Derniers tutoriels :
Sondage :
Publicité
Derniers articles :
[Résolu] Hum...Win32:Lineage-518 ? Un chieur quand même.. - Version imprimable +- Forums d'entraide informatique - Les forums de PCW (http://forum.pcinfo-web.com) +-- Forum : Forum Informatique (/forumdisplay.php?fid=39) +--- Forum : Sécurité Informatique (/forumdisplay.php?fid=2) +--- Discussion : [Résolu] Hum...Win32:Lineage-518 ? Un chieur quand même.. (/showthread.php?tid=1062) |
[Résolu]Hum...Win32:Lineage-518 ? Un chieur quand même.. - Eikichi - 14-03-2007 10:21 AM Bonjour à tous chers PcInfo-Webistes Celà faisait un tit temps que je n'avais pas trouvé de tites bébêtes ou plutôt que je n'étais pas arrivé à m'en débarrasser..d'où ce post, cet "appayl à l'ayde" xD Plus sérieusement, en quelques mots, je procède a un petit nettoyage de printemps: EasyCleaner, Ccleaner, Spybot, Ad-aware, A². Et une fois débarrassé des tites merdes superflues, je passe à Avast, le tout, en mode sans echec. Celui-ci me trouve alors un tit trojan du nom de "Win32: Lineage-518[Trj]" qu'il est impossible de supprimer. Info sup' et pas forcemment utile, son emplacement: " C:\WINDOWS\Downloaded Installations\{C32ACEF8-937B-40BC-84B0-FB81EE655AB4}Sunbelt CounterSpy.msi\Data1.cab\sunthreatfilename.sdb1" :| Je poste un log HiJackThis pour que vous m'aidiez à voir plus clair. Le voici: Logfile of HijackThis v1.99.1 Scan saved at 11:18:31, on 14/03/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\RocketDock\RocketDock.exe C:\Program Files\CursorXP\CursorXP.exe C:\Program Files\podXP\podXP.exe C:\Program Files\Club-Internet\Lanceur\lanceur.exe C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\Mozilla Firefox\firefox.exe C:\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O1 - Hosts: cals.com http://www.discreetshippedmeds.com http://www.greatpharmacueticals.com greatpharmacueticals.com => sites inconnus et suspect nan? O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Vistadrv] C:\Documents and Settings\Steven\Local Settings\Temp\Rar$EX02.547\Vista Drive\vsdrv.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe O4 - Startup: Raccourci vers RocketDock.lnk = C:\Program Files\RocketDock\RocketDock.exe O4 - Global Startup: podXP.lnk = C:\Program Files\podXP\podXP.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) Sont affichées en rouge les lignes que je propose de "réparer".. @+ €iki. - Troll - 14-03-2007 18:46 PM Salut Eikichi, bon tout d'abord on va s'occuper de ton fichier infecté, contrairement à ce que tu pense, c'est utile de savoir où il est :
Tu sélectionnes ce texte en bleu : C:\WINDOWS\Downloaded Installations\{C32ACEF8-937B-40BC-84B0-FB81EE655AB4}Sunbelt CounterSpy.msi\Data1.cab\sunthreatfilename.sdb1 Clic droit >> Copier Lance KillBox.exe Clic sur Tools >> Delete a Temp Files Clic sur Delete selected Temp Files Une fois fini, clic sur Exit (Save Settings) Sélectionne "Delete on Reboot" Clic sur "All Files" Clic sur "File" >> "Past from clip board" Tu clic sur le bouton rouge avec une croix blanche Tu auras le message suivant : "File with be deleted on next reboot, Process and Reboot now ?" tu clic sur "Yes" Et laisse redémarrer le pc Si le PC ne redémarre pas automatiquement, clic sur Options >> Shutdown >> Forced Reboot >> tu acceptes et ton PC redémarre ---------------------------------------- Après redémarrage, supprime le dossier C:\!Killbox<-- en faisant Shift+suppr Ensuite, passes un coup de avg antispyware en mode sans echec (donc en ayant fait les maj avant en mode normal...)(il y a un tuto disponible en tutoriaux ) et postes nous rapport de scan. Tu peux supprimer les lignes en rouges, on en giclera d'ailleurs d'autres après - Eikichi - 14-03-2007 21:00 PM Oki, je fais ça, seulement, il ne manquerait pas une étape? Est-ce que je ne dois pas, à un moment donné, coller la ligne que j'ai copier? (c'est têtre une question con mais je préfère demander..) - Troll - 14-03-2007 21:29 PM €ikichi a écrit :Oki, je fais ça, seulement, il ne manquerait pas une étape? "Past from clipboard" prends ce qui est dans ton "clipboard", ou ton "presse-papier", donc quand tu fais "past from clipboard" normalement ca colle ce que tu as copié - Eikichi - 14-03-2007 21:50 PM Mouai..bon bah c'est pas le cas alors je le fais manuellement - Troll - 14-03-2007 21:57 PM €ikichi a écrit :Mouai..bon bah c'est pas le cas alors je le fais manuellement Damn ! Il y a visiblement un bug avec killbox maintenant, peut-être une maj de xp qui l'empêche de fonctionner...il faudra qu'on change d'outil - Eikichi - 14-03-2007 22:04 PM Et encore, même manuellement, rien ne se colle. Je l'ai donc coller dans ma barre google et l'ai copier à partir d'ici..et ça marche xD Qu'est-ce qui faut pas faire Bon, je viens de redémarrer, impec, par contre, pour la suite, je vais devoir remettre ça à demain, en espérant te revoir lol Bonne soirée et merci - Zarnergun - 14-03-2007 22:15 PM €ikichi a écrit :Et encore, même manuellement, rien ne se colle. Je l'ai donc coller dans ma barre google et l'ai copier à partir d'ici..et ça marche xD Qu'est-ce qui faut pas faire C'est pas parce que je l'ai wh###ser qui va mourir, quel bande de paranos ! Xplosé de rire troll ! je crois que je m'ennuirais sans toua ! - Troll - 14-03-2007 22:18 PM tiens j'avais loupé cette phrase...xD - Eikichi - 15-03-2007 12:47 PM Tadaaam! I'm back Bon, j'ai passé AVG, il m'a trouvé 3 merdes que j'ai supprimé. Je post néanmoins le rapport, comme prévu: --------------------------------------------------------- AVG Anti-Spyware - Rapport d'analyse --------------------------------------------------------- + Créé à: 12:48:41 15/03/2007 + Résultat de l'analyse: :mozilla.26:C:\Documents and Settings\Steven\Application Data\Mozilla\Firefox\Profiles\w8304l4g.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise. :mozilla.34:C:\Documents and Settings\Steven\Application Data\Mozilla\Firefox\Profiles\w8304l4g.default\cookies.txt -> TrackingCookie.Com : Aucune action entreprise. :mozilla.43:C:\Documents and Settings\Steven\Application Data\Mozilla\Firefox\Profiles\w8304l4g.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise. Fin du rapport --------------------------------------- Maintenant, je m'occupe du log HiJackThis, je fixe les lignes en rouge et j'attends tes suggestions |