|
| LeNath |  Posté le 29/08/2008 @ 00:18 |
Petit astucien
267 Messages
| Salut chers astuciens,
Je viens de réaliser avec grande stupeur que des processus inconnus tournent sur ma machine - et celà malgré toutes les précautions d'usages habituelles.
Je ne sais vraiment pas d'où ils viennent et comment ils ont été installés! Même si j'ai à l'époque fortement contribué au Forum et spécialement avec un tutoriel HijackThis que j'ai traduit, mon manque de pratique m'a fait perdre la main.
Voici donc mon log HijackThis. J'apprécierais vivement votre opinion sur ces processus "Unknown owner" dont les noms sont vraiment suspects: noxtcyr.exe, roxtctm.exe etc.
Que me conseillez vous quant à la démarche à suivre pour m'en débarasser?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:09:45, on 29/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Program Files\Launchy\Launchy.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Update Helper - {25D596E9-BD03-4D4A-8310-5DF3B31E8D26} - C:\Program Files\Google\Update\1.2.121.17\GoopdateBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.4.15.0\gears.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe (User 'Default user')
O4 - .DEFAULT Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O4 - Global Startup: Launchy.lnk = C:\Program Files\Launchy\Launchy.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.4.15.0\gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.4.15.0\gears.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: Skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AFinding Service (AFinding) - Unknown owner - C:\WINDOWS\system32\afinding.exe
O23 - Service: afisicx Event propagation service (afisicx) - Unknown owner - C:\WINDOWS\system32\afisicx.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c8b392296dd060) (gupdate1c8b392296dd060) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\ISO Recorder\ImapiHelper.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: noxtcyr Portable Media Serial Service (noxtcyr) - Unknown owner - C:\WINDOWS\system32\noxtcyr.exe
O23 - Service: Routing Service (Routing) - Unknown owner - C:\WINDOWS\system32\routing.exe
O23 - Service: roxtctm Manages messages (roxtctm) - Unknown owner - C:\WINDOWS\system32\roxtctm.exe
O23 - Service: sotpeca Corporation (sotpeca) - Unknown owner - C:\WINDOWS\system32\sotpeca.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: wsldoekd Event propagation service (wsldoekd) - Unknown owner - C:\WINDOWS\system32\wsldoekd.exe
--
End of file - 9198 bytes
Merci encore pour votre aide!
Nathan.
|
| |
| |
| Publicité |
|
|
| Fill | Posté le 29/08/2008 à 00:32 |
 Groupe Sécurité
11515 Messages
| Salut,
- Télécharge OTScanIt de Old_Timer sur ton Bureau,
- Désactive temporairement ton antivirus (pas le pare-feu).
- Fais un double-clic sur l'archive pour dézipper le dossier sur ton Bureau,
- Ceci crée un dossier OTScanIt sur ton Bureau,
- !! Tu dois avoir ouvert un compte disposant de droits administrateurs pour exécuter le programme !!
- Ferme tous les autres programmes à l'exception du navigateur,
- Ouvre le dossier OTScanIt et fais un double-clic sur le fichier OTScanIt.exe (si tu es sous Vista, fais un clic droit sur OTScanIt.exe et choisis d'exécuter en tant qu'administrateur),
- Dans la section Drivers, clique sur Non-Microsoft,
- Dans la section Rootkit Searchs, choisis Yes.
- Sous Additional Scans, coche la case située devant les éléments suivants pour les sélectionner :
- Reg - BotCheck,
- File - Additionnal Folder Scan
- Ne modifie aucun autre paramètre,
- Ensuite, clique sur le bouton Run Scan dans la barre d'outils,
- Laisse le programme tourner sans intervenir,
- Lorsque l'analyse est terminée, le bloc-note va s'ouvrir avec le rapport d'analyse.
- Cliquer sur le menu Format et vérifier que Retour automatique à la ligne n'est pas coché.
- Edite le rapport, en plusieurs si nécessaire si un message d'erreur apparait dans ta prochaine réponse quand tu veux le coller sur le forum.
- Vérifie que la 1ère ligne et la dernière ligne du rapport édité est [code]
- Réactive l'antivirus.
- Envoie-moi aussi ce rapport ici : syftwrcx@trashmail.net
Fill |
| |
|
| Fill | Posté le 29/08/2008 à 10:36 |
Groupe Sécurité
11515 Messages
| Bonjour,
1/
- Désactive temporairement ton antivirus (mais pas le pare-feu),
- Ouvre OTScanIt.exe dans le dossier OTScanIt sur le Bureau (pour Vista : clic droit et exécuter en tant qu'administrateur),
- Fais un copier/coller des lignes suivantes dans la zone Paste fix here :
[Kill Explorer]
[Processes - Non-Microsoft Only]
YY -> afinding.exe -> %SystemRoot%\system32\afinding.exe
YY -> noxtcyr.exe -> %SystemRoot%\system32\noxtcyr.exe
YY -> routing.exe -> %SystemRoot%\system32\routing.exe
YY -> roxtctm.exe -> %SystemRoot%\system32\roxtctm.exe
YY -> sotpeca.exe -> %SystemRoot%\system32\sotpeca.exe
YY -> wsldoekd.exe -> %SystemRoot%\system32\wsldoekd.exe
YY -> xdufytw.sys -> %SystemRoot%\system32\xdufytw.sys
[Win32 Services - Non-Microsoft Only]
YY -> (AFinding) AFinding Service [Win32_Own | Auto | Running] -> %SystemRoot%\system32\afinding.exe
YY -> (afisicx) afisicx Event propagation service [Win32_Own | Auto | Running] -> %SystemRoot%\system32\afisicx.exe
YY -> (macidwe) macidwe [Win32_Own | Disabled | Stopped] -> %SystemRoot%\system32\macidwe.exe
YY -> (NOBICYT) NOBICYT [Win32_Own | Disabled | Stopped] -> %SystemRoot%\system32\Nobicyt.exe
YY -> (noxtcyr) noxtcyr Portable Media Serial Service [Win32_Own | Auto | Running] -> %SystemRoot%\system32\noxtcyr.exe
YY -> (perfmons) perfmons [Win32_Own | Disabled | Stopped] -> %SystemRoot%\system32\perfs.exe
YY -> (Routing) Routing Service [Win32_Own | Auto | Running] -> %SystemRoot%\system32\routing.exe
YY -> (roxtctm) roxtctm Manages messages [Win32_Own | Auto | Running] -> %SystemRoot%\system32\roxtctm.exe
YY -> (sobicyt) sobicyt [Win32_Own | Disabled | Stopped] -> %SystemRoot%\system32\sobicyt.exe
YY -> (sotpeca) sotpeca Corporation [Win32_Own | Auto | Running] -> %SystemRoot%\system32\sotpeca.exe
YY -> (tdxdowkc) tdxdowkc [Win32_Own | Disabled | Stopped] -> %SystemRoot%\system32\tdxdowkc.exe
YY -> (WServing) WServing [Win32_Own | Disabled | Stopped] -> %SystemRoot%\system32\WServing.exe
YY -> (wsldoekd) wsldoekd Event propagation service [Win32_Own | Auto | Running] -> %SystemRoot%\system32\wsldoekd.exe
[Empty Temp Folders]
[Start Explorer]
[Reboot]
- Clique sur le bouton Run fix.
- L'exécution devrait être rapide. Lorsque la correction est terminée, un message indiquant que c'est fini (finished) devrait apparaître. Il est possible que l'on te demande de redémarrer le pc pour finaliser la correction si certains éléments n'ont pu être corrigés précédemment. Fais-le afin de finaliser la correction dans ce cas-là, en cliquant sur Yes.
- Le bloc-note s'ouvre. Copie/colle son contenu dans ta prochaine réponse.
- N'oublie pas de préciser tout problème rencontré ou tout problème persistant sur ton pc.
- Réactive l'antivirus.
2/ Edite aussi un rapport HijackThis avec le rapport précédent.
Fill |
| |
|
| LeNath | Posté le 29/08/2008 à 11:12 |
Petit astucien
267 Messages
| Bonjour,
J'ai suivi les instructions à la ligne. Quelques informations:
* Lors du scan, OSTScanIt s'est bloqué lors de l'opération reboot
* ActiveDesktop ne fonctionne plus (Message de restauration d'ActiveDesktop affiché) et cliquer sur "Restaurer ActiveDesktop" affiche un méssage d'érreur. Je m'occupe de ca...
Rapport HijackThis après le fix de OSTScanIT. Celui-ci semble indiquer que le fix appliqué par OSTScanIt a fonctionné. Je suppose que la prochaine étape est de supprimer les entrées où les fichiers sont manquant ("file missing").
Merci,
Nathan.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:08:51, on 29/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\afisicx.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Program Files\Launchy\Launchy.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Update Helper - {25D596E9-BD03-4D4A-8310-5DF3B31E8D26} - C:\Program Files\Google\Update\1.2.121.17\GoopdateBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.4.15.0\gears.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe (User 'Default user')
O4 - .DEFAULT Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O4 - Global Startup: Launchy.lnk = C:\Program Files\Launchy\Launchy.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.4.15.0\gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.4.15.0\gears.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: Skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: afisicx Event propagation service (afisicx) - Unknown owner - C:\WINDOWS\system32\afisicx.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c8b392296dd060) (gupdate1c8b392296dd060) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\ISO Recorder\ImapiHelper.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: noxtcyr Portable Media Serial Service (noxtcyr) - Unknown owner - C:\WINDOWS\system32\noxtcyr.exe (file missing)
O23 - Service: Routing Service (Routing) - Unknown owner - C:\WINDOWS\system32\routing.exe (file missing)
O23 - Service: roxtctm Manages messages (roxtctm) - Unknown owner - C:\WINDOWS\system32\roxtctm.exe (file missing)
O23 - Service: sotpeca Corporation (sotpeca) - Unknown owner - C:\WINDOWS\system32\sotpeca.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: wsldoekd Event propagation service (wsldoekd) - Unknown owner - C:\WINDOWS\system32\wsldoekd.exe (file missing)
--
End of file - 8972 bytes
|
| |
|
| Fill | Posté le 29/08/2008 à 12:15 |
Groupe Sécurité
11515 Messages
| Re,
Peux-tu éditer le rapport OTScanIt ?
Fill |
| |
|
| LeNath | Posté le 29/08/2008 à 12:25 |
Petit astucien
267 Messages
| |
| |
|
| Fill | Posté le 29/08/2008 à 12:31 |
Groupe Sécurité
11515 Messages
| |
| |
|
| LeNath | Posté le 29/08/2008 à 12:37 |
Petit astucien
267 Messages
| Pas de rapport généré... J'ai mentioné dans mon 2nd post que le programme plante avant que le message de fin n'apparaisse. :-/ |
| |
|
| Fill | Posté le 29/08/2008 à 14:20 |
Groupe Sécurité
11515 Messages
| |
| |
|
| LeNath | Posté le 29/08/2008 à 14:39 |
Petit astucien
267 Messages
| |
| |
|
| Fill | Posté le 29/08/2008 à 15:20 |
Groupe Sécurité
11515 Messages
| Re,
Ce n'est pas ce que je veux. Je souhaite le rapport généré par le fix :
Le bloc-note s'ouvre. Copie/colle son contenu dans ta prochaine réponse.
- Désactive temporairement ton antivirus (mais pas le pare-feu),
- Ouvre OTScanIt.exe dans le dossier OTScanIt sur le Bureau (pour Vista : clic droit et exécuter en tant qu'administrateur),
- Fais un copier/coller des lignes suivantes dans la zone Paste fix here :
[Kill Explorer]
[Processes - Non-Microsoft Only]
YY -> afinding.exe -> %SystemRoot%\system32\afinding.exe
YY -> noxtcyr.exe -> %SystemRoot%\system32\noxtcyr.exe
YY -> routing.exe -> %SystemRoot%\system32\routing.exe
YY -> roxtctm.exe -> %SystemRoot%\system32\roxtctm.exe
YY -> sotpeca.exe -> %SystemRoot%\system32\sotpeca.exe
YY -> wsldoekd.exe -> %SystemRoot%\system32\wsldoekd.exe
YY -> xdufytw.sys -> %SystemRoot%\system32\xdufytw.sys
[Win32 Services - Non-Microsoft Only]
YY -> (AFinding) AFinding Service [Win32_Own | Auto | Running] -> %SystemRoot%\system32\afinding.exe
YY -> (afisicx) afisicx Event propagation service [Win32_Own | Auto | Running] -> %SystemRoot%\system32\afisicx.exe
YY -> (macidwe) macidwe [Win32_Own | Disabled | Stopped] -> %SystemRoot%\system32\macidwe.exe
YY -> (NOBICYT) NOBICYT [Win32_Own | Disabled | Stopped] -> %SystemRoot%\system32\Nobicyt.exe
YY -> (noxtcyr) noxtcyr Portable Media Serial Service [Win32_Own | Auto | Running] -> %SystemRoot%\system32\noxtcyr.exe
YY -> (perfmons) perfmons [Win32_Own | Disabled | Stopped] -> %SystemRoot%\system32\perfs.exe
YY -> (Routing) Routing Service [Win32_Own | Auto | Running] -> %SystemRoot%\system32\routing.exe
YY -> (roxtctm) roxtctm Manages messages [Win32_Own | Auto | Running] -> %SystemRoot%\system32\roxtctm.exe
YY -> (sobicyt) sobicyt [Win32_Own | Disabled | Stopped] -> %SystemRoot%\system32\sobicyt.exe
YY -> (sotpeca) sotpeca Corporation [Win32_Own | Auto | Running] -> %SystemRoot%\system32\sotpeca.exe
YY -> (tdxdowkc) tdxdowkc [Win32_Own | Disabled | Stopped] -> %SystemRoot%\system32\tdxdowkc.exe
YY -> (WServing) WServing [Win32_Own | Disabled | Stopped] -> %SystemRoot%\system32\WServing.exe
YY -> (wsldoekd) wsldoekd Event propagation service [Win32_Own | Auto | Running] -> %SystemRoot%\system32\wsldoekd.exe
[Empty Temp Folders]
[Start Explorer]
[Reboot]
- Clique sur le bouton Run fix.
- L'exécution devrait être rapide. Lorsque la correction est terminée, un message indiquant que c'est fini (finished) devrait apparaître. Il est possible que l'on te demande de redémarrer le pc pour finaliser la correction si certains éléments n'ont pu être corrigés précédemment. Fais-le afin de finaliser la correction dans ce cas-là, en cliquant sur Yes.
- Le bloc-note s'ouvre. Copie/colle son contenu dans ta prochaine réponse.
- N'oublie pas de préciser tout problème rencontré ou tout problème persistant sur ton pc.
- Réactive l'antivirus.
Je m'absente.
|
| |
|
| LeNath | Posté le 29/08/2008 à 16:08 |
Petit astucien
267 Messages
| Le voici!
Juste pour info, la commande [Reboot] faisait planter OTScanIt avant que le log ne soit créé. J'ai donc lancer le fix sans la commande et ai ensuite redémarrer manuellement. Voilà le résultat:
Tout semble à nouveau okay.
Explorer killed successfully
[Processes - Non-Microsoft Only]
Unable to kill process afinding.exe .
File C:\WINDOWS\system32\afinding.exe not found.
Unable to kill process noxtcyr.exe .
File C:\WINDOWS\system32\noxtcyr.exe not found.
Unable to kill process routing.exe .
File C:\WINDOWS\system32\routing.exe not found.
Unable to kill process roxtctm.exe .
File C:\WINDOWS\system32\roxtctm.exe not found.
Unable to kill process sotpeca.exe .
File C:\WINDOWS\system32\sotpeca.exe not found.
Unable to kill process wsldoekd.exe .
File C:\WINDOWS\system32\wsldoekd.exe not found.
Unable to kill process xdufytw.sys .
File C:\WINDOWS\system32\xdufytw.sys not found.
[Win32 Services - Non-Microsoft Only]
Unable to stop service AFinding .
Unable to delete service AFinding .
File C:\WINDOWS\system32\afinding.exe not found.
Unable to stop service afisicx .
Service afisicx deleted successfully.
C:\WINDOWS\system32\afisicx.exe moved successfully.
Service macidwe stopped successfully.
Service macidwe deleted successfully.
C:\WINDOWS\system32\macidwe.exe moved successfully.
Service NOBICYT stopped successfully.
Service NOBICYT deleted successfully.
C:\WINDOWS\system32\Nobicyt.exe moved successfully.
Service noxtcyr stopped successfully.
Service noxtcyr deleted successfully.
File C:\WINDOWS\system32\noxtcyr.exe not found.
Service perfmons stopped successfully.
Service perfmons deleted successfully.
C:\WINDOWS\system32\perfs.exe moved successfully.
Service Routing stopped successfully.
Service Routing deleted successfully.
File C:\WINDOWS\system32\routing.exe not found.
Service roxtctm stopped successfully.
Service roxtctm deleted successfully.
File C:\WINDOWS\system32\roxtctm.exe not found.
Service sobicyt stopped successfully.
Service sobicyt deleted successfully.
C:\WINDOWS\system32\sobicyt.exe moved successfully.
Service sotpeca stopped successfully.
Service sotpeca deleted successfully.
File C:\WINDOWS\system32\sotpeca.exe not found.
Service tdxdowkc stopped successfully.
Service tdxdowkc deleted successfully.
C:\WINDOWS\system32\tdxdowkc.exe moved successfully.
Service WServing stopped successfully.
Service WServing deleted successfully.
C:\WINDOWS\system32\WServing.exe moved successfully.
Service wsldoekd stopped successfully.
Service wsldoekd deleted successfully.
File C:\WINDOWS\system32\wsldoekd.exe not found.
[Empty Temp Folders]
File delete failed. C:\Documents and Settings\Nathan Jamin\Local Settings\Temp\etilqs_ysnicVKzhkd53EQznc6f scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nathan Jamin\Local Settings\Temp\Perflib_Perfdata_be8.dat scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Google Gears for Firefox\www.google.com\http_80\GR-afeb72f7b7e5a000_managed[1]#localserver\3408723865-subscription-bundle-more-background[2729].gif scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Google Gears for Firefox\www.google.com\https_443\GR-afeb72f7b7e5a000_managed[2]#localserver\1900848991-tree-view-following-folder-closed[2786].gif scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Google Gears for Firefox\www.google.com\https_443\GR-afeb72f7b7e5a000_managed[2]#localserver\3408723865-subscription-bundle-more-background[2872].gif scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Google Gears for Firefox\localserver.db scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Google Gears for Firefox\permissions.db scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Opera cache emptied.
RecycleBin -> emptied.
Explorer started successfully
< End of fix log >
OTScanIt by OldTimer - Version 1.0.17.0 fix logfile created on 08292008_155055
Files moved on Reboot...
File C:\Documents and Settings\Nathan Jamin\Local Settings\Temp\etilqs_ysnicVKzhkd53EQznc6f not found!
File C:\Documents and Settings\Nathan Jamin\Local Settings\Temp\Perflib_Perfdata_be8.dat not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Google Gears for Firefox\www.google.com\http_80\GR-afeb72f7b7e5a000_managed[1]#localserver\3408723865-subscription-bundle-more-background[2729].gif not found!
File C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Google Gears for Firefox\www.google.com\https_443\GR-afeb72f7b7e5a000_managed[2]#localserver\1900848991-tree-view-following-folder-closed[2786].gif not found!
File C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Google Gears for Firefox\www.google.com\https_443\GR-afeb72f7b7e5a000_managed[2]#localserver\3408723865-subscription-bundle-more-background[2872].gif not found!
C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Google Gears for Firefox\localserver.db moved successfully.
C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Google Gears for Firefox\permissions.db moved successfully.
C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Nathan Jamin\Local Settings\Application Data\Mozilla\Firefox\Profiles\yw7ozoea.default\XUL.mfl moved successfully. |
| |
|
| Fill | Posté le 29/08/2008 à 17:38 |
Groupe Sécurité
11515 Messages
| Re,
OK. Peux-tu ré-éditer un rapport HijackThis ?
Fill |
| |
|
| Fill | Posté le 29/08/2008 à 23:28 |
Groupe Sécurité
11515 Messages
| |
| |
|
| LeNath | Posté le 31/08/2008 à 17:29 |
Petit astucien
267 Messages
| Voici le dernier rapport HijackThis.
Je suis en train de faire un scan avec Malwarebytes et Kaspersky Online, je poste les résultats dès qu'ils sont finis.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:27:24, on 31/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Program Files\Launchy\Launchy.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\program files\mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Update Helper - {77D7E795-33C5-4323-974D-A2A49AB75517} - C:\Program Files\Google\Update\1.2.131.11\GoopdateBho.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.4.15.0\gears.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe (User 'Default user')
O4 - .DEFAULT Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O4 - Global Startup: Launchy.lnk = C:\Program Files\Launchy\Launchy.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.4.15.0\gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.4.15.0\gears.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: Skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c8b392296dd060) (gupdate1c8b392296dd060) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\ISO Recorder\ImapiHelper.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 8320 bytes |
| |
|
| LeNath | Posté le 31/08/2008 à 18:35 |
Petit astucien
267 Messages
| Rapport Malwarebytes:
Malwarebytes' Anti-Malware 1.25
Database version: 1101
Windows 5.1.2600 Service Pack 3
18:34:30 31/08/2008
mbam-log-08-31-2008 (18-34-30).txt
Scan type: Full Scan (C:\|)
Objects scanned: 98697
Time elapsed: 58 minute(s), 52 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 8
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Folders Infected:
(No malicious items detected)
Files Infected:
C:\Program Files\Internet Explorer\Keygen.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\_OTScanIt\MovedFiles\08292008_155055\C_WINDOWS\system32\sobicyt.exe (Trojan.Refpron) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\comsa32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\atsxyzd.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\andt.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drmgs.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Indt2.sys (Rootkit.Agent) -> Quarantined and deleted successfully. |
| |
|
| Fill | Posté le 31/08/2008 à 21:41 |
Groupe Sécurité
11515 Messages
| Salut,
OTScanIt a bien travaillé mais malwarebyte's aussi ! Qu'as-tu fait pour avoir une telle épave ?
J'attends le rapport d'analyse et on creuse pour être sûr de ne rien oublier, compte-tenu des infections trouvées.
Fill |
| |
|
| LeNath | Posté le 31/08/2008 à 23:07 |
Petit astucien
267 Messages
| Effectivement une épave! Voici le rapport de Kaspersky:
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Sunday, August 31, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Sunday, August 31, 2008 20:16:31
Records in database: 1172181
--------------------------------------------------------------------------------
Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes
Scan area - Critical Areas:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
C:\Documents and Settings\Nathan Jamin\Menu Démarrer\Programmes\Démarrage
C:\Program Files
C:\WINDOWS
Scan statistics:
Files scanned: 48815
Threat name: 14
Infected objects: 14
Suspicious objects: 0
Duration of the scan: 01:07:20
File name / Threat name / Threats count
C:\WINDOWS\system32\asck.exe Infected: not-a-virus:AdWare.Win32.AlexaBar.aw 1
C:\WINDOWS\system32\atsck.exe Infected: not-a-virus:AdWare.Win32.AlexaBar.ax 1
C:\WINDOWS\system32\ceswxfst.sys Infected: Trojan-Clicker.Win32.VB.bjh 1
C:\WINDOWS\system32\cexwxfst.sys Infected: Trojan-Clicker.Win32.VB.bgf 1
C:\WINDOWS\system32\cfexfst.sys Infected: Trojan-Clicker.Win32.VB.bmq 1
C:\WINDOWS\system32\mtmc.sys Infected: Trojan.Win32.Delf.els 1
C:\WINDOWS\system32\ntscpd.sys Infected: Trojan.Win32.Delf.elw 1
C:\WINDOWS\system32\otaxyzd.sys Infected: Trojan.Win32.DNSChanger.ign 1
C:\WINDOWS\system32\stsycod.sys Infected: Trojan.Win32.Delf.djd 1
C:\WINDOWS\system32\swand.sys Infected: Trojan.Win32.DNSChanger.ews 1
C:\WINDOWS\system32\sxtsyctd.sys Infected: Trojan.Win32.Delf.dsu 1
C:\WINDOWS\system32\sxwand.sys Infected: Trojan.Win32.DNSChanger.ffh 1
C:\WINDOWS\system32\xfst.sys Infected: Trojan-Clicker.Win32.VB.bal 1
C:\WINDOWS\system32\xwxfst.sys Infected: Trojan-Clicker.Win32.VB.bbs 1
The selected area was scanned. |
| |
|
| Fill | Posté le 31/08/2008 à 23:10 |
Groupe Sécurité
11515 Messages
| Re,
J'allais couper. Tu n'as pas choisi le bon scan. Il fallait choisir "My Computer".
1/
- Télécharge combofix.exe (par sUBs) sur ton Bureau.
- Double clique combofix.exe et suis les invites.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
- Si tu ne le trouves pas, il est là : C:\ComboFix.txt
- Ce guide permet de suivre les étapes de Combofix.
2/
Télécharge DiagHelp.zip sur ton bureau(Merci Malekal) Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
Un nouveau dossier chercher va être créé.
Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.
Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.
3/
- Télécharge SREng (de Smallfrogs).
- Dézippe tout son contenu sur ton bureau (clic droit >Extraire ici).
- Ouvre le dossier SReng2 et double-clique sur SREngPS.exe.
- Clique sur "smart scan".
- Clique sur le bouton "scan".
- Quand l'analyse est terminée, clique sur le bouton "save reports".
- Sauvegarde alors le rapport sur ton bureau.
- Copie/colle le contenu du rapport SREnglLOG.log dans ta prochaine réponse.
Edite les rapports en plusieurs fois car ça risque de coïncer en une seule fois.
Je regarde cela demain soir.
Fill
Edite : Je viens de voir que tu ne possèdes aucun antivirus. C'est de l'inconscience. Dès les étapes précédentes achevées, tu en installes un. Je te conseille Antivir. Regarde dans ma signature : "mesures préventives". Modifié par Fill le 31/08/2008 23:19 |
| |
|
| LeNath | Posté le 01/09/2008 à 11:17 |
Petit astucien
267 Messages
| Bonjour,
Une petite mise a jour: Combofix tourne depuis environ 2h30 et est maintenant bloque a l'etape 37 depuis une bonne heure.
Est ce normal que cela prenne autant de temps? |
| |
|
| LeNath | Posté le 01/09/2008 à 16:41 |
Petit astucien
267 Messages
| |
| |
|
| Fill | Posté le 01/09/2008 à 17:17 |
Groupe Sécurité
11515 Messages
| Re,
1/ Redémarre en mode sans échec. Au démarrage du PC, tapote sur F8 (ou F5). Ton PC démarre, mais sans accès à Internet.
2/ Relance Combofix en mode sans échec et édite son rapport. Si combofix demande un redémarrage, fais-le.
L'analyse dure 15 à 30 min selon les machines.
Fill Modifié par Fill le 01/09/2008 17:18 |
|
Malware suspecté: rapport HijackThis à la clé
