Message effacé par erreur !!!

Yo!

T'as beaucoup de copines ayant des PC infectés dis-moi!

resolu-aide-sur-analyse-log-hijackthis-t28748.html



Pas d'infection sur ce log, mais faut shooter/désinstaller/fixer Zylom Games, SweetIM et Boonty, qui sont des portes d'entrées à différents malwares. Il faut aussi virer le bouton eBay, remplacer Avast, supprimer les toolbars, et désinstaller proprement les reste de l'AV Norton.

Et ne pas oublier de désactiver l'UAC pour faire tout ça !!

Tu veux une aide plus ciblée/précise ou tu peux faire avec ça?

Salut Ogu,

lol...t'as raison....bcp de copines qui installent des cochonneries....ahahahah.....mais on les aide non?

et je lui fais désinstaller et fixer le reste? Par Hijackthis? pour norton faut le petit soft qui éradique norton?

Pour les toolbars je sais que Hijack ne suffit pas, donc je sais que c'est plus complexe...tu m'avais aidé pour le mien. et j'ai oublié....lol...je me fais vieux...ahaha

merci Ogu!

a+

Dante

Si tu veux je te détaille tout, ça va vite avec nos canneds.

Merci Ogu,

cela super sympa, j'ai peur de faire des bêtises, et vu que c'est pas mon pc, d'autant plus.

Je te remercie encore!

Bonne jounréee

a+

Dante

Yop!

On y va alors! Y'a rien de méchant de toute façon, mais si tu veux me joindre le rapport Malwarebytes'Anti-Malware, ça m'intéresse.

DESINSTALLER NORTON

• Télécharge Norton Removal Tool sur ton bureau
• Lance-le
  
• ATTENTION: cet outil désinstalle tous les produits NORTON: assure-toi que ce PC ne comporte pas des logiciels Norton que tu souhaites conserver, autre que l'antivirus (ex: Norton Ghost, Norton Commander...)
• Suis les instructions
• Redémarre l' ordinateur

DESINSTALLER AVAST!

• Télécharge aswClear.exe sur ton bureau en cliquant sur cette image:
  
• Dans les réglages d'Avast! (à partir de la boule bleue en bas à droite), coche l'option "Désactiver le module self-defense d'avast!"
  
  
  
  
• Lance ensuite aswClear avec un double-clic
• Clique sur Uninstall
• Fais redémarrer l' ordinateur
• Efface aswClear.exe

INSTALLER AVG

Je crois que tu apprécies cet antivirus: il est en français et efficace, donc installe-le!
Je ne peux pas t'en dire plus, tu le connais mieux que moi^^.

DESINSTALLATION de la TOOLBAR Google

• Ouvre Firefox
• Choisis Outils, puis Modules complémentaires
• Cherche le module Google Toolbar et clique sur Désinstaller
• Redémarre Firefox
  
  
• Ouvre Internet Explorer
• Choisis Outils.
• Clique sur Gérer les modules complémentaires
• Cherche le module Google Toolbar ou équivalent et désactive-le
• Redémarre Internet Explorer

HIJACKTHIS

• Relance HijackThis
• Sélectionne "Do a system scan only"
• Coche les lignes suivantes:
  

  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
  
  O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
  
  O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
  
  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
  
  O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
  
  O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE
  
  O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
  
  O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
  
  O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
  

  
  
• Ferme tes navigateurs
• Clique en bas sur "Fix checked"
• Redémarre

Nota: tu auras remarqué que je te fais fixer la ligne Erunt: pourquoi? Parce que par défaut, ce logiciel s'installe au démarrage et lance donc une sauvegarde du registre à chaque démarrage! Conséquences: on perd du temps au boot, et les backups de registre (qui pèse plusieurs dizaines de MO à chaque fois) s'accumulent et bouffent l'espace disque...Et comme il est inutile de faire une sauvegarde du registre à chaque redémarrage...
Perso, plus qu'Erunt, je conseille RDilly BackUp, question de préférence!


Enfin, désinstalle les logiciels suivants grâce au Panneau de Configuration:

• Sweet IM
• Boonty Games
• Zylom Games ou équivalent
• Google Toolbar

HIJACKTHIS

Poste un nouveau rapport s'il te plaît!

Et re salut Ogu,

alors, on a pas réussi à tout effacer sur le pc de mon amie...!

Elle n'a pas les toolbars dans les modules ni dans ses programmes! En plus Hijackthis ne fixe pas les choses cochees!

Et elle préfère garder avast car en français, enfin pour l'instant, je vais la convaincre....lol

mais voici son log Hijack:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:21:04, on 24/06/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\wpcumi.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\System32\wsqmcons.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9e.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Windows Live\Messenger\msvs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE
O4 - Startup: Widget_MTV.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O16 - DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} (Module de délivrance de certificat MINEFI) - https://static.impots.gouv.fr/abos/stat ... rtdgi1.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resourc ... dfr-fr.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://souhila7.spaces.live.com/PhotoUp ... dfr-fr.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9333 bytes

je ne comprends pas pourquoi Hijackthis na pas fixe les lignes choisies!??

encore merci d'avance

A+

Dante

Arf, vu que c'est sur Vista, j'ai oublié:

• de signaler que TOUT les logiciels, y compris HijackThis, doivent être lancés avec le clic droit: "exécuter en tant qu'administrateur".
• de faire désactiver temporairement l'UAC en suivant cette méthode:
  
  http://www.zebulon.fr/astuces/220-desac ... vista.html

Il te faut recommencer donc !

Désolé, je suis pas en forme aujourd'hui !


edit: AVG aussi est en français!

Salut Ogu,


cela arrive lol...

ok,je vais repprendre avec mon amie Hijackthis avec clic droit et voir si cela change qqch. Mais si l'UAC est désactivé?
Il l'est chez moi par ex, car il m'agace! Est-il vraiment utile?

Pas vu que AVG était en français Lol..pas en forme non plus...tellement habitué à l'utiliser en anglais.

merci encore!

et retrouves la forme...

a+

Dante

dante77 a écrit:ok,je vais repprendre avec mon amie Hijackthis avec clic droit et voir si cela change qqch. Mais si l'UAC est désactivé?

L'UAC n'est jamais intégralement désactivé, d'où le clic droit Admin'.

L'UAC est utile justement car il (elle? quel est le genre de l'UAC^^.) est pénible: elle oblige à réfléchir avant d'installer ou de faire une action potentiellement dangereuse: en ce sens, l'UAC se rapproche d'un HIPS, mais en plus simple. Je trouve le système relativement intelligent, mais je crois que je suis le seul ^^ !

Merci Ogu,

donc je vais lui dire de faire ainsi pour Hijackthis.

Et de mon côté je vais remettre l'UAC, car j'ai désacitivé le résident de Spybot, qui depuis le Pack 1 de Vista, me dit tout le temps la même chose....

J'avais vu sur libellules un autre soft, léger comme résident, mais j'ai oublié le nom...

Aurais-tu un conseil dans ce domaine? ou l'UAC est largement suffisant?

désolé de poser tant de questions.

merci encore et passes une bonne soirée

A+

Dante

Yo!

dante77 a écrit:J'avais vu sur libellules un autre soft, léger comme résident, mais j'ai oublié le nom...

Quelle est la fonction de ce soft?

dante77 a écrit:Aurais-tu un conseil dans ce domaine? ou l'UAC est largement suffisant?

Perso, le jour où je passe sous Vista, j'installe un HIPS et je désactive l'UAC: mais pour quiconque ne sait pas utiliser un HIPS, l'UAC est de mon point de vue une excellente solution intermédiaire.

Ne t'excuses pas de poser des questions !

Salut Ogu,

Merci encore.

Le 1er était un peu à la manière du résident tea timer de Spybot pour empêcher des modififications, mais que j'ai désactivé car il agissait sans cesse pour rien (toujours la même modif). Et j'avais vu sur Libellules un truc plus léger.

Maintenant peut être que l'UAC suffit?

Je ne connais pas du tout ce qu'est un HIPS??

a+

Dante

dante77 a écrit:Maintenant peut être que l'UAC suffit?

Avec un antivirus, un pare-feu, un fichier hosts et StripMyRights, l'UAC est suffisante.




Un HIPS (Host-based Intrusion Prevention System) est une solution très avancée de sécurité: le HIPS installe son driver au coeur de Windows, et permet de régler des autorisations/permissions/restrictions sur tous les processus du système, sur tous les programmes, drivers etc, sur toutes les interactions entre processus...Très efficace contre toutes les formes d'infections, à condition de savoir s'en servir. Sinon, gros risque de cata!

En bref, le HIPS est un contrôleur comportemental des processus, et de leur intégrité.

Intéressant tout ca... Et qu'est-ce qui fait référence en la matière? Je connais pas du tout...

Les références?

Les firewalls Comodo et Online Armor embarquent des HIPS de bonne qualité.

En freeware -et relativement accesible au niveau de l'utilisation-, il y a aussi Dynamic Security Agent(DSA).

Je pense que les meilleurs actuellement, en payants, sont ProSecurity (c'est mon chouchou, mais le site est en rade, je crains que son développement ne s'arrête sous peu...edit: ProSecurity vient d'être racheté, voici le nouveau site: ProSecurity) et System Safety Monitor. Le HIPS Chinois EQSecure est considéré, lui, comme le meilleur HIPS freeware, mais il est difficile à prendre en main.

ATTENTION: logiciels à utiliser en connaissance de cause, faites au moins une sauvegarde de votre système avant de les essayer.

Bonjour Ogu,

merci pour les renseignements!

Ne comprenant pas bien le HIPS, je ne vais pas y toucher.....


Quant à StripMyRights, je suis en train de lire ton tuto pour bien en comprendre le fonctionnement.

Merci pour toutes ces précieuses informations et explications.

Bonne journée

a+

Dante