| Auteur |
Message |
|
|
peged
Inscrit le: 16 Sep 2005
Messages: 44
|
 Posté le: Jeu Juil 05, 2007 7:42 am Sujet du message: Virus imprimeur |
 |
|
Bonjour, comme pratiquement chaque année hélas je me retrouve confronté à un petit soucis sur mon ordinateur et je fais donc appel au forum pour m'aider à éradiquer la saleté qui s'est installée sur mon disque.
J'ai en fait deux petits problèmes, le premier concerne une ouverture de popup intempestive sous IE 7 (mais pas sous Firefox, donc j'utilise ce dernier) affichant des publicités commerciales avec une adresse du genre rond.stardoor.com.
Le deuxième problème est plus agaçant puisqu'un programme a priori nommé wintouch.exe s'ouvre au démarrage de windows dans une fenêtre Dos (je l'ai constaté pour la première fois ce matin), je le ferme immédiatement mais hier au soir cette fenêtre a lancé des impressions (blanches) sans que je sois devant mon ordi...
Voilou
Je poste un rapport Hijack et je vous remercie tous d'avance car les conseils que vous m'avez apporté les fois dernières ont toujours été remarquables 
@ plus
Logfile of HijackThis v1.99.1
Scan saved at 08:28:43, on 05/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\WgaTray.exe
C:\windows\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\PROGRA~1\MICROS~3\GAMECO~1\common\swtrayv4.exe
C:\windows\SOUNDMAN.EXE
C:\windows\system32\rundll32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\windows\retadpu4.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WinPop\winpop.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\Program Files\Trend Micro\OfficeScan Client\Pop3Trap.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\windows\System32\nvsvc32.exe
C:\windows\system32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\WE4E30.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\windows\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Eddy\divers\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [ADSL_A2] A2Installed
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~3\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [runner1] C:\windows\retadpu4.exe 61A847B5BBF72816228849360B8D1BE1C59331416DC57C032CBD1BE3D2906418338B284661A64DB7C8F0287E75C266022DBE528F80D6664366DB7D526CAC59B6
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [WinPop] C:\Program Files\WinPop\winpop.exe
O4 - HKCU\..\Run: [WinTouch] C:\Documents and Settings\PETITJEAN\Application Data\WinTouch\WinTouch.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ADSL Diagnostic Tools.LNK = C:\WINDOWS\system32\mapiicon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4F5E4276-C120-11D6-A1FD-00508B9D48EA} (dldisplay Class) - http://www.gamehouse.com/ghdlctl.cab
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://paris.ville.orange.fr/CO/activex/AxisCamControl.cab
O20 - Winlogon Notify: WgaLogon - C:\windows\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe |
|
| Revenir en haut |
|
Jet Li
PentiumIV-1700
Inscrit le: 10 Jan 2006
Messages: 2109
Localisation: Avec honneur tu vaincras !!!
|
| Posté le: Jeu Juil 05, 2007 11:17 am Sujet du message: |
|
|
Bonjour, télécharge Ashampoo et suits le tuto correctement dans l'ordre.
Ensuite une fois terminé refais un scan Blacklight et poste le rapport ici. |
|
| Revenir en haut |
|
peged
Inscrit le: 16 Sep 2005
Messages: 44
|
| Posté le: Ven Juil 06, 2007 7:48 am Sujet du message: |
|
|
Salut j'ai suivi tes indications mais visiblement il ne s'agit pas de ce virus, voici le rapport blacklight effectué après le scan d'ashampoo qui n'a pas trouvé ce qu'il cherchait
Search Navipromo version 2.0.5 commencé le 06/07/2007 à 8:27:00,37
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\windows ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\PETITJEAN\Application Data ***
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html
F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================
Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.
[+] Started on 07/06/07 at 08:27:01.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ......................................................................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/06/07 at 08:39:07 (return code = 0).
*** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********
3)Recherche Certificats :
*** Analyse Terminé le 06/07/2007 à 8:39:45,64 ***
 |
|
| Revenir en haut |
|
Jet Li
PentiumIV-1700
Inscrit le: 10 Jan 2006
Messages: 2109
Localisation: Avec honneur tu vaincras !!!
|
| Posté le: Sam Juil 07, 2007 10:20 am Sujet du message: |
|
|
Bonjour, dans ce cas suits cette procédure :
1/ Télécharge et installe :
 AVG Antispyware( fais la mise a jour )
CCleaner
2/ Affiche tous les dossiers cachés
3/ Dans ajout/Suppr de programmes, désinstalle :
winpop.exe
4/ Supprime le(s) fichier(s)/dossier(s) en gras :
C:\windows\retadpu4.exe
C:\Program Files\WinPop\winpop.exe
C:\Documents and Settings\PETITJEAN\Application Data\WinTouch
5/ Refais un scan hijackthis, coche ces lignes, puis clique sur Fix Checked :
6/ Vide ta corbeille, et lance CCleaner ( lancer le nettoyage ).
7/ Redémarre en mode sans échec | Citation: | A la fin du chargement du BIOS, tapote la touche F8. Ensuite En utilisant les flèches de votre clavier, sélectionnez Mode sans
échec dans le menu puis appuyez sur Entrée. |
8/ Lance AVG Antispyware.
Choisis l'onglet Analyse
Puis l'onglet Paramètres
Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine
Re-clique sur l'onglet Analyse puis réalise une Analyse complète du système
Poste ensuite ton rapport ici.
9/ Redémarre en mode normal
10/ Fais un scan panda en ligne ( avec Internet Explorer ), et poste te rapport ici.
NB : Un conseil, imprime la procédure pour AVG AntiSpywares car une fois en mode sans échec tu n'auras plus accès a Internet Explorer.
Bon courrage |
|
| Revenir en haut |
|
peged
Inscrit le: 16 Sep 2005
Messages: 44
|
| Posté le: Sam Juil 07, 2007 4:26 pm Sujet du message: |
|
|
Voila toutes tes instructions ont été suivies à la lettre à une exception près c'est le rapport de scan d'AVG que je pensais avoir sauvegardé sur le bureau mais que je ne retrouve pas, désolé  .
AVG a en tout cas touvé 7 éléments qu'il a mis en quarantaine et au redémarrage de windows wintouch ne s'est pas lancé, je n'ai pas non plus de nouveaux popup sur IE7, tout semble correct donc.
Voici tout de même le rapport panda
Incident Statut Analyse
Spyware:Cookie/Atwola No Désinfecté C:\Documents and Settings\PETITJEAN\Cookies\petitjean@atwola[1].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\PETITJEAN\Cookies\petitjean@doubleclick[1].txt
Adware:Adware/Yazzle No Désinfecté C:\WINDOWS\pw.exe
Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe
Virus:Trj/Downloader.OJF Désinfecté E:\Programmes\ PC GAME NO CD Test Drive Unlimited crack\CRACK.EXE
Virus:Trj/Downloader.OJF Désinfecté E:\Programmes\ PC GAME NO CD Test Drive Unlimited crack\ PC GAME NO CD Test Drive Unlimited crack.zip[crack.exe]
Merci pour ton aide toujours aussi précieuse |
|
| Revenir en haut |
|
Jet Li
PentiumIV-1700
Inscrit le: 10 Jan 2006
Messages: 2109
Localisation: Avec honneur tu vaincras !!!
|
| Posté le: Sam Juil 07, 2007 5:26 pm Sujet du message: |
|
|
Ok super
Supprime les fichiers/dossiers en gras :
C:\WINDOWS\pw.exe
C:\WINDOWS\system32\Process.exe ( mais il n'est pas méchant )
E:\Programmes\ PC GAME NO CD Test Drive Unlimited crack\CRACK.EXE
E:\Programmes\ PC GAME NO CD Test Drive Unlimited crack\ PC GAME NO CD Test Drive Unlimited crack.zip[crack.exe]
( attention au téléchargement )
Désactive la restauration du système et réactive la ensuite.
Tu as toujours des problèmes ? |
|
| Revenir en haut |
|
peged
Inscrit le: 16 Sep 2005
Messages: 44
|
| Posté le: Dim Juil 08, 2007 11:05 am Sujet du message: |
|
|
Je n'ai pas trouvé process.exe sur mon disque mais sinon tout semble aller pour le mieux grace à tes conseils
Donc encore une fois MERCI |
|
| Revenir en haut |
|
darkreal
PentiumII-233
Inscrit le: 14 Mar 2006
Messages: 478
Localisation: A la fois Mars et Hyrule
|
| Posté le: Dim Juil 08, 2007 11:54 am Sujet du message: |
|
|
| ya pas à dire, ils sont trop fort ces gars là |
|
| Revenir en haut |
|
Jet Li
PentiumIV-1700
Inscrit le: 10 Jan 2006
Messages: 2109
Localisation: Avec honneur tu vaincras !!!
|
| Posté le: Lun Juil 09, 2007 7:00 pm Sujet du message: |
|
|
Tu souhaites une optimisation de ton PC ? Si oui poste un nouveau rapport hijackthis stp. |
|
| Revenir en haut |
|
|
|
|
