed File! : C:\WINDOWS\system32\ggqur.txt
-------------------------------------------------------------
Removed Temp Files
Internet Explorer Settings Reset!
-------------------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 17:42:33


AboutBuster 6.0
Scan started on [30/01/2006] at [17:42:52]
-------------------------------------------------------------
Internet Explorer Instances Terminated!
HomeSearch Service stopped if present
-------------------------------------------------------------
No Ads Found!
-------------------------------------------------------------
No Files Found!
-------------------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 17:42:55

_______________________________________

ewido


---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 18:57:14, 30/01/2006
+ Somme de contrôle: C8E2D454

+ Résultats du scan:

HKLM\SOFTWARE\Classes\CLSID\{676575DD-4D46-911D-8037-9B10D6EE8BB5} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder


::Fin du rapport

___________________________________

hjt


Logfile of HijackThis v1.99.1
Scan saved at 20:00:02, on 30/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TME3\TMEEJME.EXE
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\manukeo\Bureau\salavtionspy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {DBF01E90-2654-1D4D-B857-B1C3A0B33591} - C:\WINDOWS\d3vx32.dll (file missing)
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe" /Service (file missing)




________________________

merci pour ton aide
30 Janvier 2006 22:38:07

un petit up puisque je vois que chercheurpca est dans les parages...
31 Janvier 2006 00:17:57

Bonsoir

Plus rien d'infectieux dans ce rapport, juste quelques lignes inutiles.
Relance un scan HijackThis et coche les lignes ci-dessous :

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {DBF01E90-2654-1D4D-B857-B1C3A0B33591} - C:\WINDOWS\d3vx32.dll (file missing)
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

Encore une vérification.
Fais une analyse antivirus en ligne sur Panda
http://www.pandasoftware.com/activescan/fr/activescan_p...

Colle son rapport ici.
31 Janvier 2006 03:13:23

c chose faite...
voila le rapport, il semble que je soit encore infecté


Incident Statut Analyse

Spyware:spyware/petro-line No Désinfecté C:\Documents and Settings\manukeo\Favoris\SITES ABOUT\Ab scissor.url
Adware:adware/searchaid No Désinfecté C:\Documents and Settings\manukeo\Favoris\Search the web.url
Adware:adware/cws.aboutblank No Désinfecté Registre Windows
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\manukeo\Cookies\manukeo@atdmt[2].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\manukeo\Cookies\manukeo@doubleclick[1].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\manukeo\Cookies\manukeo@weborama[2].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\manukeo\Application Data\Mozilla\Firefox\Profiles\boxxjppm.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\manukeo\Application Data\Mozilla\Firefox\Profiles\boxxjppm.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\manukeo\Application Data\Mozilla\Firefox\Profiles\boxxjppm.default\cookies.txt[.bluestreak.com/]
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\manukeo\Application Data\Mozilla\Firefox\Profiles\boxxjppm.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\manukeo\Application Data\Mozilla\Firefox\Profiles\boxxjppm.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/WUpd No Désinfecté C:\Documents and Settings\manukeo\Application Data\Mozilla\Firefox\Profiles\boxxjppm.default\cookies.txt[.revenue.net/]
Spyware:Cookie/Searchportal No Désinfecté C:\Documents and Settings\manukeo\Application Data\Mozilla\Firefox\Profiles\boxxjppm.default\cookies.txt[searchportal.information.com/]
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\manukeo\Application Data\Mozilla\Firefox\Profiles\boxxjppm.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/Casalemedia No Désinfecté C:\Documents and Settings\manukeo\Application Data\Mozilla\Firefox\Profiles\boxxjppm.default\cookies.txt[.casalemedia.com/]
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\manukeo\Application Data\Mozilla\Firefox\Profiles\boxxjppm.default\cookies.txt[]
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\manukeo\Cookies\manukeo@atdmt[2].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\manukeo\Cookies\manukeo@doubleclick[1].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\manukeo\Cookies\manukeo@weborama[2].txt
31 Janvier 2006 09:39:13

Bonjour

Rien de méchant.

Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\Documents and Settings\manukeo\Favoris\SITES ABOUT
C:\Documents and Settings\manukeo\Favoris\Search the web.url
C:\Documents and Settings\manukeo\Application Data\Mozilla\Firefox\Profiles --> Vide son contenu
C:\Documents and Settings\manukeo\Cookies --> Vide son contenu

Lance le nettoyage avec CCleaner.

As tu encore des dysfonctionnements ?
31 Janvier 2006 11:39:12

ok merci !
non je n'ai plus de disfonctionnement visible, tout a l'air d'etre rentré dans l'ordre.
je pense que je vais attndre quelques jours , puis je referais un scan panda et un scan kaspersky, et je reposterai ici un log hjt pour etre sur que tout roule bien.
un grand merci chercheur pca, pour le temps que tu passe ici a aider les internautes. j'en suis meme a me demandé si tu n'es pas remunéré pour ce que tu fait tellement c'est fait ave precision .
enfin si c'est le cas, c'est du bon boulot, et si c'est pas le cas, ton devouement a la communauté du web me pétrifie sur place :) 
ciao et merci !!
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS