× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Virus de Boot : comment est il passé ce $#ù%#
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
Juliloise
  Posté le 02/06/2006 @ 11:32 
Aller en bas de la page 
Petit astucien
Bonjour à tous, Cela fait longtemps que je suis les conseils des astuciens mais cette fois ci je dois dire que je ne comprends pas comment j’ai pu me faire rentrer dedans comme cela. [boom] Pentium 4, XP SP2, Kaspersky Personal Pro 5, pas de firewall (celui de win désactivé) En début de semaine, je rentre sur un forum de sport, Kaspersky m’ouvre pleins de fenêtres d’alertes, je valide les suppressions mais en haut de page je vois un script qui se lance. Depuis, je me tape la fameuse fenetre AUTORITE NT SYSTEM avec le message d’alerte comme quoi services.exe dans system 32 a causé une défaillance et le système va s’éteindre dans la minute. Je retarde donc l’horloge pour vous écrire. J’avais déjà eu à faire à ce problème y’a 2 ou 3 ans mais SP2 n’était pas installé. Je dois rajouter que hier encore SP2 n’était pas mis à jour (de qq mois probablement) J’ai scané avec Kaspersky en sans échec = que dalle La ou c’est surprenant c’est que j’ai téléchargé antivir mis à jour au 01/05 et il m’a trouve en sans échec 2 trojan que kaspersky et ewido ne détectaient pas (doiupnky.exe et mcwms.exe qui se sont installé après visite sur le forum de sport) J’ai donc suivi votre procédure de pré nettoyage et je vous livre les scans Ewido : --------------------------------------------------------- ewido anti-malware - Rapport de scan --------------------------------------------------------- + Créé le: 09:48:01, 01/06/2006 + Somme de contrôle: 5A8427D1 + Résultats du scan: C:\System Volume Information\\_restore{8F5385C3-9E5C-4EBB-89E2-F78C9E07AF8C}\RP249\A0057279.dll -> Backdoor.Ralpha : Nettoyer et sauvegarder C:\Documents and Settings\Laurent\Cookies\laurent@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder C:\Documents and Settings\Laurent\Cookies\laurent@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder C:\Documents and Settings\Laurent\Cookies\laurent@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder C:\Documents and Settings\Laurent\Cookies\laurent@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder ::Fin du rapport Hijack : Logfile of HijackThis v1.99.0 Scan saved at 11:22:13, on 01/06/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Program Files\SpamPal\spampal.exe C:\WINDOWS\system32\wuauclt.exe C:\Prog lau\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107943799296 O16 - DPF: {AEF76437-F960-4EBC-97EA-7BBB4230CF38} (OcarptMain Class) - https://oca.microsoft.com/en/secure/ocarpt.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{B9623E54-4FB6-45D2-8FC7-C746D93E2093}: NameServer = 212.27.32.5,213.228.0.168 O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe O23 - Service: Macromedia Licensing Service - Unknown - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\system32\wbem\wmiapsrv.exe Merci pour votre aide [chinois]
Publicité
Chercheur
 Posté le 02/06/2006 à 16:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour HijackThis est propre, juste quelques lignes inutiles. ** Télécharge Silent Runners http://www.silentrunners.org/Silent%20Runners.zip Une fois téléchargé,tu le dézippes dans un dossier dédié. Puis tu double cliques sur ce fichier,il va travailler, patiente jusqu'à l'affichage d'un message. Un rapport est généré dans le meme dossier, colle le ici. Si tu as une alerte au cours du téléchargement ,ou au cours des réparations de ton antivirus,au sujet de ce script,n'en tiend pas compte. ** Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. http://www.f-secure.com/blacklight/try.shtml Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
Juliloise
 Posté le 04/06/2006 à 19:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
merci Chercheur pour ton aide. je ferais tes manips des mardi. [chinois]
Juliloise
 Posté le 06/06/2006 à 10:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonjour Chercheur, voici la suite avec un ordi qui n'a de cesse de vouloir rebooter, c'est à devenir dingue [boom] "Silent Runners.vbs", revision 45, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "PtiuPbmd" = "Rundll32.exe ptipbm.dll,SetWriteBack" [MS] "Ptipbmf" = "rundll32.exe ptipbmf.dll,SetWriteCacheMode" [MS] "KAVPersonal50" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize" ["Kaspersky Lab"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration" -> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Périphériques Plug and Play universels" -> {HKLM...CLSID} = "Périphériques Plug and Play universels" \InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler" -> {HKLM...CLSID} = "NeroDigitalIconHandler Class" \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler" -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class" \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"] HKLM\Software\Classes\PROTOCOLS\Filter\ INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler" -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class" \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\context.dll" ["ewido networks"] Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\context.dll" ["ewido networks"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\sstext3d.scr" [MS] Startup items in "Laurent" & "All Users" startup folders: --------------------------------------------------------- C:\Documents and Settings\Laurent\Menu Démarrer\Programmes\Démarrage "SpamPal" -> shortcut to: "C:\Program Files\SpamPal\spampal.exe" ["www.spampal.org"] C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage "Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS] "InterVideo WinCinema Manager" -> shortcut to: "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe" ["InterVideo Inc."] "Adobe Gamma Loader.exe" -> shortcut to: "C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] Enabled Scheduled Tasks: ------------------------ "Symantec NetDetect" -> launches: "C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Console Java (Sun)" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherche" {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/" Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ ewido security suite control, ewido security suite control, "C:\Program Files\ewido anti-malware\ewidoctrl.exe" ["ewido networks"] kavsvc, kavsvc, ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"" ["Kaspersky Lab"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 34 seconds, including 18 seconds for message boxes) et enfin Fsecure : 06/05/06 09:53:15 [Info]: BlackLight Engine 1.0.37 initialized 06/05/06 09:53:15 [Info]: OS: 5.1 build 2600 (Service Pack 2) 06/05/06 09:53:15 [Note]: 7019 4 06/05/06 09:53:15 [Note]: 7005 0 06/05/06 09:53:18 [Note]: 7006 0 06/05/06 09:53:18 [Note]: 7011 1012 06/05/06 09:53:18 [Note]: 7026 0 06/05/06 09:53:18 [Note]: 7026 0 06/05/06 09:53:18 [Note]: 7015 1740 06/05/06 09:53:18 [Note]: 7015 5 06/05/06 09:53:18 [Note]: 7015 1896 06/05/06 09:53:18 [Note]: 7015 5 06/05/06 09:53:22 [Note]: FSRAW library version 1.7.1015 06/05/06 09:53:31 [Note]: 2000 1006 06/05/06 09:53:47 [Note]: 7006 0 06/05/06 09:53:47 [Note]: 7011 1012 06/05/06 09:53:48 [Note]: 7026 0 06/05/06 09:53:48 [Note]: 7026 0 06/05/06 09:53:48 [Note]: 7015 1740 06/05/06 09:53:48 [Note]: 7015 5 06/05/06 09:53:48 [Note]: 7015 1896 06/05/06 09:53:48 [Note]: 7015 5 06/05/06 09:53:52 [Note]: FSRAW library version 1.7.1015 06/05/06 09:54:02 [Note]: 2000 1006 06/05/06 09:54:11 [Note]: 7007 0 merci pour ton aide [chinois]
Juliloise
 Posté le 06/06/2006 à 10:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
autres infos Chercheur : kaspersky ne se lance plus et me met, des que je veuc l'ouvrir, ce message : ''les bases de déf sont corrompues, veuillez faire une MAJ etc..'', ça télécharge je ne sais quoi mais il ne se lance meme plus au démarrage (il reste en grisé) je viens de faire un scan en ligne avec secuser : 0 virus trouvé l'ordi plante désormais au démarrage 1 fois sur 3 : erreur système irrécuperable [boom]
Chercheur
 Posté le 06/06/2006 à 12:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour Ces rapport sont propres. Télécharge [url="http://www.merijn.org/files/bfu.zip"]Brute Force Uninstaller (de Merijn)[/url]. Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) Ouvre le Bloc-note et copie-colle les lignes en bleu ci-dessous FileDelete C:\egd.txt SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0 Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "Egd.bfu " -sans inclure les guillemets- ; Type : Tous les fichiers). Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) - Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : Egd.bfu - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Egd.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. Clique Exit pour fermer le programme BFU.Folder Poste le rapport situé ici C:\egd.txt Essaye ceci pour réparer Windows qui deviens instable http://www.pcentraide.com/index.php?showtopic=1559
Juliloise
 Posté le 06/06/2006 à 12:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
ok Chercheur et merci de suivre le prob. ça donne ça : Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit" "SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "PtiuPbmd"="Rundll32.exe ptipbm.dll,SetWriteBack" "Ptipbmf"="rundll32.exe ptipbmf.dll,SetWriteCacheMode" "KAVPersonal50"="\"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus Personal Pro\\kav.exe\" /minimize" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1"
Chercheur
 Posté le 06/06/2006 à 12:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Re Rien d'infectieux non plus dans ce rapport. As tu essayer la réparation ?
Juliloise
 Posté le 06/06/2006 à 13:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
bon je viens de réparer. j'attends de voir la suite avec inquiétude et je te tiens au courant. t'as une idée comme j'ai pu me faire rentrer dedans avec SP2 pas tout à fait mis à jour quand meme [rougir] et kaspersky en sécurité maximale en rentrant sur un forum. merci.
Publicité
Juliloise
 Posté le 06/06/2006 à 17:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
re Chercheur bon j'ai reparé windows mais la galère continue. en scannant avec kaspersky reinstallé, la fenetre autorité systme est reapparue avec le décompte puis a disparu toute seule [boom] s'en est suivi des plantages successifs d'outlook, excel, gestionnaires de taches en dépit de rebbot manuel. bref ça sent le format bas niveau tout ça non ?[confus]
Juliloise
 Posté le 06/06/2006 à 19:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
les autorité system continuent.....l'ordi plante, ça rame, bref galère [boom] voila ce que le très controversé Xoftspy m'a trouvé la ou Ewido ne trouve rien : [url]http://www.paretologic.com/resources/definitions.aspx?remove=Espion%202004[/url] la dll en cause serait celle la : c\win\system32\Mscmcfr.dll vu ce que j'ai pu lire ici je reste méfiante avec xofspy. vous en pensez quoi ? merci [smile]
Chercheur
 Posté le 07/06/2006 à 01:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir Ton PC est décidément bien instable. Contre le message et le compte à rebours, essaye ceci. http://www.microsoft.com/downloads/details.aspx?FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074&displaylang=fr Pour savoir si le fichier trouvé est infectieux, va sur ce site http://virusscan.jotti.org/ Clique sur Parcourir et cherche ce fichier. c\win\system32\Mscmcfr.dll Ensuite clique sur Submit. Colle le rapport ici. Pour continuer le nettoyage, télécharge Spyware Terminator http://www.spywareterminator.com/ Installe le dans son répertoire. Tutorial http://www.malekal.com/tutorial_SpywareTerminator.html Lance le. Clique sur Scan, puis Full Spyware scan. Clique sur Start Scan Now.
Juliloise
 Posté le 07/06/2006 à 11:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonjour Chercheur, c'est de pire en pire. toutes mes MAJ de correctifs de win update ont disparu et des que je veux installer celle que tu me preconies, l'ordi plante instantanement avec un joli écran bleu ''stop'' comme si j'avais un conflit physique. pareil si je vais sur windows update, plantage illico à la premiere installation. j'avais deja fait analysé le fichier Mscm sur un site hier, il n'est considére par aucun scan en ligne comme dangereux. tous les scans sonr propres et les alertes d'autorite SYSTem continuent, impossible de bosser. au bord du craquage [smile]
Chercheur
 Posté le 07/06/2006 à 11:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour Si tout les scans ne montrent rien, il s'agit plutôt d'un problème matériel. As tu installé récemment un nouveau logiciel, un nouveau pilote, ... ?
Juliloise
 Posté le 07/06/2006 à 12:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
re Chercheur, rien d'installé depuis qq temps. tout est apparu lorsque je me suis connecté sur ce forum de sport. des que je debranche le réseau et donc le net, je peux bosser sereinement sans qu'il y ait de reboot. ce qui est dingue c'est que mes correctifs aient tous disparu et que je ne puisse meme pas en reinstaller un seul sans que ça plante, y'a aussi l'application Word qui a disparu. va falloir que tu frole l'excellence pour me sortir de la [clindoeil]
Chercheur
 Posté le 07/06/2006 à 15:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

On vérifie si des fichiers sont endommagés. http://www.vulgarisation-informatique.com/scandisk.php
Juliloise
 Posté le 07/06/2006 à 15:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
bon alors deja, il accepte pas l'analyse sans un redémarrage. il l'a faite en 5mn. j'ai voulu installer le SP2 mis à jour juste après, des que je clique sur le .exe, écran bleu aussi sec, plantage. en revanche toujours aucun soucis si je débranche le réseau. je vais le rebrancher pour voir combien de temps ça tient sans reboot. [triste]
Publicité
Juliloise
 Posté le 07/06/2006 à 16:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
bon score exact ça a tenu 1mn et 50sec ça a planté à cause de ça : Temp\WER5b71.dir00\service.exe.mdmp Temp\WER5b71.dir00\appcompat.txt
Chercheur
 Posté le 07/06/2006 à 23:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir J'ai fais quelques recherches, et cela parait difficile. Même le formatage ne résoud pas apparemment. [choc] Télécharge ce correctif de Windows. http://download.microsoft.com/download/7/2/2/7224ba56-e992-4ec9-be4b-ace8ac538f51/Q814995_WXP_SP2_x86_FRA.exe Cela corrige certaines incompatibilités. Si cela ne résoud rien, télécharge Firefox qui est un navigateur alternatif http://www.mozilla-europe.org/fr/products/firefox/ Et essaye de surfer. [clindoeil]
Juliloise
 Posté le 08/06/2006 à 09:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonjour Chercheur, ça sent pas bon cette affaire [boom] est ce que tu peux me dire ce que j'ai choppé et comment puisque toutes les manip qu'on a pu faire ne montre rien !!!! je ne peux installer aucun correctif, l'ordi plante illico avec un écran bleu ''stop'' au stade ou j'en suis est ce que le formatage bas niveau est ma seule alternative ? si tel est le cas est ce que ça va nettoyer la mbr ? merci
Juliloise
 Posté le 08/06/2006 à 12:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Chercheur, Firefox [triste], ça plante pareil ! sinon strictement aucun plantage des que je debranche le lan. est que ce cas est courant chez les astuciens ? ça soulève quand meme pleins de questions et ça mériterait d'informer les astuciens car je trouve ce cas particulierement interessant meme si ça me [boom]
Chercheur
 Posté le 08/06/2006 à 17:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour Je continue mes recherches et je reviens plus tard. Pour le correctif, est ce que tu l'as utilisé sans le net ? Avec l'écran bleu, est ce que tu as un message d'erreur autre que Stop ? Lequel ?
Juliloise
 Posté le 08/06/2006 à 18:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
re Chercheur, j'ai essayé sans le Lan mais ça plante pareil, y compris apres avoir gravé le sp2 MAJ au 31/05/06. l'écran bleu stipule d'éventuellement mettre à jour la carte vidéo ou de la remplacer en supposant un conflit cette aprem j'ai pu bosser sans soucis, le lan débranché ! merci pour tes recherches [chinois]
Chercheur
 Posté le 08/06/2006 à 23:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir Plusieurs choses à faire: de la protection, de la réparation, des analyses pour connaitre certains fichiers et une analyse antivirus. ** Quel est ton parefeu ? Si tu n'en as pas, télacharge en un, par exemple [url="http://www.zonelabs.com/"]ZoneAlarm[/url] et son [url="http://speedweb1.free.fr/frames2.php?page=tuto1"] tutorial[/url] Cela permet de surveiller le trafic et éventuellement un mouvement suspect. ** Réinstalle ta connection internet. Il peut y avoir un fichier défectueux qui perturbe le système. ** Supprime hijackThis, tu utilises une ancienne version. Télécharge le ici. http://telechargement.zebulon.fr/160-Patch-fran%E7ais-pour-HijackThis-1.99.1.html Fais un scan et poste le rapport. ** Télécharge IceSword http://xfocus.net/tools/200509/IceSword_en1.12.rar Tu l'installe et tu le lances. Clique sur Process à gauche, puis sur Log en bleu pour enregister le rapport. Recommence avec Ports. Poste les deux rapports. ** Télécharge Dr.Web CureIt ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe Tu le mets sur le Bureau. Lances le, clique sur OK pour accepter l'analyse. Sauvegarde le rapport s'il trouve quelque chose. Ensuite lance une nouvelle analyse en choisissant ton disque. Poste le rapport.
Juliloise
 Posté le 09/06/2006 à 10:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonjour Chercheur, y'a du mieux ce matin [clindoeil] bon je n'avais pas de firewall (désactivé celui de win) Nous sommes au boulot en réseau et avons accès au net via la freebox en mode routeur. depuis que j'ai mis zalarm, plus de message autorite system mais sans cesse il bloque svchost.exe. Je te met une capture [url]http://loranger33.free.fr/zlarm[/url] Hijack MAJ : Logfile of HijackThis v1.99.1 Scan saved at 09:41:44, on 08/06/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Program Files\SpamPal\spampal.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149667847156 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {AEF76437-F960-4EBC-97EA-7BBB4230CF38} - https://oca.microsoft.com/en/secure/ocarpt.CAB O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Icesword : Process£º System Idle Process System C:\WINDOWS\explorer.exe C:\Program Files\SpamPal\spampal.exe C:\WINDOWS\System32\SMSS.EXE C:\WINDOWS\System32\csrss.exe C:\WINDOWS\System32\winlogon.exe C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\System32\services.exe C:\WINDOWS\System32\lsass.exe C:\Program Files\Spyware Terminator\Spywareterminatorshield.Exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Java\jre1.5.0_06\bin\JUSCHED.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\spoolsv.exe C:\Prog lau\Nettoyage PC\is_en\IceSword.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe icesword port : Port£º Protocol Local Address Foreign Address State PID PathName TCP 127.0.0.1 : 2130 127.0.0.1 : 110 FIN_WAIT2 1508 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\KAVSVC.EXE TCP 127.0.0.1 : 1636 127.0.0.1 : 110 FIN_WAIT2 1508 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\KAVSVC.EXE TCP 127.0.0.1 : 1304 127.0.0.1 : 110 FIN_WAIT2 1508 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\KAVSVC.EXE TCP 192.168.0.1 : 2258 64.233.183.147 : 80 TIME_WAIT 0 ---- TCP 192.168.0.1 : 2262 64.233.183.147 : 80 TIME_WAIT 0 ---- TCP 192.168.0.1 : 2263 129.2.99.47 : 80 TIME_WAIT 0 ---- TCP 192.168.0.1 : 2259 64.207.148.46 : 80 TIME_WAIT 0 ---- TCP 0.0.0.0 : 445 0.0.0.0 : 0 LISTENING 4 NT OS Kernel TCP 192.168.0.1 : 139 0.0.0.0 : 0 LISTENING 4 NT OS Kernel TCP 0.0.0.0 : 135 0.0.0.0 : 0 LISTENING 1016 C:\WINDOWS\System32\SVCHOST.EXE TCP 0.0.0.0 : 1025 0.0.0.0 : 0 LISTENING 1508 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\KAVSVC.EXE TCP 127.0.0.1 : 1027 0.0.0.0 : 0 LISTENING 976 C:\WINDOWS\System32\ALG.EXE TCP 127.0.0.1 : 110 0.0.0.0 : 0 LISTENING 2196 C:\Program Files\SpamPal\SPAMPAL.EXE TCP 127.0.0.1 : 143 0.0.0.0 : 0 LISTENING 2196 C:\Program Files\SpamPal\SPAMPAL.EXE UDP 0.0.0.0 : 500 * : * 784 C:\WINDOWS\System32\LSASS.EXE UDP 0.0.0.0 : 1225 * : * 1160 C:\WINDOWS\System32\SVCHOST.EXE UDP 0.0.0.0 : 1229 * : * 1160 C:\WINDOWS\System32\SVCHOST.EXE UDP 192.168.0.1 : 1900 * : * 1188 C:\WINDOWS\System32\SVCHOST.EXE UDP 0.0.0.0 : 1164 * : * 1160 C:\WINDOWS\System32\SVCHOST.EXE UDP 0.0.0.0 : 1226 * : * 1160 C:\WINDOWS\System32\SVCHOST.EXE UDP 127.0.0.1 : 123 * : * 1056 C:\WINDOWS\System32\SVCHOST.EXE UDP 192.168.0.1 : 137 * : * 4 NT OS Kernel UDP 0.0.0.0 : 1223 * : * 1160 C:\WINDOWS\System32\SVCHOST.EXE UDP 0.0.0.0 : 1041 * : * 1160 C:\WINDOWS\System32\SVCHOST.EXE UDP 0.0.0.0 : 1227 * : * 1160 C:\WINDOWS\System32\SVCHOST.EXE UDP 192.168.0.1 : 138 * : * 4 NT OS Kernel UDP 127.0.0.1 : 1900 * : * 1188 C:\WINDOWS\System32\SVCHOST.EXE UDP 0.0.0.0 : 1224 * : * 1160 C:\WINDOWS\System32\SVCHOST.EXE UDP 0.0.0.0 : 4500 * : * 784 C:\WINDOWS\System32\LSASS.EXE UDP 0.0.0.0 : 1228 * : * 1160 C:\WINDOWS\System32\SVCHOST.EXE UDP 192.168.0.1 : 123 * : * 1056 C:\WINDOWS\System32\SVCHOST.EXE UDP 0.0.0.0 : 445 * : * 4 NT OS Kernel UDP 0.0.0.0 : 1050 * : * 1160 C:\WINDOWS\System32\SVCHOST.EXE UDP 127.0.0.1 : 2168 * : * 2912 C:\Program Files\Internet Explorer\IEXPLORE.EXE RAW --- --- --- 4 NT OS Kernel RAW --- --- --- 4 NT OS Kernel RAW --- --- --- 4 NT OS Kernel RAW --- --- --- 784 C:\WINDOWS\System32\LSASS.EXE RAW --- --- --- 1652 C:\WINDOWS\System32\ZoneLabs\vsmon.exe quant à Dr web il n'a rien trouvé si ce n'est le script Silent runner que tu m'as fait téléchargé l'autre soir. je vais tenter de reinstaller les correctifs. [smile]
Juliloise
 Posté le 09/06/2006 à 11:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
et depuis la cata totale désormais l'ordi tiens 5sec après le démarrage puis l'écran bleu stop. [boom] en sans échec j'ai enlevé le firewall, ça change rien, 5 sec en mode normal et bingo arret total. [pleurer]
Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
144,80 €Mini PC Acute Angle AA-B4 (Celeron N3450, 8Go RAM, 64Go+SSD 128Go) à 144,80 € avec le code GBCNSJXPC
Valable jusqu'au 09 Juillet

Gearbest fait une promotion sur l'ordinateur Acute Angle AA - B4 qui passe à 144,80 € au lieu de 180 € grâce au code promo GBCNSJXPC. Ce mini PC au design atypique et au corps en bois, intègre un processeur Intel Celeron N3450 (4 coeurs de 1,1 à 2,2 GHz), 8 Go de RAM, un espace de stockage de 64 Go EMMC ainsi qu'un SSD de 128 Go. Il possède également le WiFi5, le Bluetooth 5.0, une prise Ethernet Gigabit, 3 ports USB 3.0, une sortie HDMI. L'ordinateur est livré avec une prise électrique européenne. Il est accompagné de Windows 10 Familial. Avec ce PC, vous pourrez réaliser sans soucis toutes vos tâches courantes : internet, bureautique, multimédia.

Ce marchand sérieux se trouvant en Chine, la livraison peut prendre une quinzaine de jours. Comptez une dizaine d'euros pour la livraison en France et l'assurance pour le transport. Vous pouvez payer par carte bancaire ou par Paypal (conseillé pour bénéficier de la garantie Paypal).


> Voir l'offre
-15 €15 € de réduction à partir de 99 € d'achats chez Rakuten avec le code RAKUTEN15
Valable jusqu'au 08 Juillet

Rakuten propose un nouveau un code de réduction permettant d'obtenir 15 € de réduction dès 99 € d'achats sur son site. Pour profiter de cette offre, saisissez le code RAKUTEN15  dans votre panier. 


> Voir l'offre
10,02 €Adaptateur Bluetooth USB TP-Link UB400 à 10,02 €
Valable jusqu'au 10 Juillet

Amazon fait une promotion sur l'adaptateur Bluetooth USB TP-Link UB400 qui passe à 10,02 €. Cet adaptateur à brancher sur un port USB va vous permettre d'ajouter le bluetooth à votre ordinateur et d'utiliser ensuite sans fil vos périphériques bluetooth : souris, clavier, casque, manette, téléphone, ...


> Voir l'offre

Sujets relatifs
comment un virus passe-t-il NORTON?
plantage Virus,ordi ne boot plus
Comment supprimer ce virus ?
Virus de boot. Qui a raison?
comment supprimer le virus html/malicious.flash.gen
Virus Total Uploader 3.1 comment on s'en sert
comment me debarrasser du virus boxore
ad.zanox.com est il un virus ? Comment le supprimer?
Comment immuniser une clé USB contre les virus de raccourcis?
comment enlever le mot de passe automatique
Plus de sujets relatifs à Virus de Boot : comment est il passé ce $#ù%#
 > Tous les forums > Forum Sécurité