Informastuce
|
| | [Résolu] EGDAccess, scanreg.exe, infection Wareout et autres |    |
| |
| Auteur | Message |
|---|
bobysixkiller
Informaticien
  
Age : 40
Inscrit le : 16 Avr 2006
Messages : 1219
Localisation : Septfonds (82)
Configuration : P4 3,4Ghz, 1024 Mo DDR2, Radeon X600 256 Mo, XP Pro SP2 et Ubuntu HARDY HERON
 |  Sujet: [Résolu] EGDAccess, scanreg.exe, infection Wareout et autres  Mer 14 Mar 2007 - 10:13 | |
| Bonjour à tous,
un log a étudier, merci 
Logfile of HijackThis v1.99.1
Scan saved at 08:14:05, on 14/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe
C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\regscan.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\HJT\scan.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://h3.netster.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: -Sans nom - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - -Manquant
O2 - BHO: -Sans nom - {1C441862-7AD6-8D29-252C-69C4F608F94A} - -Manquant
O2 - BHO: -Sans nom - {6DA975EA-CBB4-411B-97C0-DB0A892BF2C1} - -Manquant
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 -BarreOut. -Sans nom - {FE6BC4EF-5676-484B-88AE-883323913256} - -Manquant
O3 -BarreOut. MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 -BarreOut. &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 -BarreOut. &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Controleur de calendrier pour Ulead Photo Express] C:\Program Files\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\System32\regscan.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra du menu contextuel &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra du menu contextuel E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Bouton Extra: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Outil Extra du menu : Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Bouton Extra: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\shdocvw.dll
O9 - Bouton Extra: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Outil Extra du menu : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Bouton Extra: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.f5biz.com/kit/093/scato.exe
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_FR_XP.cab
O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_XP.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://www.f5biz.com/dial/htm/WebInstall.dll
O16 - DPF: {946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} - http://fr4-download.nocreditcard.com/download/Object/DialerHTML/DHTMLAccessXP1043.cab
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack_XP.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8/fr/AccesMembre.cab
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_FR_XP.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} - http://www.sponsoradulto.com/cab/14/fr/SysWebTelecomInt.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1FE044B-6607-49E2-802D-EE9851E23186}: NameServer = 85.255.114.6,85.255.112.157
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.6 85.255.112.157
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.6 85.255.112.157
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.6 85.255.112.157
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\tmp_3oc.dll
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Tmesbs32 (Tmesbs) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe" /Service (file missing)
O23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe" /Service (file missing)
 |
|  | | Marie
Informaticien
  
Age : 49
Inscrit le : 20 Mar 2006
Messages : 302
Configuration : Windows Vista
| | Sujet: Re: [Résolu] EGDAccess, scanreg.exe, infection Wareout et autres Mer 14 Mar 2007 - 22:23 | |
| Salut Boby
Y'a du boulot! 
Je te fais signe dès que j'ai fini. |
| | | | Marie
Informaticien
Age : 49
Inscrit le : 20 Mar 2006
Messages : 302
Configuration : Windows Vista
| | Sujet: Re: [Résolu] EGDAccess, scanreg.exe, infection Wareout et autres Mer 14 Mar 2007 - 23:22 | |
| Bon ... On va faire étape par étape! 
 Affiche les fichiers cachés. Pour afficher les fichiers cachés
Télécharge AVG Antispyware.
Installe le.
A la fin de l'installation, le programme se lance.
- Mets à jour la base virale: Dans la fenêtre principale, clique sur le lien Mise à jour.
- Une fois la mise à jour terminée, va dans le menu Analyse, choisis l'onglet Paramètres. Sous Comment réagir, clique sur Actions recommandées et choisis Quarantaine.
(Ne lance pas le scan pour le moment).
Télécharge SDFix de AndyManchesta et sauvegarde le sur ton Bureau.
Télécharge Fixwareout de LonnyRJones à partir d'un de ces 2 sites:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe
1) Utilisation de SDFix:
- Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
- Redémarre ton ordinateur en mode sans échec. Pour démarrer en mode sans échec.
Tu choisis ton nom d'utilisateur pour ouvrir la session.
- Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie donc sur une touche.
- Ton système sera plus long pour redémarrer que d'habitude car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Une fois les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Il faudra coller ce rapport dans ta prochaine réponse.
2) Utilisation de FixWareout:
- Fais Ctrl + Alt + Suppr, onglet Processus. Dans la colonne Nom de l'image, recherche le processus regscan.exe. Clique droit sur ce processus et choisis Terminer le processus
- Ferme toutes les fenêtres de tous les programmes ouverts.
- Lance le programme Fixwareout.exe.
- Clique sur Next, puis Install. Puis assure toi que "Run fixit" est activé, enfin clique sur Finish.
- Suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra plus de temps à démarrer que d'habitude, c'est normal.Le bureau sans icones va apparaitre ainsi qu'une petite fenêtre ayant pour titre BFU[/ok]. Clique sur [b]OK et patiente jusqu'à la fin du scan. (Ca peut prendre plusieurs minutes pendant lesquelles tu as l'impression que rien ne se passe. Patiente!)
- Une fois le scan terminé, un rapport va s'afficher. Ne t'en préoccupe pas pour le moment.
Relance HijackThis et coche les lignes suivantes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://h3.netster.com/
O2 - BHO: -Sans nom - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - -Manquant
O2 - BHO: -Sans nom - {1C441862-7AD6-8D29-252C-69C4F608F94A} - -Manquant
O2 - BHO: -Sans nom - {6DA975EA-CBB4-411B-97C0-DB0A892BF2C1} - -Manquant
O3 -BarreOut. -Sans nom - {FE6BC4EF-5676-484B-88AE-883323913256} - -Manquant
O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\System32\regscan.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O9 - Bouton Extra: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Outil Extra du menu : Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.f5biz.com/kit/093/scato.exe
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_FR_XP.cab
O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_XP.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://www.f5biz.com/dial/htm/WebInstall.dll
O16 - DPF: {946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} - http://fr4-download.nocreditcard.com/download/Object/DialerHTML/DHTMLAccessXP1043.cab
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack_XP.cab
O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8/fr/AccesMembre.cab
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_FR_XP.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} - http://www.sponsoradulto.com/cab/14/fr/SysWebTelecomInt.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1FE044B-6607-49E2-802D-EE9851E23186}: NameServer = 85.255.114.6,85.255.112.157
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.6 85.255.112.157
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.6 85.255.112.157
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.6 85.255.112.157
O20 - AppInit_DLLs: C:\WINDOWS\System32\tmp_3oc.dll
- Clique sur Fix Checked puis confirme la suppression des entrées dans le message qui suit.
- Supprime les fichiers/dossiers suivants:
C:\WINDOWS\System32\regscan.exe
C:\Program Files\Fichiers communs\GMT <-- Le dossier
C:\WINDOWS\System32\tmp_3oc.dll (Si tu as du mal avec celui-là, essaie de le supprimer en mode sans échec.
3) Utilisation de AVG Anti-Spyware:
- Lance AVG Anti-Spyware. Dans le menu Analyse/Onglet Analyser, choisis Analyse complète du système.
- A la fin du scan, clique sur le bouton Appliquer toutes les actions pour mettre en quarantaine les objets trouvés par l'analyse.
Clique enfin sur Enregistrer le rapport puis, sur Enregistrer le rapport sous.
Enregistre le rapport de scan dans le répertoire Mes Documents de façon à le retrouver facilement et poste le dans ta prochaine réponse.
Redémarre le PC.
- Poste le rapport de FixWareOut(Il est enregistré dans C:/FixWareout/report.txt), celui de SDFix et celui de AVG.
- Poste enfin un nouveau log HijackThis. Et donne moi des nouvelles du PC.
PS1: Si tu as des difficultés pour te connecter après cette manip (et seulement dans ce cas), fais ceci:
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau
Fais un clic droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si tu utilises un modem téléphonique, et choisis Propriétés.
Fais un double clic sur l'élément Protocole Internet (TCP/IP) et clique sur le bouton Obtenir les adresses des serveurs DNS automatiquement.
Clique deux fois sur OK, et redémarre l'ordinateur.
PS2: Il faudra aussi faire les mises à jours de XP par Windows Update. Pour installer le SP2 et toutes les mises à jour de sécurité qui empêcheront les virus/troyens de se réinstaller. Mais on le fera quand le PC sera un peu plus clean.
Il restera EGDAccess à nettoyer après ça. Mais ça devrait aller nettement mieux.  |
| | | | bobysixkiller
Informaticien
Age : 40
Inscrit le : 16 Avr 2006
Messages : 1219
Localisation : Septfonds (82)
Configuration : P4 3,4Ghz, 1024 Mo DDR2, Radeon X600 256 Mo, XP Pro SP2 et Ubuntu HARDY HERON
| | Sujet: Re: [Résolu] EGDAccess, scanreg.exe, infection Wareout et autres Jeu 15 Mar 2007 - 13:06 | |
| Bonjour MARIE,
je te rapelle que je suis au 38 heures/semaine 
Je lui es déjà installé Ccleaner et Cleanup pour nettoyer un peu.
Il va essayer ce soir de faire toute la procédure.
Je te tiens au courant 
Merci |
| | | | Marie
Informaticien
Age : 49
Inscrit le : 20 Mar 2006
Messages : 302
Configuration : Windows Vista
| | Sujet: Re: [Résolu] EGDAccess, scanreg.exe, infection Wareout et autres Jeu 15 Mar 2007 - 20:22 | |
| Salut Boby 
| bobysixkiller a écrit: |
je te rapelle que je suis au 38 heures/semaine
|
Ben là, y'a du taf! Va falloir faire des heures sup!  |
| | | | bobysixkiller
Informaticien
Age : 40
Inscrit le : 16 Avr 2006
Messages : 1219
Localisation : Septfonds (82)
Configuration : P4 3,4Ghz, 1024 Mo DDR2, Radeon X600 256 Mo, XP Pro SP2 et Ubuntu HARDY HERON
| | Sujet: Re: [Résolu] EGDAccess, scanreg.exe, infection Wareout et autres Ven 16 Mar 2007 - 10:22 | |
| Bonjour, (merci pour les heures sup )
Bien, j'ai installé SDFix et suivit ta procédure, le pb c'est qu'il me demande de redémarrer mais il ne redémarre pas 
Je l'ais laissé tourner toute la nuit sans redémarrage:!:
Il n'est pas planté apparemment, donc je le redémarre à la main et voici le log:
SDFix: Version 1.72
Run by Fa - 15/03/2007 / 17:16:20,35
Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\All Users\Bureau\SDFix
Safe Mode:
Checking Services:
Name:
MsaSvc
Path:
C:\WINDOWS\System32\msasvc.exe
MsaSvc Deleted
Killing PID 140 'smss.exe'
Killing PID 216 'winlogon.exe'
Restoring Windows Registry Entries
Restoring Default Hosts File
Ensuite, le processus regscan.exe n'existe pas, donc inexistant dans system32 ainsi que tmp_3oc.dll
J'ai viré le dossier GMT
Voicile rapport HJT:
Logfile of HijackThis v1.99.1
Scan saved at 07:49:57, on 16/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe
C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\HJT\scan.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 -BarreOut. MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 -BarreOut. &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 -BarreOut. &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Controleur de calendrier pour Ulead Photo Express] C:\Program Files\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O8 - Extra du menu contextuel &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra du menu contextuel E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Bouton Extra: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\shdocvw.dll
O9 - Bouton Extra: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)
O23 - Service: Network Provisioning DDE - Unknown owner - C:\WINDOWS\system32\lsass.com
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Tmesbs32 (Tmesbs) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe" /Service (file missing)
O23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe" /Service (file missing)
Rapport fixwareout:
Fixwareout Last edited 2/11/2007
Post this report in the forums please
...
»»»»»Prerun check
»»»»» System restarted
»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....
Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.
Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or http://virusscan.jotti.org/
»»»»» Other
C:\WINDOWS\Temp\kdeol.ren 63193 29/08/2002
»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Tpwrtray"="TPWRTRAY.EXE"
"POINTER"="point32.exe"
"nod32kui"="\"C:\\Program Files\\Eset\\nod32kui.exe\" /WAITSERVICE"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"Controleur de calendrier pour Ulead Photo Express"="C:\\Program Files\\Ulead Systems\\Ulead Photo Express 5 SE\\calcheck.exe"
"WOOWATCH"="C:\\PROGRA~1\\Wanadoo\\Watch.exe"
"WOOTASKBARICON"="C:\\PROGRA~1\\Wanadoo\\GestMaj.exe TaskBarIcon.exe"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"!AVG Anti-Spyware"="\"C:\\Program Files\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Program Files\\Messenger\\MSMSGS.EXE\" /background"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"
"WOOKIT"="C:\\PROGRA~1\\Wanadoo\\GestMaj.exe GestionnaireInternet.exe"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»
Il manque le rapport AVG que tu auras dans la soirée
Dernière édition par le Ven 16 Mar 2007 - 16:52, édité 1 fois |
| | | | Marie
Informaticien
Age : 49
Inscrit le : 20 Mar 2006
Messages : 302
Configuration : Windows Vista
| | Sujet: Re: [Résolu] EGDAccess, scanreg.exe, infection Wareout et autres Ven 16 Mar 2007 - 16:48 | |
| Salut Bobby
On y voit un peu plus clair mais un autre indésirable vient de s'installer: lsass.com 
Pour AVG Antispyware, je te le fais relancer à la fin de cette nouvelle procédure (Pas la peine de le lancer 2 fois.)
On va finir le nettoyage et ensuite il faudra rapidement faire les mises à jour de XP.
Copie-colle les instructions suivantes dans un fichier .txt de façon à les avoir sous les yeux quand tu seras en Mode sans Echec (ou imprime-les).
Télécharge ATF Cleaner de Atribune.
C'est un programme qui s'occupe de nettoyer les fichiers temporaires.(Ne l'utilise pas pour le moment).
Télécharge Brute Force Uninstaller (de Merijn).
- Créé un nouveau dossier directement sur C:\ et nomme-le BFU. Pour cela :
--> Ouvre le poste de travail
--> Double-clique sur le disque C
--> Menu Fichier en haut puis Nouveau et nouveau dossier
--> Tape BFU dans le nom du nouveau dossier.
- Décompresse le fichier que tu viens de télécharger (clic droit sur le fichier et extraire tout) dans ce nouveau dossier (C:\BFU).
Après l'extraction, dans C:\BFU, tu dois avoir un seul fichier qui s'appelle BFU.exe. Ne l'utilise pas pour le moment.
Clique droit sur ce lien et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde le dans le dossier précédemment créé (C:\BFU).
Important : Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe.
Redémarre en mode en mode sans échec.
Lance "Brute Force Uninstaller" en double-cliquant sur BFU.exe (du dossier C:\BFU)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :
EGDACCESS.bfu.
Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
- Clique sur Execute et laisse-le faire son travail.
- Attendre que Complete script execution apparaîsse et clique sur OK.
- Clique sur Exit pour fermer le programme BFU.
Arrête le service Network Provisioning DDE:
Fais Démarrer/Executer/saisis services.msc
Dans la liste des services cherche celui nommé précisément Network Provisioning DDE. Double clique dessus.
Vérifie que dans Chemin d'accès des fichiers executables, tu as bien C:\WINDOWS\system32\lsass.com
Si c'est le cas:
Dans Etat du service, Clique sur Arrêter
Dans Type de démarrage, choisis Désactiver.
Fais OK pour enregistrer les modifications.
Arrête le service Microsoft authenticate service (MsaSvc):
Fais Démarrer/Executer/saisis services.msc
Dans la liste des services cherche celui nommé précisément Microsoft authenticate service (MsaSvc). Double clique dessus.
Vérifie que dans Chemin d'accès des fichiers executables, tu as bien C:\WINDOWS\System32\msasvc.exe
Si c'est le cas:
Dans Etat du service, Clique sur Arrêter
Dans Type de démarrage, choisis Désactiver.
Fais OK pour enregistrer les modifications.
Relance HijackThis.
Clique sur None of the above Just start The Program. Clique sur le bouton Config puis sur le bouton Misc Tools. Ensuite choisis Delete a NT Service.
- Dans le champ tu copies exactement le nom suivant:
Network Provisioning DDE puis OK.
- Tu recommences en copiant cette fois le nom suivant:
Microsoft authenticate service (MsaSvc) puis OK.
Supprime les fichiers/dossiers suivants si toujours présents:
C:\WINDOWS\system32\lsass.com (Attention: Ne supprime pas lsass.exe qui lui est légitime et vital pour Windows)
C:\WINDOWS\System32\msasvc.exe
Nettoyage des fichiers temporaires
- Double-clique sur ATF-Cleaner.exe
Sous l'onglet Main, choisis : Select All (Dernière case en bas)
- Clique ensuite sur Empty Selected
- Quitte le programme en cliquant sur Exit.
Tu lances AVG Antispyware
- Dans le menu Analyse/Onglet Analyser, choisis Analyse complète du système.
- A la fin du scan, clique sur le bouton Appliquer toutes les actions pour mettre en quarantaine les objets trouvés par l'analyse.
- Clique enfin sur Enregistrer le rapport puis, sur Enregistrer le rapport sous.
Enregistre le rapport de scan dans le répertoire Mes Documents de façon à le retrouver facilement et poste le dans ta prochaine réponse.
Redémarre en mode normal.
Poste le rapport de AVG Antispyware et un nouveau log HijackThis.
Une fois ta réponse postée, déconnecte toi du net pour éviter que d'autres saletés ne s'installent du temps que j'analyse les rapports.
Je te dirais ensuite si tu peux lancer Windows Update.
A ce propos, pourquoi le propriétaire du PC n'a-t-il pas installé le SP2? Y-a-t-il une raison particulière (genre: il a essayé une fois et l'installation s'est mal passée...).
PS: Ne me mets pas les rapports entre deux balises Spoiler: Quand je veux copier-coller le nom d'un fichier, la fenêtre se ferme... 
Aprés ça ce sera presque bon.
Dernière édition par le Ven 16 Mar 2007 - 16:54, édité 1 fois |
| | | | bobysixkiller
Informaticien
Age : 40
Inscrit le : 16 Avr 2006
Messages : 1219
Localisation : Septfonds (82)
Configuration : P4 3,4Ghz, 1024 Mo DDR2, Radeon X600 256 Mo, XP Pro SP2 et Ubuntu HARDY HERON
| | Sujet: Re: [Résolu] EGDAccess, scanreg.exe, infection Wareout et autres Ven 16 Mar 2007 - 16:54 | |
| Bonjour MARIE,
voilà, j'ai rectifier le post
Je vais joindre le proprio du pc "maladé" et te tiens au courant.
|
| | | | Marie
Informaticien
Age : 49
Inscrit le : 20 Mar 2006
Messages : 302
Configuration : Windows Vista
| | Sujet: Re: [Résolu] EGDAccess, scanreg.exe, infection Wareout et autres Ven 16 Mar 2007 - 16:59 | |
| Merci Boby.
| Citation: | | Je vais joindre le proprio du pc "maladé" et te tiens au courant. |
Par la même occasion, demande lui de reposter le rapport SDFix. Ce rapport me semble incomplet. Il doit tout sélectionner avant de copier-coller.
|
| | | | bobysixkiller
Informaticien
Age : 40
Inscrit le : 16 Avr 2006
Messages : 1219
Localisation : Septfonds (82)
Configuration : P4 3,4Ghz, 1024 Mo DDR2, Radeon X600 256 Mo, XP Pro SP2 et Ubuntu HARDY HERON
| | Sujet: Re: [Résolu] EGDAccess, scanreg.exe, infection Wareout et autres Ven 16 Mar 2007 - 17:03 | |
| C'est moi qui l'ais posté et il n'y a que ça 
Comme je t'ai dit plus haut, l'ordi ne redémarre pas après la demande de redémarrage |
| | | | Marie
Informaticien
Age : 49
Inscrit le : 20 Mar 2006
Messages : 302
Configuration : Windows Vista
| | Sujet: Re: [Résolu] EGDAccess, scanreg.exe, infection Wareout et autres Ven 16 Mar 2007 - 17:13 | |
| | bobysixkiller a écrit: | C'est moi qui l'ais posté et il n'y a que ça
Comme je t'ai dit plus haut, l'ordi ne redémarre pas après la demande de redémarrage |
Bon ben ... On va voir ce que dit AVG antispyware et on avisera après. |
| | | | bobysixkiller
Informaticien
Age : 40
Inscrit le : 16 Avr 2006
Messages : 1219
Localisation : Septfonds (82)
Configuration : P4 3,4Ghz, 1024 Mo DDR2, Radeon X600 256 Mo, XP Pro SP2 et Ubuntu HARDY HERON
| | Sujet: Re: [Résolu] EGDAccess, scanreg.exe, infection Wareout et autres Ven 16 Mar 2007 - 17:16 | |
| | A vos ordres m'dame |
| | | | | [Résolu] EGDAccess, scanreg.exe, infection Wareout et autres | |
|
| Page 1 sur 3 | Aller à la page : 1, 2, 3 |
| | Permission de ce forum: | Vous ne pouvez pas répondre aux sujets dans ce forum
| |
| |
| |
|
