message sur msn • page 2

[r@in | b0w]

Ok, bien joué

Maintenant:

2_ Tu suis ce tutorial et tu postes le rapport généré dans ton prochain message.

[cvalerie]

ok

[cvalerie]

je clique sur ton lien ici pour hitcha ...... mais la page disparait aussitot pas le temps de voir et de l'enregister sur le bureau

[r@in | b0w]

Pas compris.

Le lien que je t'ai mis est la page d'explication.

Tu as aussi sur cette même page le lien de téléchargement de l'utilitaire.

[cvalerie]

pour hit.... tu as écris télécharger ici,le mot ici était en bleu j'ai cliqué dessus pour télécharger hitch.... mais la page de hitch...s'ouvre et disparait aussitot

[r@in | b0w]

Tu cliques sur ce lien:

http://www.trendsecure.com/portal/en-US ... nstall.exe

Tu installes ensuite HiJackThis puis tu fais l'analyse comme précisé dans le tutorial et tu nous postes le rapport.

[cvalerie]

ok j'ia cliqué sur ton lien j'ai enregistré sur le bureau ensuite j'ai fait ouvrir et exécuté mais rien

[cvalerie]

je vais arreté la pour ce soir j'arrive a rien et il est tard je recommencerai demain soir merci pour ton aide et ta patience

[r@in | b0w]

Il suffit normalement de double cliquer dessus pour lancer le programme et arriver sur la fenêtre du contrat utilisateur.

Bonne nuit.

Et demain, on attend les rapports

Ps: tu es sous Vista ou sous Xp?

[cvalerie]

bonjour,je suis sous windows,j'ai réessayer ce matin et comme je t'ai dit hier des que je double clique dessus il y a juste une page qui me demande si j'accepte les conditions mais je ne peux meme pas accepter car cette page disparait aussitot

[cvalerie]

j'ai tout recommencé ce matin avec msnfix ça m'a écrit aucune infection trouvée voici le résultat de msnfix ce matin


MSNFix 1.749

C:Documents and SettingsUTILISATEURBureauMSNFixMSNFix
Fix exécuté le 23/10/2008 - 7:03:42,87 By UTILISATEUR
mode normal

************************ Recherche les fichiers présents

Aucun Fichier trouvé

************************ Recherche les dossiers présents

Aucun dossier trouvé

[cvalerie]

rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:18:43, on 23/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1FICHIE~1AOLACSAOLacsd.exe
C:WINDOWSsystem32cisvc.exe
C:WINDOWSsystem32slserv.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSExplorer.EXE
C:Program FilesQuickTimeqttask.exe
C:Program FilesFichiers communsRealUpdate_OB ealsched.exe
C:WINDOWSsystem328669svchost.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesOpenOffice.org 2.4programsoffice.exe
C:Program FilesOpenOffice.org 2.4programsoffice.BIN
C:Program FilesYahoo!Messengerymsgr_tray.exe
C:WINDOWSsystem32cidaemon.exe
C:Program FilesWindows LiveMessengermsnmsgr.exe
C:Program FilesWindows LiveMessengerusnsvc.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesFichiers communsMicrosoft SharedWindows LiveWLLoginProxy.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.google.com/ie
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.google.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://fr.yahoo.com
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://fr.yahoo.com
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Packard Bell
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:PROGRA~1Yahoo!CompanionInstallscpnyt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:PROGRA~1Yahoo!CompanionInstallscpnyt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:PROGRA~1EoRezoEoAdvEOREZO~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_07inssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:Program FilesEPSONEPSON Web-To-PageEPSON Web-To-Page.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:Program FilesAOL Toolbar oolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:Program FilesEPSONEPSON Web-To-PageEPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:PROGRA~1Yahoo!CompanionInstallscpnyt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [SUQ] C:WINDOWSsystem328669svchost.exe
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Yahoo! Pager] "C:Program FilesYahoo!MessengerYahooMessenger.exe" -quiet
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:Program FilesOpenOffice.org 2.4programquickstart.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:Program FilesAOL Toolbar oolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:Program FilesWindows LiveWriterWriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:Program FilesWindows LiveWriterWriterBrowserExtension.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:Program FilesAOL Toolbar oolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:Program FilesAOL Toolbar oolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:WINDOWSsystem32Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:APPSIEofflinefr.htm
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:Program FilesYahoo!Commonyinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/re ... NPUpld.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:PROGRA~1FICHIE~1AOLACSAOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: MySqlInventime - Unknown owner - c:mysqlinmysqld-max-nt.exe
O23 - Service: SmartLinkService (SLService) - - C:WINDOWSSYSTEM32slserv.exe

--
End of file - 7891 bytes

je sais pas trop si je dois continuer pour l'étape désinfection car apparement suivant le tutorial il faut cocher des cases donc j'attends votre aide pour aller plus loin merci

[r@in | b0w]

Bonjour.

Tu as bien fait.

Tu supprimes les lignes suivantes:

C:WINDOWSsystem328669svchost.exe
O4 - HKLM..Run: [SUQ] C:WINDOWSsystem328669svchost.exe

Tu as encore l'infection.

1_ Tu vas télécharger Clean.zip que tu décompresses ensuite sur ton Bureau comme tu as fait avec MSNFix.

Tu redémarres ensuite en Mode sans échec ([F8] au démarrage) puis tu vas sur ta session.

Tu ouvres le dossier clean se trouvant sur ton bureau et tu double cliques sur clean.cmd ou clean suivant que l'extension est masquée ou non.

Dans la fenêtre, tu choisis l'option 2 puis tu laisses faire le nettoyage.

2_ Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.


3_ Nettoyage des points de restauration:

Dans un premier temps, il faut supprimer tous les points de restauration.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Ensuite, il faut réactiver la restauration automatique du système.

Tu refais la manipulation précédente pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

Tu auras créer un point de restauration propre.

[cvalerie]

voici le rapport

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1308
Windows 5.1.2600 Service Pack 3

23/10/2008 13:08:01
mbam-log-2008-10-23 (13-08-01).txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 61024
Temps écoulé: 24 minute(s), 10 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
C:WINDOWSsystem328669svchost.exe (Spyware.Banker) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOTpbfrv2.pbfrv2 (Adware.2020Search) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOTCLSID{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d} (Adware.2020Search) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunsuq (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerToolbarWebBrowser{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d} (Adware.2020Search) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:WINDOWSsystem328669svchost.exe (Spyware.Banker) -> Quarantined and deleted successfully.
C:Program FilesEoRezo (Rogue.Eorezo) -> Delete on reboot.

j'attends ta réponse pour savoir si je continue le numéro 3 nettoyage des points de restauration

[r@in | b0w]

Ok.

2 choses:

_ tu as fait la manipulation avec clean.zip?

Si oui, pas de message spécifique?

_ relances Mbam pour voir s'il trouve encore à redire.

Ensuite, tu fais de toute façon la purge des points de restauration.

Au fait:

bonjour,je suis sous windows

Tu es sous Windows, mais lequel: Xp ou Vista?

J'ai la réponse, tu as Xp SP3