| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6850
Localisation: Toulon
|
 Posté le: 16 Déc 2006 11:20 Sujet du message: |
 |
|
Bonjour
Résumé de la situation:
Le log combo révèle pas mal de fichiers nocifs.
Il y a en outre des drivers exotiques qui sont lancés au démarrage du mode sans échec.
| Citation: | HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\amdk5
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\bootbus
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\jr
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\LanPort
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\mmc
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\nwpci
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\parcls
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\ProcServ
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sound
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\wadex |
Et tes problèmes de démarrage en MSE viennent sans doute d'un de ces drivers.
 Va dans ton registre et navigue jusqu'à la clé
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network
Clique sur Network et dans la liste des clés qui s'affichent sous Network dis moi si tu vois LanPort et Parcls.
Télécharge RegSearch de Bobbi Flekman.
C'est un petit utilitaire qui recherche des chaines de caractère dans le registre.
- Dézippe le. Tu vas obtenir un répertoire Regsearch. Dans ce répertoire, double-clique sur Regsearch.exe.
- Dans le 1er champ, tu entres parcls.
Il va mouliner 1 ou 2 minutes et il va te sortir un rapport.
- Poste ce rapport dans ta prochaine réponse. (Le rapport est enregistré automatiquement dans le répertoire Regsearch).
Fais la même manip en rentrant cette fois LanPort.
Poste aussi le rapport dans ta prochaine réponse.
Télécharge Autoruns de Sysinternals.
- Dézippe le.
Tu vas obtenir un répertoire Autoruns.
- Télécharge AutoCmd.zip
- Dézippe le, ouvre le. Copie-colle le fichier AutoCmd.cmd dans le répertoire Autoruns.
- Double clique sur AutoCmd.cmd.
Une fenêtre noire va s'ouvrir. Saisis l'option 1.
Pendant 1 ou 2 minutes tu auras l'impression que rien ne se passe. Laisse le mouliner sans rien toucher.
A la fin, il va t'afficher un rapport.
J'ai besoin de ce rapport pour connaître tout ce qui se lance au démarrage de la machine.
Mais ne le poste pas dans le forum car il risque d'être trop gros.
Soit tu me le mets en consultation sur ton FTP, soit tu me le fais parvenir par l'intermédiaire de Ci-Joint.
[Edit]Je transfère ton message dans le forum Virus et sécurité. 
_________________
  |
|
| Revenir en haut de page |
|
 |
PaulTergeist
Forumeur débutant
Inscrit le: 11 Déc 2006
Messages: 38
|
| Posté le: 16 Déc 2006 14:19 Sujet du message: |
|
|
Ok, voici mes deux rapports, via Ci-Joint:
Autoruns: http://cjoint.com/?mqokn3Pfxq
regsearch: http://cjoint.com/?mqolKd6Ni0
En les parcourant vite fait, j'ai trouvé des points interressants, tu verras. Par exemple, mon autorun commence par chercher un fichier qui n'existe pas avant tout le reste: "SsiEfr.e"
autre lignes interressantes:
JMediaService
File not found: C:\PROGRA~1\MMSASS~1\MMSSVER.DLL
bootbus
File not found: C:\WINDOWS\system32\drivers\bootbus.sys
HWIONT
File not found: P:\download\tv\HWIONT.sys
intelppm
File not found: system32\DRIVERS\intelppm.sys
LanPort
c:\windows\system32\drivers\lanport.sys
parcls
c:\windows\system32\drivers\parcls.sys
PCAMPR5
File not found: C:\WINDOWS\system32\PCAMPR5.SYS
Tetris ah bon? j'ai ça moi?
c:\windows\system32\drivers\tetris.sys
wadex
File not found: C:\WINDOWS\system32\drivers\wadex.sys
et j'en passe...
Le regsearch est trop compliqué pour moi...
_________________
Le SMS mange le cerveau des petits enfants (c pour sa kil sav pu écrir) |
|
| Revenir en haut de page |
|
|
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6850
Localisation: Toulon
|
| Posté le: 16 Déc 2006 15:33 Sujet du message: |
|
|
Je regarde les rapports.
Ca risque de me prendre un peu de temps.
Si possible, évite de laisser ta connexion internet active.
_________________
|
|
| Revenir en haut de page |
|
|
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6850
Localisation: Toulon
|
| Posté le: 16 Déc 2006 18:06 Sujet du message: |
|
|
Télécharge Unlocker.
C'est un petit programme qui permet de se défaire des fichiers récalcitrants.
Installe le.
Télécharge et installe Cleanup. C'est un programme qui permet de nettoyer les fichiers temporaires, les caches internet des navigateurs les plus connus, les cookies ....
Dans Options, vérifie que l'ascenseur est bien positionné sur Standard Cleanup. Ne lance pas le nettoyage pour le moment.
Avec l'explorateur recherche le fichier C:\WINDOWS\system32\drivers\LanPort.sys
Clique droit sur ce fichier et choisis Unlocker
Demande lui d'effacer le fichier.
Tu devrais obtenir une fenêtre de ce genre là:
Dans le champ déroulant en bas de la fenêtre tu choisis Effacer puis tu cliques dur le bouton Unlock All (ou son équivalent français).
Si ça marche, il doit te le dire sinon il faudra trouver autre chose. 
Si la manip n'a pas marché, inutile d'aller plus loin...
Si la manip avec LanPort a marché, tu recommences pour le fichier parcls.sys qui se trouve aussi dans C:\WINDOWS\system32\drivers\
Tu supprimes aussi les fichiers suivants:
C:\WINDOWS\system32\wmpknl.dll
C:\WINDOWS\system32\wmpkn.dll
C:\WINDOWS\system32\wmpsi.exe
C:\WINDOWS\system32\PvSec.dll
C:\WINDOWS\system32\wmvscp.dll
C:\WINDOWS\system32\tpnet.dll
C:\WINDOWS\system32\mssv.exe
C:\WINDOWS\system32\1162328719.exe
C:\WINDOWS\system32\SeaBar.dll
C:\WINDOWS\system32\drivers\mmc.sys
C:\WINDOWS\eqiso24.exe
C:\WINDOWS\system32\mssapi.dll
C:\WINDOWS\lmdm_setup_2.1_101.exe
C:\WINDOWS\ef26ev.dll
- Si tu ne trouves pas un fichier, tu passes au suivant.
- Si message d'erreur lors de l'effacement, utilise Unlocker (en cliquant droit sur le fichier).
Relance HijackThis et coche les lignes
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\UserData\IEHelper_5001.dll (file missing)
O21 - SSODL: WebSecurity - {3DD78ACF-0745-4532-94F8-A574457E1A81} - C:\WINDOWS\system32\PvSec.dll
Clique sur Fix Checked et confirme.
Repasse un scan complet avec AVG Antispyware.
Surtout n'oublie pas de choisir quarantaine dans Action par défaut et de cliquer sur Appliquer les actions à la fin du scan pour mettre les fichiers en quarantaine.
(Tout est expliqué dans un de mes premiers posts).
Lance Cleanup! pour supprimer les fichiers temporaires.
Clique sur le bouton Cleanup et accepte le redémarrage du PC.
Une fois cela fait, il restera encore du nettoyage à faire. Notamment dans le registre.
[Edit] J'ai oublié de te dire de reposter un nouveau log HijackThis quand le PC aura redémarré.
_________________
|
|
| Revenir en haut de page |
|
|
PaulTergeist
Forumeur débutant
Inscrit le: 11 Déc 2006
Messages: 38
|
| Posté le: 17 Déc 2006 17:16 Sujet du message: |
|
|
Hello!
J'ai tout suivi comme indiqué. A l'installation d'unlocker j'ai vu une fenêtre: "Un logiciel tournant sur votre machine est en conflit avec unlocker assistant. UA va maintenant être fermé et desactivé."
suite à cela, je l'ai utilisé pour tous les fichiers indiqués:
Lanport: aucune attache trouvée: déplacé en corbeille
parcls: idem
C:\WINDOWS\system32\wmpknl.dll : suppr mais pas pris de notes
C:\WINDOWS\system32\wmpkn.dll : suppr mais pas pris de notes
C:\WINDOWS\system32\wmpsi.exe : suppr mais pas pris de notes
C:\WINDOWS\system32\PvSec.dll : attaché à explorer.exe ... à la suppression: prévention de l'exécution des données sur rundll32.exe
C:\WINDOWS\system32\wmvscp.dll : suppr mais pas pris de notes
C:\WINDOWS\system32\tpnet.dll: attaché à rundll32.exe
C:\WINDOWS\system32\mssv.exe : pas trouvé
C:\WINDOWS\system32\1162328719.exe : aucune attache
C:\WINDOWS\system32\SeaBar.dll : aucune attache
C:\WINDOWS\system32\drivers\mmc.sys : aucune attache
C:\WINDOWS\eqiso24.exe : aucune attache
C:\WINDOWS\system32\mssapi.dll : aucune attache
C:\WINDOWS\lmdm_setup_2.1_101.exe : aucune attache
C:\WINDOWS\ef26ev.dll : aucune attache
à la fermeture de la fenêtre explorer, explorer a planté, puis redémarré de suite.
hijackthis:
les deux lignes sont là, je les efface, au scan suivant elles persistent
AVG Antispyware:
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 16:55:16 17/12/2006
+ Résultat de l'analyse:
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP495\A0150904.SYS -> Adware.BDSearch : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP495\A0150902.sys -> Adware.Ncast : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP495\A0150903.exe -> Adware.Ncast : Nettoyé et sauvegardé (mise en quarantaine).
P:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP495\A0150905.EXE -> Adware.VB : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP495\A0150901.exe -> Dropper.Agent.axt : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.19:C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\6bbn7lcr.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
Fin du rapport
Pour info, CleanUp s'est déplacé ici: http://www.stevengould.org/software/cleanup/download.html
(en mode démo il efface 300Mo, et en réalité seulement 80... étrange?)
CleanUp! started on 12/17/06 17:02:45.
...
C:\Documents and Settings\HP_Propriétaire\Recent\ (...)
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\2.tmp.df! - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\3.tmp.df! - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\4.tmp.df! - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\5.tmp.df! - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\7.tmp.df! - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\ACD14.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\B.tmp.df! - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\C.tmp.df! - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\DfUpd.exe - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\E.tmp.df! - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\E733ED.dmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\mpegc.dll - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\mpegm.dll - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\mpegs.dll - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\Perflib_Perfdata_a8.dat currently in use. Will be deleted when Windows is restarted.
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\tpnet.dat - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\TWAIN.LOG - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\Twain001.Mtx - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\_iu14D2N.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DF1168.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DF1E81.tmp currently in use. Will be deleted when Windows is restarted.
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DF2242.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DF248B.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DF280C.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DF38E0.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DF513B.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DF53A0.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DF59B3.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DF62AC.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DFBAC2.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DFCEAF.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DFEE.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DFFCDA.tmp - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\e4j8.tmp_dir31464\exe4jlib.jar currently in use. Will be deleted when Windows is restarted.
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\hsperfdata_HP_Propriétaire\952 currently in use. Will be deleted when Windows is restarted.
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\tb_temp\xpcom.ns\bin\js3250.dll - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\tb_temp\xpcom.ns\bin\nspr4.dll - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\tb_temp\xpcom.ns\bin\plc4.dll - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\tb_temp\xpcom.ns\bin\plds4.dll - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\tb_temp\xpcom.ns\bin\xpcom_compat.dll - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\tb_temp\xpcom.ns\bin\xpcom_core.dll - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\tb_temp\xpcom.ns\bin\components\jar50.dll - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\tb_temp\xpcom.ns\bin\components\jsd3250.dll - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\tb_temp\xpcom.ns\bin\components\xpinstal.dll - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\tb_temp\xpcom.ns\bin\components\ - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\tb_temp\xpcom.ns\bin\ - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\tb_temp\xpcom.ns\ - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\tb_temp\ - deleted
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\Perflib_Perfdata_a8.dat currently in use. Will be deleted when Windows is restarted.
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\~DF1E81.tmp currently in use. Will be deleted when Windows is restarted.
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\e4j8.tmp_dir31464\exe4jlib.jar currently in use. Will be deleted when Windows is restarted.
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\hsperfdata_HP_Propriétaire\952 currently in use. Will be deleted when Windows is restarted.
C:\WINDOWS\system.tmp - deleted
C:\WINDOWS\win.tmp - deleted
C:\WINDOWS\temp\MpCmdRun.log - deleted
C:\WINDOWS\temp\MpSigStub.log - deleted
C:\WINDOWS\temp\Perflib_Perfdata_430.dat currently in use. Will be deleted when Windows is restarted.
C:\WINDOWS\temp\Perflib_Perfdata_66c.dat - deleted
C:\WINDOWS\temp\Perflib_Perfdata_680.dat - deleted
C:\WINDOWS\temp\Perflib_Perfdata_684.dat - deleted
C:\WINDOWS\temp\Perflib_Perfdata_69c.dat - deleted
C:\WINDOWS\temp\Perflib_Perfdata_6a0.dat - deleted
C:\WINDOWS\temp\Perflib_Perfdata_6a4.dat - deleted
C:\WINDOWS\temp\WGAErrLog.txt - deleted
C:\WINDOWS\temp\WGANotify.settings - deleted
C:\WINDOWS\temp\_avast4_\Webshlock.txt currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\NetworkService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\NetworkService\locals~1\tempor~1\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\NetworkService\locals~1\tempor~1\Content.IE5\2X7C3XKS\ver0[1].htm - deleted
C:\Documents and Settings\NetworkService\locals~1\tempor~1\Content.IE5\KHQM2VZ7\list[1].txt - deleted
C:\Documents and Settings\NetworkService\locals~1\tempor~1\Content.IE5\KLAZCP2R\1107UD[1].exe - deleted
C:\Documents and Settings\NetworkService\locals~1\tempor~1\Content.IE5\RBCJRCUL\20061207[1].exe - deleted
C:\Documents and Settings\NetworkService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\NetworkService\Local Settings\Temp\MpCmdRun-5E-421CFC91-A93E-42AB-A35C-F06F127FCC44.lock - deleted
C:\Documents and Settings\NetworkService\Local Settings\Temp\MpCmdRun.log - deleted
C:\Documents and Settings\NetworkService\Local Settings\Temp\Cookies\index.dat - deleted
C:\Documents and Settings\NetworkService\Local Settings\Temp\Cookies\ - deleted
C:\Documents and Settings\NetworkService\Local Settings\Temp\Historique\History.IE5\index.dat - deleted
C:\Documents and Settings\NetworkService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat - deleted
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\LocalService\Cookies\index.dat - deleted
C:\Documents and Settings\LocalService\locals~1\tempor~1\Content.IE5\index.dat - deleted
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\HP_Propriétaire\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\HP_Propriétaire\locals~1\tempor~1\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\HP_Propriétaire\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\Perflib_Perfdata_a8.dat currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\~DF1E81.tmp currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\e4j8.tmp_dir31464\exe4jlib.jar currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\hsperfdata_HP_Propriétaire\952 currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Documents and Settings\Default User\Cookies\index.dat - deleted
C:\Documents and Settings\Administrateur\Cookies\index.dat - deleted
C:\Documents and Settings\Administrateur\locals~1\tempor~1\Content.IE5\index.dat - deleted
C:\Documents and Settings\Administrateur\locals~1\tempor~1\Content.IE5\ - deleted
C:\Documents and Settings\Administrateur\Local Settings\Temp\tpnet.dat - deleted
C:\WINDOWS\Prefetch\ (...)
Emptied Recycle Bin on drive P:
'Run MRU' list - removed from the registry.
Search Assistant MRU list - removed from the registry.
Explorer Open/Save MRU list - removed from the registry.
Explorer Last Visited MRU list - removed from the registry.
Paint Recent File List - removed from the registry.
WordPad Recent File List - removed from the registry.
Telnet's MRU list - removed from the registry.
CleanUp! 4.5.2 recovered 86.9 MB of disk space from 2139 files.
CleanUp! finished on 12/17/06 17:03:00.
L'ordi n'a pas à proprement parler "rebooté", il a fermé ma session et proposé de la rouvrir. Toujours est-il que je n'ai aps vu un seul des panneaux d'erreur habituels. Je rebooterai complètement plus tard pour voir...
après reboot, nouveau hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 17:13:54, on 17/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Startup Mechanic\StartupMonitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe
C:\WINDOWS\system32\ctfmon.exe
P:\download\s\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =http://messenger.msn.com/flash/?mkt=fr-fr&version=7,0,60,0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\UserData\IEHelper_5001.dll (file missing)
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Startup Manager Scanner] C:\Program Files\Startup Mechanic\StartupMonitor.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [TVAgent WiFi] C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] P:\download\s\HijackThis.exe /startupscan
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) -http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156107278890
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) -https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WebSecurity - {3DD78ACF-0745-4532-94F8-A574457E1A81} - C:\WINDOWS\system32\PvSec.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
>> les deux lignes persistent
diagnostic docteur?
_________________
Le SMS mange le cerveau des petits enfants (c pour sa kil sav pu écrir) |
|
| Revenir en haut de page |
|
|
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6850
Localisation: Toulon
|
| Posté le: 17 Déc 2006 17:55 Sujet du message: |
|
|
Il y a 2 versions de Cleanup!. Une gratuite et l'autre payante.
Le lien que je t'ai donné télécharge la gratuite. Chez moi, il marche. 
Il marche pas chez toi?
Crée un nouveau point de restauration système.
Retourne dans le registre et sauvegarde le.
Navigue jusqu'à la clé:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Clique sur Browser Helper Objects.
Dans les clés en dessous, recherche la clé {16B770A0-0E87-4278-B748-2460D64A8386}
Clique droit dessus et choisis Supprimer
Si tu as un message d'erreur note le exactement et donne le moi.
Est ce que tu as exclu explorer.exe de la prévention d'execution de données comme je t'ai indiqué dans mon 1er post?
| Citation: | | C:\WINDOWS\system32\PvSec.dll : attaché à explorer.exe ... à la suppression: prévention de l'exécution des données sur rundll32.exe |
HijackThis tope le fichier en File Missing. Apparemment, il a été viré.
_________________
|
|
| Revenir en haut de page |
|
|
PaulTergeist
Forumeur débutant
Inscrit le: 11 Déc 2006
Messages: 38
|
| Posté le: 17 Déc 2006 18:22 Sujet du message: |
|
|
J'ai trouvé la clé, mais pas dans HKLM... Toutes mes références de registre commencent par HKEY.
message d'erreur: "suppression de {num} impossible: erreur lors de la suppression de la clé"
Pour cleanup, le site était juste indisponible au moment où je le cherchais, j'en ai eu une autre version très bien aussi.
Pour ino, mon registre se présente comme ça:
Pour la prévention d'exécution, vois par toi-même... je crois que c'est ça que tu m'as demandé:
_________________
Le SMS mange le cerveau des petits enfants (c pour sa kil sav pu écrir) |
|
| Revenir en haut de page |
|
|
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6850
Localisation: Toulon
|
| Posté le: 17 Déc 2006 18:28 Sujet du message: |
|
|
OK! 
Reboote le PC et tente de nouveau de cocher les lignes 02 et 21 que je t'ai indiquées dans mon précédent post.
_________________
|
|
| Revenir en haut de page |
|
|
PaulTergeist
Forumeur débutant
Inscrit le: 11 Déc 2006
Messages: 38
|
| Posté le: 17 Déc 2006 20:11 Sujet du message: enfin !!! |
|
|
la ligne 021 a disparu, mais pas la 02
par contre j'ai plus un seul panneau d'erreur au démarrage, juste le son "boing" (son grave) qui correspond je crois à certains panneaux d'erreur. Mais là, pas de panneau...
Merci beaucoup!!
_________________
Le SMS mange le cerveau des petits enfants (c pour sa kil sav pu écrir) |
|
| Revenir en haut de page |
|
|
PaulTergeist
Forumeur débutant
Inscrit le: 11 Déc 2006
Messages: 38
|
| Posté le: 17 Déc 2006 20:18 Sujet du message: |
|
|
euh...
je viens d'avoir à l'instant Avast et AVG qui s'excitent pour 3 dll différentes porteuses de malware ou de Troy... je les ai mis en quarantaine, mais avant de faire quoi que ce soit j'avais 3 panneaux comme au démarrage sur les lecteurs introuvablee...
Il reste un fichier mère quelque part...
vu par avg:
c:\windows\temp\MsUpd.exe infecté par Rootkit.Agent.cq
vu par avast:
SYSTEM 1632 Sign of "Win32:Agent-DSF [Trj]" has been found in "C:\WINDOWS\system32\drivers\hdfs.sys" file.
SYSTEM 1632 Sign of "Win32:Agent-DSG [Trj]" has been found in "C:\WINDOWS\TEMP\reporter.dll" file.
_________________
Le SMS mange le cerveau des petits enfants (c pour sa kil sav pu écrir) |
|
| Revenir en haut de page |
|
|
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6850
Localisation: Toulon
|
| Posté le: 17 Déc 2006 21:22 Sujet du message: |
|
|
| Citation: | vu par avast:
SYSTEM 1632 Sign of "Win32:Agent-DSF [Trj]" has been found in "C:\WINDOWS\system32\drivers\hdfs.sys" file.
SYSTEM 1632 Sign of "Win32:Agent-DSG [Trj]" has been found in "C:\WINDOWS\TEMP\reporter.dll" file. |
Les fichiers se sont recréés au démarrage de la machine. 
On retrouve le driver hdfs.sys et le reporter.dll va certainement apparaitre dans une ligne 021 d'HijackThis. 
Poste un nouveau log ComboFix et un nouveau log HijackThis.
_________________
|
|
| Revenir en haut de page |
|
|
PaulTergeist
Forumeur débutant
Inscrit le: 11 Déc 2006
Messages: 38
|
| Posté le: 17 Déc 2006 22:35 Sujet du message: |
|
|
J'ai lu en diagonale le rapport ComboFix, mais une grosse partie des fichiers supprimés sont revenus... Tant que je saurais pas d'où ils sortent ça va être coton...
Combofix:
HP_Propri‚taire - 06-12-17 22:25:32,64 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Documents and Settings\HP_Propri‚taire\Bureau"
((((((((((((((((((((((((((((((( Files Created from 2006-11-17 to 2006-12-17 ))))))))))))))))))))))))))))))))))
2006-12-17 20:16 29,696 --a------ C:\WINDOWS\system32\wmpkn.dll
2006-12-17 16:59 <REP> d-------- C:\Program Files\CleanUp!
2006-12-17 14:59 <REP> d-------- C:\Program Files\Unlocker
2006-12-12 19:49 <REP> d-------- C:\Documents and Settings\HP_Propri‚taire\Application Data\Talkback
2006-12-12 15:11 <REP> d-------- C:\Hijack
2006-12-12 15:09 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-12-12 15:09 <REP> d-------- C:\Program Files\Grisoft
2006-12-11 21:33 <REP> d-------- C:\Program Files\HardwareDetection
2006-12-10 17:27 <REP> d-------- C:\WINDOWS\SxsCaPendDel
2006-12-10 15:41 <REP> d-------- C:\Program Files\xp-AntiSpy
2006-12-10 13:31 <REP> d-------- C:\Program Files\Windows Defender
2006-12-10 11:11 <REP> d-------- C:\WINDOWS\WBEM
2006-12-10 11:10 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2006-12-09 09:52 <REP> d-------- C:\Program Files\MioNet
2006-12-09 09:30 <REP> d-------- C:\Config.Msi
2006-12-09 00:50 <REP> d-------- C:\Program Files\Philips
2006-12-06 19:19 <REP> d-------- C:\WINDOWS\system32\fr-fr
2006-12-06 19:18 <REP> d--h-c--- C:\WINDOWS\ie7
2006-12-06 19:17 121,856 --------- C:\WINDOWS\system32\xmllite.dll
2006-12-06 19:17 <REP> d-------- C:\WINDOWS\network diagnostic
2006-12-03 18:26 <REP> d-------- C:\Program Files\LucasFan Games
2006-12-03 15:35 <REP> d-------- C:\Program Files\SadMan Software
2006-12-02 17:14 <REP> d-------- C:\WINDOWS\uninstall
2006-12-02 10:03 <REP> d-------- C:\Program Files\Virtools Web Player 3.5
2006-12-02 00:42 13,312 --a------ C:\WINDOWS\system32\wmspi.exe
2006-11-29 00:04 10,752 --a------ C:\WINDOWS\system32\filter.dll
2006-11-28 10:07 8,477 --a------ C:\WINDOWS\system32\drivers\amdk5.sys
2006-11-28 07:41 20,595 --a------ C:\WINDOWS\system32\uninst.exe
2006-11-25 19:47 <REP> d-------- C:\Documents and Settings\HP_Propri‚taire\Contacts
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-12-17 22:27 -------- d-------- C:\Documents and Settings\HP_Propri‚taire\Application Data\Azureus
2006-12-17 22:23 -------- d-------- C:\Program Files\Mozilla Firefox
2006-12-17 20:04 -------- d-------- C:\Documents and Settings\HP_Propri‚taire\Application Data\Free Download Manager
2006-12-17 18:09 -------- d-------- C:\Program Files\Mozilla Thunderbird
2006-12-17 14:52 -------- d-------- C:\Program Files\Messenger
2006-12-16 03:01 -------- d-------- C:\Program Files\Outlook Express
2006-12-16 03:01 -------- d-------- C:\Program Files\Fichiers communs\System
2006-12-14 09:18 -------- d-------- C:\Documents and Settings\HP_Propri‚taire\Application Data\AdobeUM
2006-12-14 07:34 -------- d-------- C:\Documents and Settings\HP_Propri‚taire\Application Data\Adobe
2006-12-10 17:38 -------- d-------- C:\Program Files\Fichiers communs
2006-12-10 14:57 -------- d-------- C:\Program Files\Google
2006-12-10 13:03 -------- d-------- C:\Program Files\Internet Explorer
2006-12-10 11:10 -------- d-------- C:\Program Files\Hitman Pro
2006-12-09 00:49 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-25 19:29 -------- d-------- C:\Program Files\SpywareBlaster
2006-11-08 06:07 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-06 07:19 -------- d-------- C:\Program Files\QuickTime
2006-11-05 19:16 -------- d-------- C:\Program Files\EasyPHP1-8
2006-11-05 16:13 -------- d-------- C:\Program Files\Notepad++
2006-11-05 15:44 -------- d-------- C:\Program Files\WinRAR
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-04 11:47 -------- d-------- C:\Documents and Settings\HP_Propri‚taire\Application Data\Notepad++
2006-11-04 09:17 -------- d-------- C:\Documents and Settings\HP_Propri‚taire\Application Data\Macromedia
2006-11-02 07:38 152064 --a--c--- C:\WINDOWS\system32\lmoufrc.dll
2006-10-17 12:05 206336 --------- C:\WINDOWS\system32\WinFXDocObj.exe
2006-10-17 11:58 61952 --------- C:\WINDOWS\system32\icardie.dll
2006-10-17 11:58 12288 --------- C:\WINDOWS\system32\msfeedssync.exe
2006-10-17 11:57 266752 --------- C:\WINDOWS\system32\iertutil.dll
2006-10-17 11:27 380928 --------- C:\WINDOWS\system32\ieapfltr.dll
2006-10-17 07:20 -------- d-------- C:\Program Files\ffdshow
2006-10-13 18:49 10752 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-10-13 13:36 145920 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-09-25 16:45 666240 --a------ C:\WINDOWS\system32\aswBoot.exe
2006-09-25 16:37 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
"SuperCopier2.exe"="C:\\Program Files\\SuperCopier2\\SuperCopier2.exe"
"TVAgent WiFi"="C:\\Program Files\\Alice_Triway_WiFi\\Wizard\\Agent_WiFi.exe"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"HijackThis startup scan"="P:\\download\\s\\HijackThis.exe /startupscan"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Recguard"="C:\\WINDOWS\\SMINST\\RECGUARD.EXE"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"KBD"="C:\\HP\\KBD\\KBD.EXE"
"Startup Manager Scanner"="C:\\Program Files\\Startup Mechanic\\StartupMonitor.exe"
"Windows Defender"="\"C:\\Program Files\\Windows Defender\\MSASCui.exe\" -hide"
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,aa,00,00,00,00,00,00,00,56,04,00,00,c6,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,55,00,00,00,00,00,00,00,ab,04,00,00,c6,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,55,00,00,00,00,00,00,00,ab,04,00,00,c6,03,\
00,00,01,00,00,00
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
"{78BF3960-61F0-4F4E-825D-3554FA61E847}"="Windows Media Player ºËÐÄÔ¤¼ÓÔسÌÐò"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{097F10A7-487F-4457-AB1F-827C59479A72}"="NSIS Media Extension"
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"
"{B876D045-E0B1-4E79-9359-0B1BF00813EA}"="Media Filter"
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ForceActiveDesktopOn"=dword:00000000
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"GhostStartService"=dword:00000002
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\amdk5
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\hdfs
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\LanPort
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\parcls
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\MP Scheduled Scan.job
C:\WINDOWS\tasks\Spybot - Search & Destroy - Scheduled Task.job
C:\WINDOWS\tasks\Symantec NetDetect.job
Completion time: 06-12-17 22:28:19.48
C:\ComboFix.txt ... 06-12-17 22:28
C:\ComboFix2.txt ... 06-12-12 19:12
 Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 22:34:08, on 17/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Startup Mechanic\StartupMonitor.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Azureus\Azureus.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Hijack\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =http://messenger.msn.com/flash/?mkt=fr-fr&version=7,0,60,0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\UserData\IEHelper_5001.dll (file missing)
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Startup Manager Scanner] C:\Program Files\Startup Mechanic\StartupMonitor.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [TVAgent WiFi] C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] P:\download\s\HijackThis.exe /startupscan
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) -http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156107278890
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) -https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
 au moins, pas de ligne 021...
_________________
Le SMS mange le cerveau des petits enfants (c pour sa kil sav pu écrir) |
|
| Revenir en haut de page |
|
|
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6850
Localisation: Toulon
|
| Posté le: 18 Déc 2006 17:00 Sujet du message: |
|
|
| Citation: | | au moins, pas de ligne 021... |
Pourvu que ça dure!
Alors... On continue notre recherche du fichier mère.
Tu vas désinstaller AVG Anti-spyware et Spyware Sweeper par Ajout/Suppression de programmes.
Tu supprimes le Combofix que je t'ai fait télécharger (et éventuellement les autres versions que tu as pu utiliser avant de venir sur Micro-Astuce). C'est très important pour qu'on ne s'emmêle pas les pinceaux avec une autre version que je vais te faire télécharger.
Une fois qu'il n'y a plus aucune trace de ComboFix sur ton PC, tu télécharges la nouvelle version à partir de cette adresse: http://download.bleepingcomputer.com/sUBs/zh/BetaB/combofix.exe
Tu la mets sur ton bureau et pas ailleurs.
Télécharge la version d'évaluation de Kaspersky. http://www.kaspersky.com/fr/trials?chapter=186498689
Une fois fait, installe Kaspersky Trial comme indiqué ici: http://www.malekal.com/tutorial_Kaspersky_trial.html
(Suis bien le tuto surtout la partie Installation personnalisée, Désactivation Composants de la protection en cochant Le composant sera inaccessible).
Télécharge gmer : http://www.gmer.net/gmer.zip
Déconnecte toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
A droite, coche Process, Services, Libraries, Files et Registry
Clic sur Scan
Lorsque le scan est terminé, clic sur "copy"
Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu dans ta prochaine réponse.
Tu redémarres en mode sans échec avec prise en charge réseau puisque le MSE normal ne fonctionne pas.
Fais Démarrer puis executer et copie/colle ceci :
"%userprofile%\Bureau\combofix.exe" /wow
puis clique sur OK.
Tu réponds Y à la première question et tu le laisses mouliner sans cliquer dans la fenêtre.
Une fois le rapport ComboFix généré, poste le dans ta prochaine réponse.
Démarre Kaspersky à partir du Menu Démarrer / Tous les programmes / Kaspersky Anti-virus
- Une icone avec un K grisé va apparaître en bas à droite à côté de l'horloge
- Fais un clic droit sur cette icône puis "Analyser le Poste de travail"
- Le scan de l'ordinateur va démarrer
- Une fois le scan terminé, supprime tous les malwares détectés
- Créé un rapport à partir du bouton Enregistrer-sous en bas de la fenêtre, enregistre le fichier sous le nom Kaspersky.txt sur ton bureau.
Tu dois donc copier-coller dans ta prochaine réponse
- Le log ComboFix
- Le rapport Gmer
- Le rapport Kaspersky
- et un nouveau log HijackThis
[Edit] Ne prends aucune initiative avec Gmer. Laisse le faire son scan, copie le rapport et c'est tout.
_________________
|
|
| Revenir en haut de page |
|
|
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6850
Localisation: Toulon
|
| Posté le: 18 Déc 2006 21:36 Sujet du message: |
|
|
Le site de Gmer n'est pas accessible pour le moment.
Tu peux télécharger Gmer.zip à partir d'ici: http://www.majorgeeks.com/GMER_d5198.html
Ne choisis pas le 1er lien Author's Site, c'est celui qui ne fonctionne pas. 
(Ferme tous les programmes en cours avant de lancer le scan).
_________________
|
|
| Revenir en haut de page |
|
|
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6850
Localisation: Toulon
|
| Posté le: 18 Déc 2006 22:09 Sujet du message: |
|
|
Pour Gmer, tu coches uniquement Files, Services, Modules.
Le scan sera plus court et le rapport plus lisible.
_________________
|
|
| Revenir en haut de page |
|
|
|
|
