> Tous les forums > Forum Sécurité
 Demande d'analyse Hijackthis, s'il vous plait
Ajouter un message à la discussion
Pages : [1] 2 3 4 ... Fin
Page 1 sur 4 [Fin]
baalt
  Posté le 10/02/2006 @ 16:35 
Aller en bas de la page 
Petit astucien
Bonjour à tous, Suite à l’apparition d’un certain nombre de problèmes précisés plus loin, je remercie d’avance ceux qui voudront bien se pencher sur mon cas et réaliser une analyse Hijackthis. - Impossibilité de faire quelque analyse antivirus que ce soit OnLine (impossible de « charger » jusqu’au terme, indique des erreurs) - Impossibilité d’installer tout nouveau logiciel (Avast, Firefox, Ewido par exemple …) - Le démarrage en mode sans échec foire 2 fois sur 3 ( l’index clignotant apparaît en haut à gauche de l’écran puis, au bout de 3 ou 4 minutes, redémarre en mode normal) - live update de Norton antivirus se lance au moins 10 fois par jour (il ne m’avait pas habitué à cela ), m’annonce quelques fois que la base antivirus est mise à jour mais ne change pas la date de mise à jour (depuis 1 mois environ) - me demande plusieurs fois si je veux autoriser « win32sprot.exe » ainsi que « LSA Shell » à accéder à internet, J’ai désinfecté, en mode normal et sans échec avec ce que j’ai déjà d’installé sur mon PC ( AdAware, Spybot, A², Stinger .. NAV, sans remarque particulière) J’ai également fait une réparation des fichiers systèmes par : sfc /scannow et par installer Windows puis réparer, sans succès apparent et j’ai bloqué les ports TCP 445, 5554 et 9996 sur ZA Pro (vu sur un forum pour se parer de Sasser, Voilà la raison de ma demande d’analyse. Merci d’avance à tous. Baalt Logfile of HijackThis v1.99.1 Scan saved at 16 h 09, on 10/02/2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\MMTrayLSI.exe C:\WINDOWS\System32\MMTray2k.exe C:\WINDOWS\System32\MMTray.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\System32\win32sprot.exe C:\WINDOWS\vsnpstd2.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Zone Labs\ZoneAlarm-FR\zapro.exe C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\Program Files\Symantec\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks2003\Norton Utilities\NPROTECT.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe C:\WINDOWS\REGEDIT.EXE C:\Program Files\Outlook Express\msimn.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Microsoft Office\Office\WINWORD.EXE D:\aa Mes dossiers du bureau\Téléchargements\HijackThis v1.99.1 FR\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe O4 - HKLM\..\Run: [MMTray] MMTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Windows Security Protocol] win32sprot.exe O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\RunServices: [Windows Security Protocol] win32sprot.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Windows Security Protocol] win32sprot.exe O4 - Global Startup: ZoneAlarm Pro FR.lnk = C:\Program Files\Zone Labs\ZoneAlarm-FR\zapro.exe O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: SYSTRAN: &Effacer le cache de traduction - C:\Program Files\Systran\Premium\menuClearCache.html O8 - Extra context menu item: SYSTRAN: &Options - C:\Program Files\Systran\Premium\menuConfigure.html O8 - Extra context menu item: SYSTRAN: &Traduire - C:\Program Files\Systran\Premium\menuTranslate.html O8 - Extra context menu item: SYSTRAN: En®istrement - C:\Program Files\Systran\Premium\menuRegister.html O8 - Extra context menu item: SYSTRAN: Rechercher les &mises à jour - C:\Program Files\Systran\Premium\menuUpdate.html O8 - Extra context menu item: SYSTRAN: Traduire les &cadres - C:\Program Files\Systran\Premium\menuTranslateAll.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O9 - Extra button: @sysiecom.dll,-2100 - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslate.html O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2102 - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslate.html O9 - Extra button: @sysiecom.dll,-2103 - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslateAll.html O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2105 - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslateAll.html O9 - Extra button: @sysiecom.dll,-2115 - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuConfigure.html O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2117 - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuConfigure.html O9 - Extra button: (no name) - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuClearCache.html O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2108 - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuClearCache.html O9 - Extra button: (no name) - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuRegister.html O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2111 - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuRegister.html O9 - Extra button: (no name) - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2114 - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0DEF5F33-9D2B-49FE-81B4-D8CC45FF94DE}: NameServer = 62.210.164.14,62.210.164.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{0DEF5F33-9D2B-49FE-81B4-D8CC45FF94DE}: NameServer = 62.210.164.14,62.210.164.4 O17 - HKLM\System\CS2\Services\Tcpip\..\{0DEF5F33-9D2B-49FE-81B4-D8CC45FF94DE}: NameServer = 62.210.164.14,62.210.164.4 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Symantec\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks2003\Norton Utilities\NPROTECT.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Microsoft Windows Explorer Shell Subsystem (Shell32Extender) - Unknown owner - C:\WINDOWS\system32\shell32.exe (file missing) O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Publicité
lazzzy
 Posté le 10/02/2006 à 16:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
bonjour, Vas sur ce site http://virusscan.jotti.org/ Colle dans la case à gauche de parcourir C:\WINDOWS\System32\win32sprot.exe clique ensuite sur "submit". Un rapport est généré assez rapidement. Dépose le dans ta réponse. Voilà à quoi doit ressembler ce rapport http://img44.exs.cx/img44/8058/jotti7hl.png
baalt
 Posté le 10/02/2006 à 17:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Merci de ta réponse rapide, Je crois que j'ai la totale, voici le rapport, mais comment m'en débarasser maintenabt ? Service load: 0% 100% File: win32sprot.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5 22206a81c436621f506a3d80441c48ad Packers detected: - Scanner results AntiVir Found Worm/SdBot.9BD5D235 ArcaVir Found Trojan.Rbot.Amu Avast Found Win32:Rbot-AZH AVG Antivirus Found IRC/BackDoor.SdBot.VEA BitDefender Found Backdoor.SDBot.9BD5D235 ClamAV Found nothing Dr.Web Found Win32.HLLW.MyBot F-Prot Antivirus Found W32/Sdbot.OHU Fortinet Found W32/RBot.AMU!bdr Kaspersky Anti-Virus Found Backdoor.Win32.Rbot.amu NOD32 Found a variant of Win32/Rbot Norman Virus Control Found W32/Spybot.AGKF UNA Found Backdoor.Rbot VBA32 Found Win32.HLLW.MyBot Merci. Je dois m'absenter quelques heures, à + Baalt
lazzzy
 Posté le 10/02/2006 à 17:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
bon d'accord, 1/ Télécharge : - CCleaner http://www.filehippo.com/download_ccleaner.html ("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Installe-le, laisse-le avec ses réglages par défaut. C'est tout. *****Copie ce qui suit dans un bloc-notes et quitte internet***** 2/ Termine ce(s) processus en ouvrant le gestionnaire des tâches (ctrl-alt-suppr, onglet "processus". Clic droit/terminer le processus/valider) win32sprot.exe 3/ Désactive le service suivant : vas dans démarrer, clique sur "exécuter", tapes : services.msc "ok" Dans la liste des services, cherche et double-clique sur la ligne : Microsoft Windows Explorer Shell Subsystem vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de "C:\WINDOWS\system32\shell32.exe" dans "Type de démarrage", clique sur "désactiver" "Appliquer"/"ok" 4/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [Windows Security Protocol] win32sprot.exe O4 - HKLM\..\RunServices: [Windows Security Protocol] win32sprot.exe O4 - HKCU\..\Run: [Windows Security Protocol] win32sprot.exe O23 - Service: Microsoft Windows Explorer Shell Subsystem (Shell32Extender) - Unknown owner - C:\WINDOWS\system32\shell32.exe (file missing) - Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis. 5/ Redémarre en mode sans échec (*) 6/ Assure toi d'avoir accès aux dossiers/fichiers cachés :
Ouvrir un dossier, n'importe lequel. Aller dans : Outils/Options des dossiers/Affichage et - cocher "afficher les dossiers et fichiers cachés", - décocher "masquer les extensions des fichiers dont le type est connu". - décocher masquer les fichiers protégés du système d'exploitation (recommandé)" "appliquer" et "ok"
7/ recherche et supprime ces dossiers ou fichiers, si tu les trouves : C:\WINDOWS\system32\shell32.exe <- le fichier C:\WINDOWS\System32\win32sprot.exe <- le fichier 8/ Vide la corbeille. 9/ Lance Ccleaner, "Nettoyeur"/"lancer le nettoyage" et c'est tout. 10/ Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation. 11/ Poste un rapport Panda http://www.pandasoftware.com/activescan/fr/activescan_principal.htm (il faut utiliser internet explorer) "Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "tout ordinateur" -> fermer la popup Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse. http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm -------------------------- (*) si tu ne parviens pas à démarrer en mode sans échec. Lance HijackThis, "open the misc tool section" "delete a file on reboot" -> dans la fenêtre qui s'ouvre, colle ce chemin : C:\WINDOWS\System32\win32sprot.exe puis clique sur "ouvrir" A la question "voulez vous redémarrer maintenant", réponds non car il faut recommencer avec ce chemin : C:\WINDOWS\system32\shell32.exe Valide le message ce coup-ci, l'ordinateur va redémarrer (sinon fais-le toi-même) après quoi lancer CCleaner et reprendre à l'étape 10/
baalt
 Posté le 10/02/2006 à 23:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Salut lazzzi, Voici le compte-rendu des difficultés rencontrées et des actions que je n’ai pu mener à bien : 1- J’ai bien téléchargé Ccleaner sur ma machine mais je n’ai pu l’installer (cette impossibilité était signalée en début de mon post) , à défaut j’avais Regseeker que j’ai lancé et qui a nettoyé un certains nombre de choses (25) !!! 2- Cette impossibilité d’installer tout logiciel demeure après la manip réalisée, 3- Je n’ai pas pu vider la corbeille en mode sans échec, mais je l’ai fait dès que j’ai relancé en mode normal, 4- Je n’ai pu renettoyer qu’avec Regseeker pour raison citée en 1, 5- Je n’ai toujours pas accès à Panda Activescan, 6- Je n’arrive pas à mettre à jour NAV (signale qu’il a chargé mais indique une erreur ensuite) 7- Impossible d’accéder à l’antivirus en ligne de Secuser.com, de HouseCall de Trend Micro, de BitDefender Online … Voilà le résultat et je joins le nouveau rapport Hijack Merci pour tous ces conseils et à bientôt. Baalt ___________________________________________________________________________ Logfile of HijackThis v1.99.1 Scan saved at 23 h 09, on 10/02/2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\MMTrayLSI.exe C:\WINDOWS\System32\MMTray2k.exe C:\WINDOWS\System32\MMTray.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\vsnpstd2.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Zone Labs\ZoneAlarm-FR\zapro.exe C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\Program Files\Symantec\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks2003\Norton Utilities\NPROTECT.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe C:\WINDOWS\REGEDIT.EXE C:\Program Files\Microsoft Office\Office\WINWORD.EXE C:\WINDOWS\msagent\AgentSvr.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE D:\aa Mes dossiers du bureau\Téléchargements\HijackThis v1.99.1 FR\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe O4 - HKLM\..\Run: [MMTray] MMTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: ZoneAlarm Pro FR.lnk = C:\Program Files\Zone Labs\ZoneAlarm-FR\zapro.exe O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: SYSTRAN: &Effacer le cache de traduction - C:\Program Files\Systran\Premium\menuClearCache.html O8 - Extra context menu item: SYSTRAN: &Options - C:\Program Files\Systran\Premium\menuConfigure.html O8 - Extra context menu item: SYSTRAN: &Traduire - C:\Program Files\Systran\Premium\menuTranslate.html O8 - Extra context menu item: SYSTRAN: En®istrement - C:\Program Files\Systran\Premium\menuRegister.html O8 - Extra context menu item: SYSTRAN: Rechercher les &mises à jour - C:\Program Files\Systran\Premium\menuUpdate.html O8 - Extra context menu item: SYSTRAN: Traduire les &cadres - C:\Program Files\Systran\Premium\menuTranslateAll.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O9 - Extra button: @sysiecom.dll,-2100 - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslate.html O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2102 - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslate.html O9 - Extra button: @sysiecom.dll,-2103 - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslateAll.html O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2105 - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslateAll.html O9 - Extra button: @sysiecom.dll,-2115 - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuConfigure.html O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2117 - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuConfigure.html O9 - Extra button: (no name) - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuClearCache.html O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2108 - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuClearCache.html O9 - Extra button: (no name) - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuRegister.html O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2111 - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuRegister.html O9 - Extra button: (no name) - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2114 - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0DEF5F33-9D2B-49FE-81B4-D8CC45FF94DE}: NameServer = 62.210.164.14,62.210.164.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{0DEF5F33-9D2B-49FE-81B4-D8CC45FF94DE}: NameServer = 62.210.164.14,62.210.164.4 O17 - HKLM\System\CS2\Services\Tcpip\..\{0DEF5F33-9D2B-49FE-81B4-D8CC45FF94DE}: NameServer = 62.210.164.14,62.210.164.4 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Symantec\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks2003\Norton Utilities\NPROTECT.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
lazzzy
 Posté le 11/02/2006 à 01:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
bonsoir Baalt,
J’ai bien téléchargé CCleaner sur ma machine mais je n’ai pu l’installer (cette impossibilité était signalée en début de mon post)
autant pour moi. *Télécharge Hoster : http://www.funkytoad.com/download/hoster.zip dézippe-le sur ton bureau Lance-le, clique sur "Restore Original Hosts" et ensuite Ok Retente un scan Panda par exemple, ou autre * Télécharge le script "Silent Runners" clic droit> "enregistrer sous" (et non pas clic gauche) sur le lien suivant : http://www.silentrunners.org/Silent%20Runners.vbs clique ensuite 2 fois sur "yes" Laisse lui le temps de faire son analyse. Ne copie pas le log tant que tu n'as pas ce message qui s'affiche [img]http://www.hiboox.com/images/m8x3g45.jpg[/img] poste le rapport généré qui se trouve dans le meme dossier que Silent Runners... Si ton antivirus s'affole, autorise ce script. Ou au pire, désactive-le juste le temps du téléchargement et du scan ---------------------
Impossibilité de faire quelque analyse antivirus que ce soit OnLine (impossible de « charger » jusqu’au terme, indique des erreurs)
précise les messages exacts, si possible.
baalt
 Posté le 11/02/2006 à 12:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Salut lazzzi, J’ai fait le restaure original Hosts et tenté différentes analyses en ligne, sans succès. J’ai donc téléchargé le script "Silent Runners" et je transmets le résultat à ta sagacité. Salutations et merci pour le temps que tu passes. Baalt. ___________________________________________________________________ "Silent Runners.vbs", revision 43, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "MMTrayLSI" = "MMTrayLSI.exe" ["Morgan Multimedia"] "MMTray2K" = "MMTray2k.exe" [null data] "MMTray" = "MMTray.exe" ["Morgan Multimedia"] "QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "ccApp" = ""C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"" ["Symantec Corporation"] "ccRegVfy" = ""C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"" ["Symantec Corporation"] "QD FastAndSafe" = (value not set) "Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"] "SSC_UserPrompt" = "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe" ["Symantec Corporation"] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "Cloneur Expert Monitor" = ""C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"" ["Acronis"] "Acronis Scheduler2 Service" = ""C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"" ["Acronis"] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "SNPSTD2" = "C:\WINDOWS\vsnpstd2.exe" [empty string] "UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" [null data] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] {BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] "{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Périphériques Plug and Play universels" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\upnpui.dll" [MS] "{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data] Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Documents and Settings\Baalt\Local Settings\Application Data\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "Baalt" & "All Users" startup folders: ------------------------------------------------------- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage "ZoneAlarm Pro FR" -> shortcut to: "C:\Program Files\Zone Labs\ZoneAlarm-FR\zapro.exe -nopopup" ["Zone Labs Inc."] Enabled Scheduled Tasks: ------------------------ "LiveUpdate - Norton AntiVirus" -> launches: "C:\PROGRA~1\Symantec\LIVEUP~1\LUALL.EXE" ["Symantec Corporation"] "Norton AntiVirus - Analyser mon ordinateur" -> launches: "C:\PROGRA~1\NORTON~1\NORTON~1\NAVW32.exe /task:C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\NORTON~1\Tasks\mycomp.sca" [file not found] "Norton SystemWorks One Button Checkup" -> launches: "C:\Program Files\Norton SystemWorks2003\OBC.exe /CUSTOM /SCHEDULE" ["Symantec Corporation"] "Symantec NetDetect" -> launches: "C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
lazzzy
 Posté le 11/02/2006 à 12:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
bonjour, le rapport est incomplet, relis bien la procédure ("Ne copie pas le log tant que tu n'as pas ce message qui s'affiche ...") Simultanément, télécharge RKFiles http://skads.org/special/rkfiles.zip =>; dézippe-le sur ton bureau - démarre en mode sans échec (optionnel mais mieux, si tu y parviens) - Double-click sur le fichier RKFiles.bat pour le lancer. - attends que la fenêtre noire de commande se ferme, sans tenir compte de ce qui est écrit dedans. Ca peut prendre plusieurs minutes. - le rapport sera sauvé dans le fichier c:\log.txt - ce rapport, une fois complet, comportera obligatoirement les dernières lignes suivantes : "finished bye" sinon c'est que le scan n'est pas terminé Poste-le.
baalt
 Posté le 11/02/2006 à 16:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Re bonjour, Voilà, j'ai fait les 2 manips et j'envoie les 2 compte-rendus. Pour RKFiles, cela a pris 1 heure. J'ai constaté que l'on me redemandait si je voulais autoriser LSA à accéder à internet, j'ai répondu NON, mais le fallait-il ? D'autre part, win32sprot.exe a fait une réapparition !!! Bonne journée malgré le boulot que je te donne. Baalt. ________________________________________________________________ "Silent Runners.vbs", revision 43, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "MMTrayLSI" = "MMTrayLSI.exe" ["Morgan Multimedia"] "MMTray2K" = "MMTray2k.exe" [null data] "MMTray" = "MMTray.exe" ["Morgan Multimedia"] "QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "ccApp" = ""C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"" ["Symantec Corporation"] "ccRegVfy" = ""C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"" ["Symantec Corporation"] "QD FastAndSafe" = (empty string) "Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"] "SSC_UserPrompt" = "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe" ["Symantec Corporation"] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "Cloneur Expert Monitor" = ""C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"" ["Acronis"] "Acronis Scheduler2 Service" = ""C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"" ["Acronis"] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "SNPSTD2" = "C:\WINDOWS\vsnpstd2.exe" [empty string] "UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" [null data] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] {BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] "{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Périphériques Plug and Play universels" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\upnpui.dll" [MS] "{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data] Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Documents and Settings\Baalt\Local Settings\Application Data\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "Baalt" & "All Users" startup folders: ------------------------------------------------------- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage "ZoneAlarm Pro FR" -> shortcut to: "C:\Program Files\Zone Labs\ZoneAlarm-FR\zapro.exe -nopopup" ["Zone Labs Inc."] Enabled Scheduled Tasks: ------------------------ "LiveUpdate - Norton AntiVirus" -> launches: "C:\PROGRA~1\Symantec\LIVEUP~1\LUALL.EXE" ["Symantec Corporation"] "Norton AntiVirus - Analyser mon ordinateur" -> launches: "C:\PROGRA~1\NORTON~1\NORTON~1\NAVW32.exe /task:C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\NORTON~1\Tasks\mycomp.sca" [file not found] "Norton SystemWorks One Button Checkup" -> launches: "C:\Program Files\Norton SystemWorks2003\OBC.exe /CUSTOM /SCHEDULE" ["Symantec Corporation"] "Symantec NetDetect" -> launches: "C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {703436F1-3E1F-11D3-8F6B-00105A2A1D59}\ "ButtonText" = "@sysiecom.dll,-2100" "MenuText" = "@sysiecom.dll,-2102" "Script" = "C:\Program Files\Systran\Premium\MenuTranslate.html" [null data] {703436F2-3E1F-11D3-8F6B-00105A2A1D59}\ "ButtonText" = "@sysiecom.dll,-2103" "MenuText" = "@sysiecom.dll,-2105" "Script" = "C:\Program Files\Systran\Premium\MenuTranslateAll.html" [null data] {703436F3-3E1F-11D3-8F6B-00105A2A1D59}\ "ButtonText" = "@sysiecom.dll,-2115" "MenuText" = "@sysiecom.dll,-2117" "Script" = "C:\Program Files\Systran\Premium\MenuConfigure.html" [null data] {703436F4-3E1F-11D3-8F6B-00105A2A1D59}\ "MenuText" = "@sysiecom.dll,-2108" "Script" = "C:\Program Files\Systran\Premium\MenuClearCache.html" [null data] {703436F5-3E1F-11D3-8F6B-00105A2A1D59}\ "MenuText" = "@sysiecom.dll,-2111" "Script" = "C:\Program Files\Systran\Premium\MenuRegister.html" [null data] {703436F6-3E1F-11D3-8F6B-00105A2A1D59}\ "MenuText" = "@sysiecom.dll,-2114" {85D1F590-48F4-11D9-9669-0800200C9A66}\ "MenuText" = "Uninstall BitDefender Online Scanner v8" "Exec" = "%windir%\bdoscandel.exe" [null data] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/" Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Acronis Scheduler2 Service, AcrSch2Svc, ""C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe"" ["Acronis"] Norton Unerase Protection, NProtectService, "C:\Program Files\Norton SystemWorks2003\Norton Utilities\NPROTECT.EXE" ["Symantec Corporation"] Service Norton AntiVirus Auto-Protect, navapsvc, ""C:\Program Files\Symantec\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"] Services TCP/IP simplifiés, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS] Speed Disk service, Speed Disk service, "C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe" ["Symantec Corporation"] Symantec Event Manager, ccEvtMgr, ""C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"] Symantec Password Validation Service, ccPwdSvc, ""C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe"" ["Symantec Corporation"] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."] Écouteur RIP, Iprip, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\iprip.dll" [MS]} Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ BJ Language Monitor2\Driver = "CNBJMON2.DLL" [MS] LPR Port\Driver = "lprmon.dll" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 202 seconds, including 4 seconds for message boxes) ___________________________________________________________ D:\aa Mes dossiers du bureau\T‚l‚chargements\RKFiles PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\msconfigu.exe: UPX! C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\sme.exe: PEC2 C:\WINDOWS\system32\win32sprot.exe: PEC2 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\sme.exe: PEC2 C:\WINDOWS\system32\win32sprot.exe: PEC2 Files Found in all users startup Folder............ ------------------------ C:\WINDOWS\system32\msconfigu.exe: UPX! Files Found in all users windows Folder............ ------------------------ C:\WINDOWS\tsc.exe: UPX! C:\WINDOWS\vsapi32.dll: UPX!t4 Finished bye
lazzzy
 Posté le 11/02/2006 à 16:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
le meilleur moyen d'éviter les problèmes avec des malwares comme sasser, c'est de combler les failles du système en le mettant à jour (ce qui n'est pas le cas sur ton pc). Il faudra y penser, mais plus tard. il est encore là celui là : C:\WINDOWS\system32\win32sprot.exe Vas sur ce site http://virusscan.jotti.org/ Colle dans la case à gauche de parcourir C:\WINDOWS\system32\msconfigu.exe clique ensuite sur "submit". Un rapport est généré assez rapidement. Dépose le dans ta réponse. recommence avec ce chemin : C:\WINDOWS\system32\sme.exe
baalt
 Posté le 11/02/2006 à 16:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Il s'agit bien de msconfigu avec un U ?
lazzzy
 Posté le 11/02/2006 à 16:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
oui exact ! sans ce "u" ça passerait mais là, une vérification s'impose
baalt
 Posté le 11/02/2006 à 16:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
OK, je n'avais jamais vu cette orthographe. C'est en cours.
baalt
 Posté le 11/02/2006 à 17:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Me revoici ________________________________________________________________ Jotti's malware scan 2.99-TRANSITION_TO_3.00 File to upload & scan: Service Service load: 0% 100% File: sme.exe Status: INFECTED/MALWARE MD5 828f395abd9619f8dc9da9cd1251d41a Packers detected: - Scanner results AntiVir Found Worm/SdBot.9BD5D235 ArcaVir Found Trojan.Rbot.Amu Avast Found Win32:Rbot-AZH AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found Win32.HLLW.MyBot F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found Backdoor.Win32.Rbot.amu NOD32 Found nothing Norman Virus Control Found W32/Spybot.AGKF UNA Found Backdoor.Rbot VBA32 Found Malware.Agent.24 (paranoid heuristics) (probable variant) _______________________________________________________________ Pour mscongigu, il y a 20 mn que je suis sur cette image figée, faut-il attendre encore ? en attendant, je t'envoie ça : Service load: 0% 100% File: msconfigu.exe Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5 d14b8c81c40b2de4de20a4ee5057d0fe Packers detected: PE_PATCH Scanner results AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing UNA Found nothing VBA32 Found nothing
baalt
 Posté le 11/02/2006 à 17:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
L'analyse de msconfigu n'a pas bougé d'un iota.
lazzzy
 Posté le 11/02/2006 à 17:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
essaye de le faire scanner sur ce site, c'est le même principe http://www.virustotal.com/flash/index_en.html si tu le vois fais un clic droit sur ce fichier/propriétés et regarde : date de création/modification version/entreprise
baalt
 Posté le 11/02/2006 à 17:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Voici le résultat du scan, mais je n'ai pas compris la suite "si tu le vois etc " je dois faire clic droit sur quoi ??? a This is a report processed by VirusTotal on 02/11/2006 at 17:31:56 (CET) after scanning the file "msconfigu.exe" file. Antivirus Version Update Result AntiVir 6.33.0.81 02.11.2006 no virus found Avast 4.6.695.0 02.10.2006 no virus found AVG 718 02.10.2006 no virus found Avira 6.33.0.81 02.11.2006 no virus found BitDefender 7.2 02.11.2006 no virus found CAT-QuickHeal 8.00 02.11.2006 no virus found ClamAV devel-20060126 02.09.2006 no virus found DrWeb 4.33 02.11.2006 no virus found eTrust-InoculateIT 23.71.74 02.11.2006 no virus found eTrust-Vet 12.4.2074 02.10.2006 no virus found Ewido 3.5 02.11.2006 Backdoor.SdBot.yx Fortinet 2.54.0.0 02.11.2006 no virus found F-Prot 3.16c 02.09.2006 no virus found Ikarus 0.2.59.0 02.10.2006 no virus found Kaspersky 4.0.2.24 02.11.2006 no virus found McAfee 4694 02.10.2006 no virus found NOD32v2 1.1403 02.10.2006 no virus found Norman 5.70.10 02.10.2006 no virus found Panda 9.0.0.4 02.11.2006 W32/Gaobot.LYX.worm Sophos 4.02.0 02.11.2006 no virus found Symantec 8.0 02.11.2006 W32.Spybot.Worm TheHacker 5.9.4.094 02.10.2006 no virus found UNA 1.83 02.09.2006 no virus found VBA32 3.10.5 02.10.2006 no virus found VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware. > Go to: Home Contact En español -------------------------------------------------------------------------------- www.virustotal.com
©Hispasec Sistemas 2004-06
e-mail info@virustotal.com
lazzzy
 Posté le 11/02/2006 à 17:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
pour les propriétés c'était pour le fichier msconfigu.exe, mais c'est sans importance maintenant. Télécharge RegSearch http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Dézippe-le sur ton bureau. Double-clique sur le fichier .vbs et dans la petite boite de dialogue entre ce terme : msconfigu Clique "ok" et patiente. Quand il a terminé, le bloc-notes va s'ouvrir avec les résultats de la recherche dans le registre, poste son contenu Puis recommence avec ces deux noms : sme.exe win32sprot
baalt
 Posté le 11/02/2006 à 18:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Voici la suite, mais rien trouvé pour sme.exe. J'ai pris la précaution de ne pas fermer les 2 fichiers !!! _____________________________________________ REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "win32sprot" 11/02/2006 18 07 05 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Security Protocol"="win32sprot.exe" [HKEY_USERS\S-1-5-21-1957994488-706699826-1708537768-1003\Software\Google\NavClient\1.1\History] "win32sprot.exe"=hex:db,8e,ec,43 [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Security Protocol"="win32sprot.exe" ____________________________________________ REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "msconfigu" 11/02/2006 17 58 07 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_USERS\S-1-5-21-1957994488-706699826-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*] "a"="C:\\Documents and Settings\\Baalt\\Bureau\\Pb & PCA\\CR msconfigu & sme exe.txt" [HKEY_USERS\S-1-5-21-1957994488-706699826-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\txt] "a"="C:\\Documents and Settings\\Baalt\\Bureau\\Pb & PCA\\CR msconfigu & sme exe.txt"
baalt
 Posté le 11/02/2006 à 18:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
En attendant, j'ai recherché msconfigu et voici les résultats que tu me demandais tout à l'heure : créé le 2-02-2006 à 21h44 modifié le 2-02-2006 à 21h48
lazzzy
 Posté le 11/02/2006 à 18:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
1/ Télécharge ces utilitaires sur ton bureau : - Stinger (encore une fois) http://download.nai.com/products/mcafee-avert/stng260.exe - f-bot http://www.f-secure.com/tools/f-bot.exe - RBOTGUI http://www.sophos.com/support/cleaners/rbotgui.com 2/ Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous, ligne vide comprise à la fin (copie tout d'un trait) :
REGEDIT4 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Security Protocol"=- [HKEY_USERS\S-1-5-21-1957994488-706699826-1708537768-1003\Software\Google\NavClient\1.1\History] "win32sprot.exe"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Security Protocol"=-
Puis "fichier"/"enregistrer sous" : dans : sur le bureau Nom du fichier : fix0.reg Type de fichier : "tous les fichiers" clique sur "enregistrer" L'icône de fix0.reg doit impérativement ressembler à cela [img]http://www.hiboox.com/images/4905/avnoztv.jpg[/img] 3/ redémarre en mode sans échec, si possible, et choisis le compte "administrateur" 4/ supprimer tout le contenu de ces dossiers : * C:\Temp <- tout ce qu'il y a dedans, et pas le dossier "Temp" * C:\Windows (ou WinNT)\Temp<- tout ce qu'il y a dedans, et pas le dossier "Temp" * C:\Documents and Settings\tous les id\Local Settings\Temp <- tout ce qu'il y a dedans, et pas le dossier "Temp" * C:\Documents and Settings\tous les id\Local Settings\Temporary Internet Files <- tout ce qu'il y a dedans, et pas le dossier "Temporary Internet Files" * C:\Documents and Settings\tous les id\Cookies <- tout ce qu'il y a dedans, et pas le dossier "Cookies" *C:\Documents and Settings\Nom\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar <- tout ce qu'il y a dedans, et pas le dossier "jar" * vider la corbeille 5/ Double clique sur le fichier stng260.exe, et vas dans l'option "preferences" vérifie que Boot sectors est coché Clique sur "scan now" et laisse-le procéder. Quand il a terminé, clique sur "file">"save report to file" Un fichier "stng260.txt" va apparaitre sur ton bureau (vérifie) 6/ Double clique sur le fichier f-bot.exe. Une fenetre Dos va s'ouvrir, le temps du scan. Rien à faire de plus pendant ce temps. 7/ Double clique sur le fichier rbotgui.com, "accept", puis sur le bouton "configuration" => coche "scan all file". Patiente. Le rapport sera sauvegardé dans le fichier C:\resolve.log 8/ Si à l'issue de ces scans tu retrouves les fichiers suivants : C:\WINDOWS\system32\win32sprot.exe C:\WINDOWS\system32\sme.exe C:\WINDOWS\system32\msconfigu.exe C:\WINDOWS\system32\shell32.exe => supprime-les et vide ta corbeille. 9/ Double-clique sur le fichier fix0.reg et approuve le message d'ajout d'informations dans le registre 10/ Redémarre normalement et poste les rapports : C:\resolve.log stng260.txt (sur ton bureau) retente un scan Panda, ou Ewido http://www.ewido.net/en/onlinescan/
baalt
 Posté le 12/02/2006 à 11:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Salut lazzzi et à tous, J'ai disparu un long moment mais j’avoue avoir galéré pour réaliser les manips dont voici le compte-rendu point par point. Téléchargement des 3 utilitaires, création Fix0.reg : RAS 4/ supprimer tout le contenu de ces dossiers : * C:\Temp <- tout ce qu'il y a dedans, et pas le dossier "Temp" Non trouvé *C:\Documents and Settings\Nom\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar <- tout ce qu'il y a dedans, et pas le dossier "jar" Non trouvé * vider la corbeille Je n’ai pas pu vider facilement la corbeille car il contenait un dossier « Contentt.IE5 » et j’ai procédé par « déplacements » dans un dossier crée à cet effet, Impossible de lancer Stinger 260 « le prog à rencontré une erreur et doit s’arrêter », en revanche, j’avais Stinger 259 sur mon PC, il a fonctionné et trouvé et supprimé un seul virus « W32/Sdbot.worm !ftp virus !!! » -f-bot.exe s’est lancé normalement (plusieurs heures) et n’a signalé aucun virus. -Rbotgui.com s’est lancé, j’ai configuré pour tous les fichiers et au départ du scan, il n’a pas voulu me reconnaître comme administrateur. J’ai relancé la même manip ce matin avec le même résultat, donc pas d’analyse. Résultat des recherches : - win32sprot.exe, non trouvé - sme.exe non trouvé mais il y avait sme application, 117 Ko du 7/2/06 >> supprimé - msconfigu non trouvé mais msconfigu Application , 7 Ko du 6/2/06 >> supprimé - shelle32.exe non trouvé mais shell32.dll Extention de l’Application, 5 Ko >> supprimé - fix0.reg :Impossible d’importer la modif, erreur d’accès au registre, mais j’ai réussi à le faire après avoir relancé Windows en normal, internet coupé. J’ai lancé Ewido en ligne, il charge bien la liste virus, démarre le scan et plante le PC sur : scanning memory [840 ] VM_7FFE0000 Impossible d’installer le soft ewido annonce « corrompu », malgré le téléchargement de plusieurs sources. Impossible lancer Activescan ou Trend micro. J’ai relancé live update de NAV et voici le résultat LiveUpdate a téléchargé toutes les mises à jour spécifiées mais toutes ont échoué à s'installer. Essayez de récupérer les mises à jour ultérieurement. Session LiveUpdate achevée. Et maintenant, que faire !!! Merci de consacrer tout ce temps. Baalt
lazzzy
 Posté le 12/02/2006 à 11:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
bonjour, pas grave pour les répertoires que tu n'azs pas trouvés (jar correspond à une partie du cache de Java Sun, si tu n'as pas Java Sun évidemment...) Pour Stinger, tu as bien choisi la session "administrateur", au démarrage ? attention de ne pas supprimer des fichiers qui ne font pas partie de la liste plus haut : shell32.dll est un fichier légitime ! s'il n'est plus dans ton répertoire system32, alors copie le depuis C:\WINDOWS\system32\dllcache\shell32.dll ça aussi c'est à éclaircir :
sme.exe non trouvé mais il y avait sme application, 117 Ko du 7/2/06 >> supprimé - msconfigu non trouvé mais msconfigu Application , 7 Ko du 6/2/06 >> supprimé
n'oublie pas de te donner accès à tous les fichiers et d'afficher leurs extensions :
Ouvrir un dossier, n'importe lequel. Aller dans : Outils/Options des dossiers/Affichage et - cocher "afficher les dossiers et fichiers cachés", - décocher "masquer les extensions des fichiers dont le type est connu". - décocher masquer les fichiers protégés du système d'exploitation (recommandé)" "appliquer" et "ok"
----------------- Bon sinon il va falloir creuser un peu plus dans le registre pour essayer de trouver les restrictions que ces malwares ont du inscrire... En attendant, télécharge WinPFind http://www.bleepingcomputer.com/files/oldtimer/WinPFind.zip Dézippe-le dans C:\ Redémarre en mode sans échec (optionnel mais mieux). Double-clique sur le fichier c:\winpfind\winpfind.exe, clique ensuite sur le bouton "Start Scan button" Patiente le temps du scan. Quand c'est terminé, redémarre normalement et poste le contenu du fichier WinPFind.Txt qui se trouve dans le répertoire c:\winpfind
baalt
 Posté le 12/02/2006 à 13:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Salut, Pour Stinger, j'étais bien connecté en administrateur. J'ai bien retrouvé shell32.dll dans system32 sans avoir à intervenir. Pour les fichiers cachés et les extentions, c'était fait. Voici le résultat du scan. Merci encore pour la célérité de tes réponses et ta disponibilité. Baalt. __________________________________________________________ WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding. If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly. »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Product Name: Microsoft Windows XP Current Build: Current Build Number: 2600 Internet Explorer Version: 6.0.2600.0000 »»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»» Checking %SystemDrive% folder... UPX! 11/02/2006 15:24:42 1004 C:\log.txt PEC2 11/02/2006 15:24:42 1004 C:\log.txt UPX! 11/02/2006 14:51:40 41 C:\start.txt UPX! 11/02/2006 15:16:32 411 C:\win.txt PEC2 11/02/2006 15:16:32 411 C:\win.txt UPX! 11/02/2006 15:20:10 58 C:\windows.txt buddy.exe 12/02/2006 11:06:48 98523980 C:\xscan.txt Checking %ProgramFilesDir% folder... Checking %WinDir% folder... buddy.exe 11/02/2006 22:34:22 830789 C:\WINDOWS\F-Bot.log PECompact2 27/12/2005 10:12:14 17006629 C:\WINDOWS\LPT$VPN.131 qoologic 27/12/2005 10:12:14 17006629 C:\WINDOWS\LPT$VPN.131 SAHAgent 27/12/2005 10:12:14 17006629 C:\WINDOWS\LPT$VPN.131 PECompact2 04/02/2006 20:51:20 17628292 C:\WINDOWS\LPT$VPN.193 qoologic 04/02/2006 20:51:20 17628292 C:\WINDOWS\LPT$VPN.193 SAHAgent 04/02/2006 20:51:20 17628292 C:\WINDOWS\LPT$VPN.193 PECompact2 12/02/2006 09:58:12 17666051 C:\WINDOWS\LPT$VPN.205 qoologic 12/02/2006 09:58:12 17666051 C:\WINDOWS\LPT$VPN.205 SAHAgent 12/02/2006 09:58:12 17666051 C:\WINDOWS\LPT$VPN.205 UPX! 22/12/2005 22:49:58 176709 C:\WINDOWS\tsc.exe PECompact2 27/12/2005 10:12:14 17006629 C:\WINDOWS\VPTNFILE.131 qoologic 27/12/2005 10:12:14 17006629 C:\WINDOWS\VPTNFILE.131 SAHAgent 27/12/2005 10:12:14 17006629 C:\WINDOWS\VPTNFILE.131 PECompact2 04/02/2006 20:51:20 17628292 C:\WINDOWS\VPTNFILE.193 qoologic 04/02/2006 20:51:20 17628292 C:\WINDOWS\VPTNFILE.193 SAHAgent 04/02/2006 20:51:20 17628292 C:\WINDOWS\VPTNFILE.193 PECompact2 11/02/2006 10:54:16 17666155 C:\WINDOWS\VPTNFILE.205 qoologic 11/02/2006 10:54:16 17666155 C:\WINDOWS\VPTNFILE.205 SAHAgent 11/02/2006 10:54:16 17666155 C:\WINDOWS\VPTNFILE.205 UPX! 12/02/2006 09:58:14 1077320 C:\WINDOWS\vsapi32.dll aspack 12/02/2006 09:58:14 1077320 C:\WINDOWS\vsapi32.dll Checking %System% folder... PEC2 28/08/2001 13:00:00 41131 C:\WINDOWS\SYSTEM32\dfrg.msc Umonitor 28/08/2001 13:00:00 657920 C:\WINDOWS\SYSTEM32\rasdlg.dll winsync 28/08/2001 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu PEC2 28/08/2001 13:00:00 RHS 119296 C:\WINDOWS\SYSTEM32\win32sprot.exe Checking %System%\Drivers folder and sub-folders... Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 12/02/2006 12:15:44 S 2048 C:\WINDOWS\bootstat.dat 04/02/2006 09:47:46 RHS 46964 C:\WINDOWS\msnet32.exe 12/02/2006 10:51:00 H 54156 C:\WINDOWS\QTFont.qfn 10/02/2006 14:46:42 H 10820 C:\WINDOWS\Help\nocontnt.GID 04/02/2006 23:01:34 H 0 C:\WINDOWS\inf\dxbda.inf 04/02/2006 23:01:34 H 0 C:\WINDOWS\inf\dxbda.PNF 04/02/2006 23:01:28 H 0 C:\WINDOWS\inf\dxdllreg.inf 04/02/2006 23:01:28 H 0 C:\WINDOWS\inf\dxdllreg.PNF 04/02/2006 22:58:12 H 0 C:\WINDOWS\inf\dxxp.inf 04/02/2006 22:58:12 H 0 C:\WINDOWS\inf\dxxp.PNF 04/02/2006 23:00:42 H 0 C:\WINDOWS\inf\oem2.inf 04/02/2006 23:00:42 H 0 C:\WINDOWS\inf\oem2.PNF 12/02/2006 10:52:00 H 238 C:\WINDOWS\system32\vsconfig.xml 12/02/2006 12:13:04 H 8192 C:\WINDOWS\system32\config\default.LOG 12/02/2006 12:15:56 H 1024 C:\WINDOWS\system32\config\SAM.LOG 12/02/2006 12:15:46 H 12288 C:\WINDOWS\system32\config\SECURITY.LOG 12/02/2006 12:16:56 H 114688 C:\WINDOWS\system32\config\software.LOG 12/02/2006 12:15:46 H 1056768 C:\WINDOWS\system32\config\system.LOG 12/02/2006 12:11:40 H 6 C:\WINDOWS\Tasks\SA.DAT Checking for CPL files... Microsoft Corporation 28/08/2001 13:00:00 69120 C:\WINDOWS\SYSTEM32\access.cpl Microsoft Corporation 28/08/2001 13:00:00 563712 C:\WINDOWS\SYSTEM32\appwiz.cpl Microsoft Corporation 28/08/2001 13:00:00 133120 C:\WINDOWS\SYSTEM32\desk.cpl Microsoft Corporation 28/08/2001 13:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl Ahead Software AG 14/01/2004 18:57:18 57344 C:\WINDOWS\SYSTEM32\ImageDrive.cpl Microsoft Corporation 28/08/2001 13:00:00 296448 C:\WINDOWS\SYSTEM32\inetcpl.cpl Microsoft Corporation 28/08/2001 13:00:00 124416 C:\WINDOWS\SYSTEM32\intl.cpl Microsoft Corporation 29/08/2002 03:41:00 207360 C:\WINDOWS\SYSTEM32\joy.cpl Microsoft Corporation 28/08/2001 13:00:00 189952 C:\WINDOWS\SYSTEM32\main.cpl Microsoft Corporation 28/08/2001 13:00:00 567296 C:\WINDOWS\SYSTEM32\mmsys.cpl 07/11/2002 05:00:00 R 41984 C:\WINDOWS\SYSTEM32\mtrcfg.cpl Microsoft Corporation 28/08/2001 13:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl Microsoft Corporation 28/08/2001 13:00:00 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl Microsoft Corporation 28/08/2001 13:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl Microsoft Corporation 28/08/2001 13:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl Sun Microsystems 17/05/2002 17:04:56 45154 C:\WINDOWS\SYSTEM32\plugincpl131_04.cpl Microsoft Corporation 28/08/2001 13:00:00 112640 C:\WINDOWS\SYSTEM32\powercfg.cpl Apple Computer, Inc. 27/05/2003 13:43:02 295936 C:\WINDOWS\SYSTEM32\QuickTime.cpl Microsoft Corporation 28/08/2001 13:00:00 277504 C:\WINDOWS\SYSTEM32\sysdm.cpl Microsoft Corporation 28/08/2001 13:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl Microsoft Corporation 28/08/2001 13:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl Microsoft Corporation 28/08/2001 13:00:00 69120 C:\WINDOWS\SYSTEM32\dllcache\access.cpl Microsoft Corporation 28/08/2001 13:00:00 563712 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl Microsoft Corporation 28/08/2001 13:00:00 133120 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl Microsoft Corporation 28/08/2001 13:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl Microsoft Corporation 28/08/2001 13:00:00 296448 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl Microsoft Corporation 28/08/2001 13:00:00 124416 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl Microsoft Corporation 29/08/2002 03:41:00 207360 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl Microsoft Corporation 28/08/2001 13:00:00 189952 C:\WINDOWS\SYSTEM32\dllcache\main.cpl Microsoft Corporation 28/08/2001 13:00:00 567296 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl Microsoft Corporation 28/08/2001 13:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl Microsoft Corporation 28/08/2001 13:00:00 260096 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl Microsoft Corporation 28/08/2001 13:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl Microsoft Corporation 28/08/2001 13:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl Microsoft Corporation 28/08/2001 13:00:00 112640 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl Microsoft Corporation 28/08/2001 13:00:00 151552 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl Microsoft Corporation 28/08/2001 13:00:00 277504 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl Microsoft Corporation 28/08/2001 13:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl Microsoft Corporation 28/08/2001 13:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 08/02/2003 00:11:38 HS 84 C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\desktop.ini 21/02/2003 08:44:40 757 C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ZoneAlarm Pro FR.lnk Checking files in %ALLUSERSPROFILE%\Application Data folder... 07/02/2003 23:38:44 HS 62 C:\Documents and Settings\All Users\Application Data\desktop.ini Checking files in %USERPROFILE%\Startup folder... 08/02/2003 00:11:38 HS 84 C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\desktop.ini Checking files in %USERPROFILE%\Application Data folder... 07/02/2003 23:38:42 HS 62 C:\Documents and Settings\Administrateur\Application Data\desktop.ini »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu {5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Épingle du menu Démarrer = %SystemRoot%\system32\SHELL32.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\a2ContMenu {AB77609F-2178-4E6F-9C4B-44AC179D937A} = C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu {5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = %SystemRoot%\system32\SHELL32.dll [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} AcroIEHlprObj Class = C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F} = C:\PROGRA~1\SPYBOT~1\SDHelper.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7} Google Toolbar Helper = c:\program files\google\googletoolbar1.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872} CNavExtBho Class = C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Astuce du jour = %SystemRoot%\System32\shdocvw.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] {8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = Norton AntiVirus : C:\Program Files\Symantec\Norton AntiVirus\NavShExt.dll {2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : c:\program files\google\googletoolbar1.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{703436F1-3E1F-11d3-8F6B-00105A2A1D59} ButtonText = @sysiecom.dll,-2100 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{703436F2-3E1F-11d3-8F6B-00105A2A1D59} ButtonText = @sysiecom.dll,-2103 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{703436F3-3E1F-11d3-8F6B-00105A2A1D59} ButtonText = @sysiecom.dll,-2115 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{703436F4-3E1F-11d3-8F6B-00105A2A1D59} MenuText = @sysiecom.dll,-2108 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{703436F5-3E1F-11d3-8F6B-00105A2A1D59} MenuText = @sysiecom.dll,-2111 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{703436F6-3E1F-11d3-8F6B-00105A2A1D59} MenuText = @sysiecom.dll,-2114 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} MenuText = Uninstall BitDefender Online Scanner v8 : [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478} Media Band = %SystemRoot%\System32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1} Bandeau de recherche de l'Explorateur = %SystemRoot%\system32\SHELL32.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E} Explorer Band = %SystemRoot%\System32\shdocvw.dll [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] MMTrayLSI MMTrayLSI.exe MMTray2K MMTray2k.exe MMTray MMTray.exe QuickTime Task "C:\Program Files\QuickTime\qttask.exe" -atboottime ccApp "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" ccRegVfy "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe" QD FastAndSafe Symantec NetDriver Monitor C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer SSC_UserPrompt C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe Cloneur Expert Monitor "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe" Acronis Scheduler2 Service "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" KernelFaultCheck %systemroot%\system32\dumprep 0 -k SNPSTD2 C:\WINDOWS\vsnpstd2.exe UserFaultCheck %systemroot%\system32\dumprep 0 -u [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] IMAIL Installed = 1 MAPI Installed = 1 MSFS Installed = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] CTFMON.EXE C:\WINDOWS\System32\CTFMON.EXE Skype "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk location Common Startup command C:\PROGRA~1\MICROS~2\Office\OSA9.EXE -b -l item Microsoft Office location Common Startup command C:\PROGRA~1\MICROS~2\Office\OSA9.EXE -b -l item Microsoft Office HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ZoneAlarm Pro.lnk location Common Startup command C:\PROGRA~1\ZONELA~1\ZONEAL~2\zapro.exe item ZoneAlarm Pro location Common Startup command C:\PROGRA~1\ZONELA~1\ZONEAL~2\zapro.exe item ZoneAlarm Pro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadwin PrintScreen 2.6 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item PrintScreen hkey HKCU command C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item PrintScreen hkey HKCU command C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KAZAA key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item kazaa hkey HKLM inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item kazaa hkey HKLM inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msnmsgr key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item msnmsgr hkey HKCU inimapping 0 command "C:\Program Files\MSN Messenger\msnmsgr.exe" /background key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item msnmsgr hkey HKCU inimapping 0 command "C:\Program Files\MSN Messenger\msnmsgr.exe" /background HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroCheck key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item NeroCheck hkey HKLM command C:\WINDOWS\system32\NeroCheck.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item NeroCheck hkey HKLM command C:\WINDOWS\system32\NeroCheck.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Post-me key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item post-me hkey HKLM command D:\A-Utilitaires\Utilitaires\post-me.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item post-me hkey HKLM command D:\A-Utilitaires\Utilitaires\post-me.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QD FastAndSafe key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item navapw32 hkey HKLM inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item navapw32 hkey HKLM inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ShareMonkey Speedup key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item Speed Up hkey HKLM inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item Speed Up hkey HKLM inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state system.ini 0 win.ini 0 bootini 0 services 0 startup 2 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\FICHIE~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = {0DF44EAA-FF21-4412-828E-260A8728E7F1} = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 0 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 undockwithoutlogon 1 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 145 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll UPnPMonitor {e57ce738-33e8-4c51-8354-bb4de9d215d1} = C:\WINDOWS\System32\upnpui.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, Shell = Explorer.exe System = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain = crypt32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet = cryptnet.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll = cscdll.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy = sclgntfy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn = WlNotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon = wlnotify.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path Debugger = ntsd -d [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder. Scan completed on 12/02/2006 12:41:18
lazzzy
 Posté le 12/02/2006 à 13:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
- Ouvre le fichier C:\WINDOWS\SYSTEM32\drivers\etc\hosts avec le bloc-notes, puis poste son contenu - Fais scanner ce fichier sur le site Jotti ou encore Virustotal, poste le résultat C:\WINDOWS\msnet32.exe - Crée un nouveau document texte : clic droit de souris sur le bureau, "nouveau"> "document texte". Ouvre-le et copie et colle ces lignes en citation :
cd\ dir win32sprot* /s > sortie1.txt dir msnet32* /s >> sortie1.txt dir msconfigu* /s >> sortie1.txt* notepad sortie1.txt
Dans le menu "fichier"/"enregistrer sous", sélectionne : "Nom du fichier" : list.bat "Type" : "tous les fichiers" Clique ensuite sur "enregistrer". double-clique dessus, le bloc-notes s'ouvre au bout de quelques instants. Copie et poste son contenu.
baalt
 Posté le 12/02/2006 à 14:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
J'arrive à C:\WINDOWS\SYSTEM32\drivers\etc, mais il n'apparaît rien après double clic, donc vide à priori mais dans propriétés je trouve 7 fichiers et 47.7 Ko ?? Voici le résultat du scan Service load: 0% 100% File: hosts_ Status: OK MD5 f77821c2d3ccb3ba6d15545c129d8cc7 Packers detected: - Scanner results AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing UNA Found nothing VBA32 Found nothing ___________________________________ Résultat du scan de C:\WINDOWS\msnet32.exe Service load: 0% 100% File: msnet32.exe Status: INFECTED/MALWARE MD5 3b23e195df570e3ea5e497a14d87fb39 Packers detected: PE_PATCH, UPACK Scanner results AntiVir Found nothing ArcaVir Found Heur.Win32 Avast Found nothing AVG Antivirus Found nothing BitDefender Found Backdoor.SDBot.11F59B1D ClamAV Found nothing Dr.Web Found Win32.HLLW.MyBot F-Prot Antivirus Found nothing Fortinet Found W32/SDBot.AAD-bdr Kaspersky Anti-Virus Found Backdoor.Win32.SdBot.aad NOD32 Found IRC/SdBot Norman Virus Control Found W32/SDBot.YOW UNA Found Backdoor.SdBot VBA32 Found Backdoor.Win32.SdBot.aad _____________________________________________ Scan de list.bat Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 28C4-7547 Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 28C4-7547
Publicité
Pages : [1] 2 3 4 ... Fin
Page 1 sur 4 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
24,68 €Carte mémoire Samsung 256 Go MicroSDXC Evo Select U3 (130 Mo/s) à 24,68 € livrée
Valable jusqu'au 22 Mai

Amazon Allemagne fait une promotion sur la carte mémoire Samsung 256 Go MicroSDXC Evo Select U3 qui passe à 20,16 € (avec la TVA ajustée). Comptez 4,52 € pour la livraison en France soit un total de 24,68 € livrée

Une bonne affaire pour cette carte que l'on trouve ailleurs à partir de 50 € et qui offre des vitesses de 130 Mo/s en lecture et 110 Mo/s en écriture.  Elle est idéale pour les téléphones, caméras et appareils photo 4K. Elle est étanche, anti-choc et résiste aux rayons X et aux champs magnétiques. Elle est garantie 10 ans.


> Voir l'offre
-20 €-20 € dès 149 € d'achats sur le bricolage et le jardin chez Rakuten
Valable jusqu'au 25 Mai

Rakuten offre actuellement 20 € de réduction dès 149 € d'achats sur le bricolage et le jardin avec le code BRICO20.


> Voir l'offre
139,99 €Set de base sans fil Bosch Professional 18V system avec chargeur GAL et 2 batteries 4Ah à 139,99 €
Valable jusqu'au 21 Mai

Amazon fait une promotion sur le set de base sans fil Bosch Professional 18V system avec un chargeur GAL 18V-40 et 2 batteries 18V 4Ah à 139,99 € au lieu de 170 €. Tout pour bien accompagner vos appareils sans fil Bosch compatibles avec le système 18V de la marque.


> Voir l'offre

Sujets relatifs
Demande d'aide pour analyse pc s'il vous plait
Analyse Hijackthis, s'il vous plaît
Analyse Hijackthis, s'il vous plaît
une analyse hijackthis s'il vous plait
analyse hijackthis s'il vous plait résolut
Analyse Hijackthis s'il vous plait
Analyse hijackThis, s'il vous plait
analyse hijackthis s'il vous plaît
Demande analyse HijackThis
Demande d'analyse hijackthis
Plus de sujets relatifs à Demande d''analyse Hijackthis, s''il vous plait
 > Tous les forums > Forum Sécurité