Forums d'entraide informatique - Les forums de PCW

Version complète : Hum...Win32:Lineage-518 ? Un chieur quand même..
Vous consultez actuellement la version basse qualité d'un document. Voir la version complète avec le bon formatage.
Pages : 1 2 3 4
Bonjour à tous chers PcInfo-Webistes :mrgreen:
Celà faisait un tit temps que je n'avais pas trouvé de tites bébêtes ou plutôt que je n'étais pas arrivé à m'en débarrasser..d'où ce post, cet "appayl à l'ayde" xD
Plus sérieusement, en quelques mots, je procède a un petit nettoyage de printemps: EasyCleaner, Ccleaner, Spybot, Ad-aware, A². Et une fois débarrassé des tites merdes superflues, je passe à Avast, le tout, en mode sans echec. Celui-ci me trouve alors un tit trojan du nom de "Win32: Lineage-518[Trj]" qu'il est impossible de supprimer.
Info sup' et pas forcemment utile, son emplacement: " C:\WINDOWS\Downloaded Installations\{C32ACEF8-937B-40BC-84B0-FB81EE655AB4}Sunbelt CounterSpy.msi\Data1.cab\sunthreatfilename.sdb1" :|
Je poste un log HiJackThis pour que vous m'aidiez à voir plus clair. Le voici:

Logfile of HijackThis v1.99.1
Scan saved at 11:18:31, on 14/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\podXP\podXP.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: cals.com http://www.discreetshippedmeds.com http://www.greatpharmacueticals.com greatpharmacueticals.com => sites inconnus et suspect nan?
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Vistadrv] C:\Documents and Settings\Steven\Local Settings\Temp\Rar$EX02.547\Vista Drive\vsdrv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Startup: Raccourci vers RocketDock.lnk = C:\Program Files\RocketDock\RocketDock.exe
O4 - Global Startup: podXP.lnk = C:\Program Files\podXP\podXP.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIn...6.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)


Sont affichées en rouge les lignes que je propose de "réparer".. Wink
@+ €iki.
Salut Eikichi, bon tout d'abord on va s'occuper de ton fichier infecté, contrairement à ce que tu pense, c'est utile de savoir où il est :

    :arrow: Télécharge Pocket KillBox :arrow: >>ICI<<

    :arrow: Tu sélectionnes ce texte en bleu :

    C:\WINDOWS\Downloaded Installations\{C32ACEF8-937B-40BC-84B0-FB81EE655AB4}Sunbelt CounterSpy.msi\Data1.cab\sunthreatfilename.sdb1

    :arrow: Clic droit >> Copier

    :arrow: Lance KillBox.exe

    :arrow: Clic sur Tools >> Delete a Temp Files

    :arrow: Clic sur Delete selected Temp Files

    :arrow: Une fois fini, clic sur Exit (Save Settings)

    :arrow: Sélectionne "Delete on Reboot"

    :arrow: Clic sur "All Files"

    :arrow: Clic sur "File" >> "Past from clip board"

    :arrow: Tu clic sur le bouton rouge avec une croix blanche

    :arrow: Tu auras le message suivant : "File with be deleted on next reboot, Process and Reboot now ?" tu clic sur "Yes"

    :arrow: Et laisse redémarrer le pc

    Si le PC ne redémarre pas automatiquement, clic sur Options >> Shutdown >> Forced Reboot >> tu acceptes et ton PC redémarre


----------------------------------------

Après redémarrage, supprime le dossier C:\!Killbox<-- en faisant Shift+suppr


Ensuite, passes un coup de avg antispyware en mode sans echec (donc en ayant fait les maj avant en mode normal...)(il y a un tuto disponible en tutoriaux Wink ) et postes nous rapport de scan.

Tu peux supprimer les lignes en rouges, on en giclera d'ailleurs d'autres après Wink
Oki, je fais ça, seulement, il ne manquerait pas une étape?
Est-ce que je ne dois pas, à un moment donné, coller la ligne que j'ai copier? (c'est têtre une question con mais je préfère demander..)
€ikichi a écrit :Oki, je fais ça, seulement, il ne manquerait pas une étape?
Est-ce que je ne dois pas, à un moment donné, coller la ligne que j'ai copier? (c'est têtre une question con mais je préfère demander..)

"Past from clipboard" prends ce qui est dans ton "clipboard", ou ton "presse-papier", donc quand tu fais "past from clipboard" normalement ca colle ce que tu as copié Smile
Mouai..bon bah c'est pas le cas alors je le fais manuellement Wink
€ikichi a écrit :Mouai..bon bah c'est pas le cas alors je le fais manuellement Wink

Damn !
Il y a visiblement un bug avec killbox maintenant, peut-être une maj de xp qui l'empêche de fonctionner...il faudra qu'on change d'outil Undecided
Et encore, même manuellement, rien ne se colle. Je l'ai donc coller dans ma barre google et l'ai copier à partir d'ici..et ça marche xD Qu'est-ce qui faut pas faire Confused
Bon, je viens de redémarrer, impec, par contre, pour la suite, je vais devoir remettre ça à demain, en espérant te revoir lol
Bonne soirée et merci Wink
€ikichi a écrit :Et encore, même manuellement, rien ne se colle. Je l'ai donc coller dans ma barre google et l'ai copier à partir d'ici..et ça marche xD Qu'est-ce qui faut pas faire Confused
Bon, je viens de redémarrer, impec, par contre, pour la suite, je vais devoir remettre ça à demain, en espérant te revoir lol
Bonne soirée et merci Wink


C'est pas parce que je l'ai wh###ser qui va mourir, quel bande de paranos ! Big Grin

Xplosé de rire troll ! je crois que je m'ennuirais sans toua ! Big Grin
tiens j'avais loupé cette phrase...xD
Tadaaam! I'm back :lol:
Bon, j'ai passé AVG, il m'a trouvé 3 merdes que j'ai supprimé.
Je post néanmoins le rapport, comme prévu:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 12:48:41 15/03/2007

+ Résultat de l'analyse:



:mozilla.26:C:\Documents and Settings\Steven\Application Data\Mozilla\Firefox\Profiles\w8304l4g.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.34:C:\Documents and Settings\Steven\Application Data\Mozilla\Firefox\Profiles\w8304l4g.default\cookies.txt -> TrackingCookie.Com : Aucune action entreprise.
:mozilla.43:C:\Documents and Settings\Steven\Application Data\Mozilla\Firefox\Profiles\w8304l4g.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.


Fin du rapport
---------------------------------------

Maintenant, je m'occupe du log HiJackThis, je fixe les lignes en rouge et j'attends tes suggestions Wink
Pages : 1 2 3 4
URLs de référence