Forum Clubic

Malware messenger plus à détruire - messenger malware hjt supprimer

Bonjour,

Merci de bien vouloir m’aider à éliminer des malware d’origine Messenger Plus! 3 que j’ai détectés sur un portable de l’un de mes amis.
Cela se traduit par des icônes sur le bureau “my antivirus update” et “tune up my pc” et par une modification des paramètres de connexion Internet.
Il y a peut être d’autres virus car son antivirus Norton n’était plus à jour depuis longtemps. Idem pour Microsoft antispyware.
J’ai pu activer adaware SE qui a nettoyé certaines alertes.
Cela n’a pas été possible avec Spybot qui réclamait une mise à jour avant de se lancer.
J’ai désinstallé Messenger Pus.
Dans MsConfig, j’ai supprimé le démarrage automatique de quelques programmes non indispensables qui peuvent être activés manuellement
ISStart et LogiTray de Logitech
RealPlay de RealPlayer
Skype
J’ai aussi supprimé le démarrage automatique de processus que je ne connais pas:
Amen Plan (MP3 Road ?)
msnappau (MSN Apps ?)
body mess (SOFTDO~1 ?)
odgtkyqk (se trouvant sous system32)
ainsi qu’une ligne sans commande.

J’ai lancé hijackthis dont voici le log:


Logfile of HijackThis v1.99.1
Scan saved at 23:35:19, on 02/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Olitec RNIS\ccmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Palm\hotsync.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HJT\HijackThis (hijackthis v1-99-1).exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hgdhnkvwmb.com/djTbUdrC7dTeVi0y…LGbEls5QvQ.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redire…1c02&lc=040c&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hgdhnkvwmb.com/djTbUdrC7dTeVi0y…LGbEls5QvQ.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FC93B13A-0CAD-B85B-73F5-940A7501C8B0} - C:\DOCUME~1\PHILOU\APPLIC~1\CURBRE~1\campup.exe
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\…\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\…\Run: [CARPService] carpserv.exe
O4 - HKLM\…\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\…\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\…\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\…\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\…\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\…\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\…\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\…\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\…\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\…\Run: [AdaptecDirectCD] “C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe”
O4 - HKLM\…\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\…\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\…\Run: [gcasServ] “C:\Program Files\Microsoft AntiSpyware\gcasServ.exe”
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\…\Run: [H/PC Connection Agent] “C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE”
O4 - HKCU\…\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
O4 - HKCU\…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU\…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\hotsync.exe
O4 - Global Startup: CAPI Tray.lnk = C:\Program Files\Olitec RNIS\ccmon.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Palm\hotsync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra ‘Tools’ menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra button: Créer un Favori de l’appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra ‘Tools’ menuitem: Créer un Favori de l’appareil mobile… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - http://macasnet01/iNotes.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS…er.cab31267.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe…nt.cab28177.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://geotoo.mkm-wpe.net/activex/AxisCamControl.ocx
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Que me faut-il supprimer ?

Par avance merci de votre aide.
Au revoir, RingoY

:hello:

Amen Plan (MP3 Road ?) <–voir Google pour voir si ça correspond à qq chose de familier
http://images.google.fr/search?hl=fr&q=+Am…echercher&meta=
msnappau (MSN Apps ?) <-- pas grave et inutile dans msconfig
body mess (SOFTDO~1 ?) <-- ?? clic/droit propriétés pour plus d’infos le ~ masque une partie du nom
odgtkyqk (se trouvant sous system32) <-- si l’ortho est bonne à supprimer

Par contre en supprimant des entrées du démarrage certains problèmes peuvent être masqués dans le log hijack.

Télécharge :

CCleaner 1.21.130. Fr Windows 95/98/Me/2000/XP
CCleaner est un outil d’optimisation de votre ordinateur en supprimant les fichiers inutiles relatifs à Windows. Il supprime les fichiers Internet Temporaires (Cache) d’Internet Explorer, Cookies, historiques, Index.dat, Corbeille, Fichiers Temporaires, Urls …
http://www.ordi-netfr.com/ccleaner.php

Ewido - anti- hijackers, worms, dialers etc… le mettre à jour
http://www.ewido.net/en/

  • Afficher les dossiers cachés et protégés (important)
    “Démarrer” >> “Panneau de Configuration” >> “Options des Dossiers”
    Clique sur l’onglet “Affichage”>> Dans la liste des “Paramètre avancés”, sous la rubrique “Fichiers et dossiers cachés”>>[!coche!] “Afficher les fichiers et dossiers cachés”
    Pour afficher les autres fichiers cachés>>[!décoche!] la case “Masquer les fichiers protégés du système d’exploitation”

  • désactiver la restauration système
    Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

Passer en mode sans échec à partir d’ici impératif!

  • Lancer Ewido/scan/sauvegarder le rapport (le copié/collé ici)

  • Lancer Hijackthis -->" Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée

fix checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http$://www.hgdhnkvwmb.com/djTbUdrC7dTeVi0y…LGbEls5QvQ.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http$://www.hgdhnkvwmb.com/djTbUdrC7dTeVi0y…LGbEls5QvQ.html

O2 - BHO: (no name) - {FC93B13A-0CAD-B85B-73F5-940A7501C8B0} - C:\DOCUME~1\PHILOU\APPLIC~1\CURBRE~1\campup.exe

O4 - HKCU\…\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup

O8 - Extra context menu item: &Search - http$://kx.bar.need2find.com/KX/menusearch.html?p=KX

TOUTES les lignes
O16 - DPF:

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

Explorateur Windows Rechercher et supprimer si encore présents

odgtkyqk
CURBRE~1\campup.exe vérifier les Propriétés de ce dossier avant
SpyKiller\spykiller.exe <-- tout le dossier dans Program Files( faux outil de sécu)
voir : http://www.spywarewarrior.com/rogue_anti-spyware.htm
vbsys2.dll <-- dans system32

  • reboot en mode normal
  • Lancer CCleaner (toutes les sessions) nettoyer, section base de registre inclus
  • remasquer les fichiers système (important)
  • réactiver la restauration système (important)
  • Supprimer la quarantaine (sauvegarde) Ewido (copie/colle le rapport avant n’oublie pas, ça m’intéresse - merci)

Pour les éventuels spywares de Messenger+ se rendre dans les Options Internet/Onglet : Confidentialité<-- Sites Web<–> "Modifier" supprimer toutes les références lop.com - rescanner avec Spybot à jour/Vacciner ensuite vérifier que lop.com soit repassé en "toujours bloquer"

  • Repose un nouveau log Hijack pour finir

Au boulot! si tu veux des explications supplémentaires, n’hésite pas :sol:

Bonjour,

Merci Westernunion pour avoir rapidement répondu:-)))
je vais suivre tes conseils et appliquer la procédure indiquée,
je te tiens informé du résultat.

Au revoir,
RingoY :slight_smile:

[color=blue]Bonjour Westernunion,

Voilà les travaux ont été effectués, mais j’avais omis de désactiver la restauration du système.
J’ai donc recommencé pour m’assurer que les objets indiqués avaient bien disparu.
Par ailleurs, j’ai tenté une connexion réseau pour permettre à CCLEANER d’être mis à jour, mais je n’y suis pas parvenu. Je corrigerai ce point plus tard, il n’est pas lié aux malwares.

Voici le log de EWIDO[/color]


ewido security suite - Rapport de scan

  • Créé le: 22:58:49, 03/08/2005

  • Somme de contrôle: 4B1E7560

  • Résultats du scan:

    HKLM\SOFTWARE\Classes\CLSID\{3f4d4f88-0198-4921-b630-957f3eb814e0} -> Spyware.Altnet : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\CLSID\{4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\CLSID\{4D1C4E89-A32A-416b-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\CLSID\{4D1C4E8B-A32A-416b-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\CLSID\{630D6140-04C5-4db0-B27A-020D766FF09B} -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Interface\{16097036-894C-4C00-A61F-93CA0D49A70E} -> Spyware.TOPicks : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Interface\{258A3625-183B-4477-AEE2-EA54DF6D878D} -> Spyware.TOPicks : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Interface\{2ED5AF98-9258-45BA-B79B-06625C92F662} -> Spyware.TOPicks : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Interface\{4D1C4E8A-A32A-416B-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Interface\{4D1C4E8C-A32A-416B-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Interface\{700DC0DD-F409-42E0-9DE5-21EE1A2BA9FD} -> Spyware.TOPicks : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Interface\{C91E8926-D4BE-4685-99F4-0D996B96BAC0} -> Spyware.P2PNetworking : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Interface\{D273D427-57C6-4B12-860F-BBB8195F6E2A} -> Spyware.TOPicks : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Interface\{FD42F6D3-7AB1-470C-979B-7996EDC99099} -> Spyware.TOPicks : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Need2FindBar.SettingsPlugin -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Need2FindBar.SettingsPlugin\CLSID -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Need2FindBar.SettingsPlugin\CurVer -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Need2FindBar.ToolbarPlugin -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Need2FindBar.ToolbarPlugin\CLSID -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Need2FindBar.ToolbarPlugin\CurVer -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\TypeLib\{F720B40F-3A38-4B22-B30D-DCF095D42498} -> Spyware.P2PNetworking : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Need2FindBar Uninstall -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Need2FindBar Uninstall -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Need2Find -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Need2Find\bar -> Spyware.Need2Find : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Need2Find\bar\Partner -> Spyware.Need2Find : Nettoyer et sauvegarder
    C:\Documents and Settings\PHILOU\Bureau\Pussy 123.exe -> Dialer.Generic : Nettoyer et sauvegarder
    C:\Documents and Settings\PHILOU\Local Settings\Temp\dia3.exe -> Dialer.Generic : Nettoyer et sauvegarder
    C:\Program Files\Microsoft AntiSpyware\Quarantine\1E328A09-F743-4F35-8D9A-E5075F\5840425C-1DE9-4CDC-8D1E-4F155C -> Spyware.P2PNetworking : Nettoyer et sauvegarder
    C:\Program Files\Microsoft AntiSpyware\Quarantine\1E328A09-F743-4F35-8D9A-E5075F\A539C5D6-8898-4544-BA51-B96190 -> Spyware.P2PNetworking : Nettoyer et sauvegarder
    C:\Program Files\Microsoft AntiSpyware\Quarantine\1E328A09-F743-4F35-8D9A-E5075F\CE71F2D8-E3D3-4990-A798-46CFED -> Spyware.Altnet : Nettoyer et sauvegarder
    C:\Program Files\Microsoft AntiSpyware\Quarantine\5D469810-31CD-4668-A946-146515\C045F0EA-967C-44C9-9C73-9F5E52 -> Spyware.P2PNetworking : Nettoyer et sauvegarder
    C:\Program Files\Microsoft AntiSpyware\Quarantine\E33A80A3-8ED1-47ED-8851-4C456E\3A4A734C-1091-4657-96E9-63261B -> Spyware.MySearch : Nettoyer et sauvegarder
    C:\Program Files\Need2Find\bar\1.bin\NPND2FN.DLL -> Spyware.MyWebSearch : Nettoyer et sauvegarder

::Fin du rapport


Voici le log du dernier HJT:



Logfile of HijackThis v1.99.1
Scan saved at 01:46:52, on 04/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HJT\HijackThis (hijackthis v1-99-1).exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/040C/bF8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/2Q00CPT/040C/bF7.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redire…1c02&lc=040c&ac
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\…\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\…\Run: [CARPService] carpserv.exe
O4 - HKLM\…\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\…\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\…\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\…\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\…\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\…\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\…\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\…\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\…\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\…\Run: [AdaptecDirectCD] “C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe”
O4 - HKLM\…\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\…\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\…\Run: [gcasServ] “C:\Program Files\Microsoft AntiSpyware\gcasServ.exe”
O4 - HKLM\…\Run: [_Hazafibb] C:\WINDOWS\System32\odgtkyqk.exe
O4 - HKLM\…\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\…\Run: [msnappau] “C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe”
O4 - HKLM\…\Run: [mp3 road type list] C:\Documents and Settings\All Users\Application Data\Warn Way Mp3 Road\Amen Plan.exe
O4 - HKLM\…\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\…\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: CAPI Tray.lnk = C:\Program Files\Olitec RNIS\ccmon.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Palm\hotsync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra ‘Tools’ menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra button: Créer un Favori de l’appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra ‘Tools’ menuitem: Créer un Favori de l’appareil mobile… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\…\{1CFA7D83-3208-4FE6-837C-5970BB3C5153}: NameServer = 216.55.99.221,216.55.100.221
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe



[color=blue]Je pense que l’infection est corrigée.
Le portable de mon ami semble OK.
Merci de m’indiquer si tu vois un autre point douteux.

Merci encore pour tes bons conseils.:-))))
Au revoir,[/color]RingoY :slight_smile:

http://perso.wanadoo.fr/atil/forum/scratch2.gif

C’est déjà mieux, mais je remarque cette ligne:

O4 - HKLM\…\Run: [_Hazafibb] C:\WINDOWS\System32\odgtkyqk.exe

Or il semble que ce soit le virus I-Worm.Zafi.b

Télécharge cet utilitaire qui est destiné à rechercher ce ver et à l’éliminer:

http://www.secuser.com/telechargement/desi…on/Antizafi.exe

Et fixe la ligne aussi dans Hij …

Pour ceux là j’émettrai un doute:

O4 - HKLM\…\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\…\Run: [mp3 road type list] C:\Documents and Settings\All Users\Application Data\Warn Way Mp3 Road\Amen Plan.exe

:hello: ringoy
:hello: kikou Riic

msnappau.exe <-- c’est la Toolbar d’ MSN Messenger (ex : pour les mises à jour)
msnappau.exe is part of the Microsoft MSN toolbar system, which initiates an update facility for the MSN downloadable toolbar. Disabling or enabling this is down to user preference<–!! [… user choice :ange: ]
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

Plan.exe (alias Warn Way ou Mp3 Road ou Amen Plan.exe [xx.variantes]
:oui: c’est une des variantes lop.com
http://www.superadblocker.com/P/PROGRAM%20BOOK.EXE-3755.html

Essaye le LOP uninstaller (ensuite relance Hijack et fixe si la ligne apparait encore)
http://www.thespykiller.co.uk/downloads.htm

supprimer TOUT le dossier
Warn Way Mp3 Road\Amen Plan.exe
localisé
C:\–>Documents and Settings\–>All Users\–>[ici]Application Data

fix checked

O4 - HKLM\…\Run: [_Hazafibb] C:\WINDOWS\System32\odgtkyqk.exe
à re-fixer et vérifier (/!\ respecter la procédure "restauration système & dossiers cachés et protégés) si encore présent dans
System32<–> supprimer -->odgtkyqk.exe

O4 - HKLM\…\Run: [mp3 road type list] C:\Documents and Settings\All Users\Application Data\Warn Way Mp3 Road\Amen Plan.exe

  • Alléger le démarrage, à ce niveau : O4 - HKLM\…\Run: c’est très lOurd (AV+ Firewall+Infos FAI-Modem/Antispyware si protection résidente : le reste est superflu)

  • idem alléger les Services : O23 - Service: AV, Firewall c’est ok - le reste est inutile (y compris Ewido)

  • Ta version de CCleaner est à jour, elle date du 02/08/05

  • Tu peux supprimer la quarantaine Ewido (hors connexion)

  • Rajoute à M$ Anti-spys (contrairement aux AV, il faut multiplier les log anti-bzzz dans une bécane)

Ad-aware.SE 1.06/ Spybot.s&d 1.4 (les 2!)
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.html

  • Scanne ta machine (hors connexion) avec les 2 tt de suite

  • Pour empêcher les activX des spywares de se pointer
    SpywareBlaster 3.4
    ne recherche pas et donc ne détruit pas les spywares de votre ordinateur, il les empêche de s’installer.
    SpywareBlaster peut empêcher l’installation de toutes les commandes d’activeX de spyware lors de la visite d’un site au travers d’un page Web. Il bloque les ActiveX “hostiles”, tout en n’interférant pas des commandes d’ActiveX “amis” - ainsi votre navigateur peut fonctionner correctement.
    Vous n’obtiendrez plus de boîtes gênantes de “Yes/No” s’ouvrir dans une nouvelle fenêtre, vous demandant d’installer une commande d’activeX de spyware. En outre, SpywareBlaster peut empêcher plusieurs de ces commandes d’activeX de spyware de ce lancer, même si elles sont déjà installées sur votre système. Il est maintenant compatible avec le navigateur Mozilla/Firefox. …
    http://www.ordi-netfr.com/spywareblaster.php

:sol: repose un nouveau log hijack-gnac!

[color=blue]Bonjour Westerunion et Ricricbe,

Merci à vous deux pour cette aide très appréciable :-))

Je ne peux travailler sur ce dossier, prendre connaissance du contenu de vos messages et vous répondre qu’après ma journée de travail car la connexion Internet de mon entreprise ne permet pas d’atteindre ce forum. :frowning:

Oui, j’ai porté un jugement trop rapide, je m’en suis aperçu ce matin.
Veuillez m’en excuser.
Il faut dire que le merveilleux portable de mon ami affichait une lenteur peu commune. J’ai donc dû patienter 3 bonnes heures pour permettre à CCLEANER d’achever son traitement, si bien que la nuit était très, très avancée…

Toute la famille de mon ami semble se partager le portable et les jeux installés sont nombreux. Il n’y a pratiquement pas de sécurité, quasiment tous les utilisateurs (dont les enfants) ont des droits d’adminisitration.
Je sais corriger ces lacunes, c’est l’occasion d’une prise de conscience de la part du propriétaire et des autres utilisateurs de l’appareil.

Je vais expliquer vos recommandations, puis les appliquer, afin d’améliorer la sécurité Internet de cet appareil.

Je posterai un nouveau rapport HJT.

Merci encore pour votre aide :-))))
Au revoir,[/color]

RingoY :slight_smile:

:MDR ok! je vois à peu près, nettoyage jamais effectué, d’où CCleaner qui sait plus où donner de la tête et en plus il faut (drait) le passer sur toutes les sessions utilisateurs, si il y a plusieurs sessions - bon courage à toi et @ + sans problèmes :super:

[color=blue]Bonjour Westerunion et Ricricbe,

J’ai procédé à différents scans, je pense être arrivé à éradiquer les objets malafaisants.

Voici le dernier rapport HJT avant l’installation d’une protection sensiblement plus musclée qui tiendra compte de vos conseils.[/color]

Logfile of HijackThis v1.99.1
Scan saved at 10:43:37, on 07/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\MSN Apps\Updater\01.03.0000.1005\fr\msnappau.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Olitec RNIS\ccmon.exe
C:\Program Files\Palm\hotsync.exe
C:\HJT\HijackThis (hijackthis v1-99-1).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redire…1c02&lc=040c&ac
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/2Q00CPT/040C/bF7.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\…\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\…\Run: [CARPService] carpserv.exe
O4 - HKLM\…\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\…\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\…\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\…\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\…\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\…\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\…\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\…\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\…\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\…\Run: [AdaptecDirectCD] “C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe”
O4 - HKLM\…\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\…\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\…\Run: [gcasServ] “C:\Program Files\Microsoft AntiSpyware\gcasServ.exe”
O4 - HKLM\…\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\…\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\…\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\…\Run: [msnappau] “C:\Program Files\MSN Apps\Updater\01.03.0000.1005\fr\msnappau.exe”
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU\…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - Global Startup: CAPI Tray.lnk = C:\Program Files\Olitec RNIS\ccmon.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Palm\hotsync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra ‘Tools’ menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra button: Créer un Favori de l’appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra ‘Tools’ menuitem: Créer un Favori de l’appareil mobile… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

====================================================

[color=blue]Il me reste à :
. retirer les applications qui pourront être activées manuellement à la demande des utilisateurs,
. réduire les droits de certains utilisateurs,
. installer les protections indiquées et les configurer en mises à jour automatiques,
. sauvegarder l’ensemble du système.

Encore une fois, merci pour votre aide :-))
Au revoir,[/color]
RingoY :slight_smile:

Le log est clean

programmes superflus voir msconfig pour désactiver les programmes du Démarrage

O4 - HKLM\…\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\…\Run: [CARPService] carpserv.exe
O4 - HKLM\…\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\…\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\…\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\…\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\…\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\…\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\…\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\…\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\…\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\…\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\…\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\…\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\…\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\…\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.03.0000.1005\fr\msnappau.exe"
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\…\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\…\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: CAPI Tray.lnk = C:\Program Files\Olitec RNIS\ccmon.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\Palm\hotsync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

Console des Services Voir/Comment désactiver les services inutiles (automatique, manuel, désactivé)
entre autres Ewido
Démarrer->exécuter->taper: services.msc
rechercher --> Service: [ ewido security suite control] et [ewido security suite guard]
Type de démarrage --> sur Désactiver ensuite valide/OK
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

. réduire les droits de certains utilisateurs
console d’administration

  • des logiciels de contrôle parental type : KiddyWeb
    je n’en connais pas beaucoup, désolée

. installer les protections indiquées et les configurer en mises à jour automatiques

  • Windows Update en auto ?
  • Démarrer>Poste de travail>clic/ droit (menu) Propriétés>W.Update>Mises à jour automatiques> option : Installation automatique : entrer la fréquence (Jour/Heure) et autres paramètres choix utilisateur (l’onglet : désactiver MàJ auto pour revenir en arrière )
  • Pour les outils perso : voir dans la configuration des logiciels, les onglets dans les options de démarrage du programme et les alertes au démarrage de mise à jour etc (ça peut devenir très barbant tout ça - on est "sous contrôle" :paf: )

. sauvegarder l’ensemble du système
XP le fait automatiquement
Restauration système

Spybot + Ad-aware + SpywareBlaster (voir url sur les posts antérieurs)

:hello: Ricricbe compètera sûrement

Bonjour Westernunion,

[color=blue]Merci pour tout, je suis très satisfait du résultat obtenu grâce à ton concours et celui de ricricbe.

Je crois que tout est OK.

Ce ne sera pas utile que vous cogitiez, l’un et l’autre, sur les tâches qui me restaient à faire.
Je les avais simplement indiquées pour vous informer de la procédure que j’envisageais.
Je devrais me sortir sans trop de difficulté.
Sur ce sujet au moins, je pense maîtriser les outils dont j’ai besoin.

Merci encore pour le travail que tu as fait et l’aide que tu m’as apportée :-))
Idem pour ricricbe.

Au revoir[/color]

RingoY :slight_smile:

De rien, au plaisir et bon surf RingoY http://yelims4.free.fr/Ordinateur/Ordinateur07.gif