Sujet Précédent Sujet Suivant

Srosa.sys + winupgro.exe

Chavin84 Messages postés 11 Statut Membre -  
Trying2 Messages postés 7751 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

J'aurais besoin d'une petite aide.
Ca fait un ptit bout de temps que je n'utilise plus mon pc portable que pour graver des DVD (XP SP1). J'avais par moment un ecran bleu, mais j'arrivais toujours à m'en sortir.
1. L'écran bleu apparaissait au lancement de Windows (apres mdp) a moins que je kill le processus winupgro.exe
2. Hier j'ai demarré le PC pour graver des trucs mais j'oublie de killer le winupgro.exe. --> Ecran bleu. Pas de soucis je rallume mais la impossible d'acceder au bureau, ni en mode normal, ni en mode sans echec. En cause : srosa.sys

Apres avoir desactivé srosa.sys par la console de recuperation windows j'ai accedé au bureau et supprimé deux fichiers srosa.sys et srosa2.sys qui etait dans Documents and Settings...etc.
Rien de plus, je ne pense pas que cela ait désinfecté mon PC mais au moins j'y ai acces pour commencer un scan approfondi.

Je viens de faire un hijackthis que je vous post ci dessous (pour ca j'ai dut killer winupgro donc il n'apparait pas dans les processus en cours mais juste dans les clefs de registre ci dessous)

Mes questions sont les suivantes:
- comment etre sur que srosa est bien enlevé et comment supprimer winupgro ?
- Y a t'il d'autres virus connu selon le rapport ?
- Ces 2 virus se propagent ils sur les supports amovibles (genre clef ou DD externe, ou DVD gravés?)?

Merci d'avance pour votre aide
(je suis en Amérique du Sud, donc il y aura surement un décalage (horaire) entre vos conseils et mes réponses, mais je reste à l'ecoute :-))

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:31:12, on 03/10/2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Vincent\Application Data\drivers\winupgro.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
O24 - Desktop Component 0: (no name) - http://webalbum.foto.com/Photos/volume010/80651_178693_20061126/LowRes/medium_12627148.jpg

15 réponses

Réponse 1 / 15
Trying2 Messages postés 7751 Date d'inscription   Statut Contributeur sécurité Dernière intervention   234
 
Hello,

Supprime (met à la corbeille et vide la) tous les cracks et keygens qui sont présents sur ton pc: Ils sont la cause de ton infection.

▶ Télécharge FindyKill ( de Chiquitine29) sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

! Déconnecte toi et ferme toutes applications en cours !

• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

• Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisi l'option " F " pour français et tape sur [entrée] .

• Au second menu choisi l'option " 1 " (recherche) et tape sur [entrée]

▶ Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum.

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

▶ Aides en images : http://pagesperso-orange.fr/NosTools/tuto_fyk2.html
▶ Aides en video :http://pagesperso-orange.fr/NosTools/findykill_video.html
0
Réponse 2 / 15
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Bonsoir,

Ces processus correspondent habituellement à l'infection Bagle.
Cette infection s'attrape par le téléchargement de cracks, qui sont l'un des principaux vecteurs d'infection aujourd'hui ! Plus d'infos ici

Pour désinfecter :

• Télécharge FindyKill (de Chiquitine29)
• Fais un clic droit sur le lien → enregistrer sous → Bureau
• Lance l'installation avec les paramètres par défaut
• Double clique sur le raccourci FindyKill sur ton Bureau
• Au menu principal, choisis l'option 1 (Recherche)
• Poste le rapport C:/FindyKill.txt (il est sauvegardé à la racine du disque dur)

Aide en images (Installation)
Aide en images (Recherche)

0
Réponse 3 / 15
Trying2 Messages postés 7751 Date d'inscription   Statut Contributeur sécurité Dernière intervention   234
 
comment etre sur que srosa est bien enlevé et comment supprimer winupgro?

Nous ferons les vérifications nécessaires.
- Y a t'il d'autres virus connu selon le rapport ?
Pas pour l'instant. En revanche il faut absolument que tu mette ton pc à jour.

- Ces 2 virus se propagent ils sur les supports amovibles (genre clef ou DD externe, ou DVD gravés?)?
Oui, on s'en occupera.
0
Réponse 4 / 15
Chavin84 Messages postés 11 Statut Membre
 
OK super merci !
Vous dormez pas les admins en France ? :-)

Je suis en train de faire le FinyKill sur le PC et j'ai branché USB et DDExterne. Concernant les qqs DVDs gravés il s'agissait uniquement de sauvegardes de Photos ... je recommencerai a la fin sur les CDs si vous pensez que c'est necessaire.

Je post le rapport des que c'est fini.
merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
Chavin84 Messages postés 11 Statut Membre
 
Plus rapide que prévu

Voici le rapport de FindyKill:

############################## | FindyKill V5.002 |

# User : Vincent (Administrateurs) # VINCENT
# Update on 07/06/09 by Chiquitine29
# Start at: 10:25:30 PM | 03/10/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Pentium(R) M processor 1.70GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 1
# Internet Explorer 6.0.2800.1106

# C:\ # Disque fixe local # 48,83 Go (19,83 Go free) # NTFS
# D:\ # Disque amovible # 14,92 Go (3,96 Go free) [VCR] # FAT32
# E:\ # Disque fixe local # 29,28 Go (4,37 Go free) # FAT32
# F:\ # Disque fixe local # 14,63 Go (14,63 Go free) # FAT32
# G:\ # Disque CD-ROM
# Z:\ # Disque fixe local # 93,14 Go (12,48 Go free) [USBPRO] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## | C: |

################## | C:\WINDOWS |

Présent ! C:\WINDOWS\exefld

################## | C:\WINDOWS\system32 |

################## | C:\WINDOWS\system32\drivers |

################## | C:\Documents and Settings\Vincent\Application Data |

Présent ! C:\Documents and Settings\Vincent\Application Data\drivers
Présent ! C:\Documents and Settings\Vincent\Application Data\drivers\downld
Présent ! C:\Documents and Settings\Vincent\Application Data\drivers\winupgro.exe

################## | Autres ... |

# Références de comparaison Bagle MD5 :

File : C:\Documents and Settings\Vincent\Application Data\drivers\winupgro.exe
-> Crc32 : 2144df1c | Md5 : 140b7003768478b6cc28c769546c48c5

################## | C:\Documents and Settings\Vincent\Temporary Internet Files |

################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet002\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-1659004503-507921405-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-1659004503-507921405-1343024091-1003\Software\bisoft]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-1659004503-507921405-1343024091-1003\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# SharedAccess -> Start = "Start" ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.002 ! |
0
Trying2 Messages postés 7751 Date d'inscription   Statut Contributeur sécurité Dernière intervention   234
 
! Déconnecte toi et ferme toute application en cours (navigateur compris) .

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu choisi l'option 2 (suppression) et tape sur [entrée]

* Le pc va redémarrer automatiquement ...

--> le programme va travailler, ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

* Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

Aides en images ( Suppression ) : http://pagesperso-orange.fr/FindyKill.Ad.Remover/fyk_nettoyage.html
0
Réponse 6 / 15
Trying2 Messages postés 7751 Date d'inscription   Statut Contributeur sécurité Dernière intervention   234
 
je recommencerai a la fin sur les CDs si vous pensez que c'est necessaire.

Je ne crois pas qu'on puisse y faire quelque chose.

Hello Anthony5151, qu'en penses-tu ?
0
Réponse 7 / 15
Chavin84 Messages postés 11 Statut Membre
 
Au moins les détecter peut etre (pour savoir lesquels je jete, lesquels je grave?). Sachant que ce sont que des DVD avec des photos en JPEG et RAW, ya pas un moyen de voir un .exe ou .sys qui traine ?
0
Trying2 Messages postés 7751 Date d'inscription   Statut Contributeur sécurité Dernière intervention   234
 
Il faut refaire la procédure avec Findykill en insérant ton cd avant dans le lecteur.
0
Réponse 8 / 15
Chavin84 Messages postés 11 Statut Membre
 
Ok je vais faire ca avec les DVDs que j'ai gravé depuis qqs mois ...

Sinon, voici le rapport de suppression.
J'ai pas vu les LEDs des perifs externes (DDExterne et USB) clignoter durant leur analyse. Est on sur qu'ils sont controlés si branchés ?

############################## | FindyKill V5.002 |

# User : Vincent (Administrateurs) # VINCENT
# Update on 07/06/09 by Chiquitine29
# Start at: 10:44:52 PM | 03/10/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Pentium(R) M processor 1.70GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 1
# Internet Explorer 6.0.2800.1106

# C:\ # Disque fixe local # 48,83 Go (19,83 Go free) # NTFS
# D:\ # Disque amovible # 14,92 Go (3,96 Go free) [VCR] # FAT32
# E:\ # Disque fixe local # 29,28 Go (4,37 Go free) # FAT32
# F:\ # Disque fixe local # 14,63 Go (14,63 Go free) # FAT32
# G:\ # Disque CD-ROM
# Z:\ # Disque fixe local # 93,14 Go (12,48 Go free) [USBPRO] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\sessmgr.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## | C: |

################## | C:\WINDOWS |

Supprimé ! C:\WINDOWS\exefld
Supprimé ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-0C1070CC.pf
Supprimé ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf

################## | C:\WINDOWS\system32 |

################## | C:\WINDOWS\system32\drivers |

################## | C:\Documents and Settings\Vincent\Application Data |

Supprimé ! C:\Documents and Settings\Vincent\Application Data\drivers\winupgro.exe
Supprimé ! C:\Documents and Settings\Vincent\Application Data\drivers\downld
Supprimé ! C:\Documents and Settings\Vincent\Application Data\drivers

################## | Autres ... |

# Références de comparaison Bagle MD5 :

File : C:\Documents and Settings\Vincent\Application Data\drivers\winupgro.exe
-> Crc32 : 2144df1c | Md5 : 140b7003768478b6cc28c769546c48c5

################## | Temporary Internet Files |

################## | Registre / Clés infectieuses |

Supprimé ! [HKCU\Software\bisoft]
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Mode sans echec restauré !

# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# SharedAccess -> Start = "Start" ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # FindyKill V5.002 ! |
0
Trying2 Messages postés 7751 Date d'inscription   Statut Contributeur sécurité Dernière intervention   234
 
Oui, ils étaient bien détectés:

# D:\ # Disque amovible # 14,92 Go (3,96 Go free) [VCR] # FAT32
# E:\ # Disque fixe local # 29,28 Go (4,37 Go free) # FAT32
# F:\ # Disque fixe local # 14,63 Go (14,63 Go free) # FAT32
# Z:\ # Disque fixe local # 93,14 Go (12,48 Go free) [USBPRO] # FAT32

Mais rien n'était présent dessus.


Afin de faire un diagnostic plus poussé tu peux exécuter ce qui suit:


- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents.
0
Réponse 9 / 15
Chavin84 Messages postés 11 Statut Membre
 
Voici le log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by Vincent at 2009-10-03 23:10:40
Microsoft Windows XP Professionnel Service Pack 1
System drive C: has 21 GB (42%) free of 50 GB
Total RAM: 511 MB (50% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:10:48, on 03/10/2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\Documents and Settings\Vincent\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Vincent.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
O24 - Desktop Component 0: (no name) - http://webalbum.foto.com/Photos/volume010/80651_178693_20061126/LowRes/medium_12627148.jpg
0
Réponse 10 / 15
Chavin84 Messages postés 11 Statut Membre
 
Voici le info.txt

info.txt logfile of random's system information tool 1.06 2009-10-03 23:10:52

======Uninstall list======

-->MsiExec.exe /I{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{88E5FCB8-5F25-11D5-B16F-0800460222F0}\setup.exe" -l0x40c UNINSTALL
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D76298C2-E532-4A11-BCFF-76F3F19DA84D}\setup.exe" UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware SE Professional-->C:\PROGRA~1\Lavasoft\AD-AWA~1\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\INSTALL.LOG
Adobe Acrobat 7.0.7 Professional - English, Français, Deutsch-->msiexec /I {AC76BA86-1033-F400-7760-000000000002}
Adobe Flash Player Plugin-->C:\WINDOWS\System32\Macromed\Flash\uninstall_plugin.exe
Adobe Stock Photos 1.0-->MsiExec.exe /I{47813E93-F2A0-484A-838E-47EC1B28D190}
Adobe SVG Viewer 3.0-->C:\Program Files\Fichiers communs\Adobe\SVG Viewer 3.0\Uninstall\Winstall.exe -u -fC:\Program Files\Fichiers communs\Adobe\SVG Viewer 3.0\Uninstall\Install.log
ALO RM MP3 Cutter 1.0-->"C:\Program Files\ALO SOFT\RM MP3 Cutter\unins000.exe"
Ant Renamer-->"C:\Program Files\Ant Renamer\unins000.exe"
Any Password 1.43-->"C:\Program Files\Any Password\unins000.exe"
Apple Software Update-->MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
arniWORX Daemon-Tools ShellExtension (remove only)-->"C:\Program Files\arniWORX\awxDTools\uninstall.exe"
ATI - Utilitaire de désinstallation du logiciel-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Control Panel-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
ATI Display Driver-->rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATnotes Version 9.5-->"C:\Program Files\ATnotes\unins000.exe"
AVG Anti-Spyware 7.5-->C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\Uninstall.exe
Azureus-->C:\Program Files\Azureus\Uninstall.exe
Canon Utilities EOS Utility-->"C:\Program Files\Fichiers communs\Canon\UIW\1.1.0.0\Uninst.exe" "C:\Program Files\Canon\EOS Utility\Uninst.ini"
Canon Utilities PhotoStitch-->"C:\Program Files\Fichiers communs\Canon\UIW\1.1.0.0\Uninst.exe" "C:\Program Files\Canon\PhotoStitch\Uninst.ini"
CDDRV_Installer-->MsiExec.exe /I{0C826C5B-B131-423A-A229-C71B3CACCD6A}
Centrino Hardware Control-->MsiExec.exe /I{2B676DAD-32EF-41E3-9BCD-2B159BE9FE83}
Client Windows Rights Management-->MsiExec.exe /X{EC905264-BCFE-423B-9C42-C3A106266790}
Correctif Windows XP - KB822603-->C:\WINDOWS\$NtUninstallKB822603$\spuninst\spuninst.exe
Correctif Windows XP - KB824146-->C:\WINDOWS\$NtUninstallKB824146$\spuninst\spuninst.exe
Correctif Windows XP - KB842773-->C:\WINDOWS\$NtUninstallKB842773$\spuninst\spuninst.exe
DTE Security v.3.0-->"C:\Program Files\DTE Security 30\unins000.exe"
DynDNS Updater 3.0-->"C:\Program Files\DynDNS Updater\unins000.exe"
EasyPHP 1.8-->"C:\Program Files\EasyPHP1-8\unins000.exe"
eMule-->"C:\Program Files\eMule\Uninstall.exe"
EphPod-->C:\PROGRA~1\EphPod\UNWISE.EXE C:\PROGRA~1\EphPod\INSTALL.LOG
Ethereal 0.10.11-->"C:\Program Files\Ethereal\uninstall.exe"
Exifer-->"C:\Program Files\Exifer\unins000.exe"
FindyKill-->C:\FindyKill\Uninstal.exe
FLEXid8 Driver-->MsiExec.exe /X{1742237A-0E60-40A1-9B5C-824450FCBD59}
Google Talk (remove only)-->"C:\Program Files\Google\Google Talk\uninstall.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
InterVideo WinDVD-->"C:\Program Files\InstallShield Installation Information\{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}\setup.exe" REMOVEALL
ISOpen V4.3-->"C:\Program Files\ISOpen\unins000.exe"
iTunes-->MsiExec.exe /I{B8A204BC-7177-470E-BBDD-47256D05B325}
J2SE Development Kit 5.0 Update 1-->MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0150010}
J2SE Runtime Environment 5.0 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150010}
KhalInstallWrapper-->MsiExec.exe /I{3101CB58-3482-4D21-AF1A-7057FC935355}
K-Lite Mega Codec Pack 1.51-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
L&H TTS3000 Français-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\LHTTSFRF.inf, Uninstall
Lecteur Windows Media 10-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Lightroom-->MsiExec.exe /I{6297F8EC-D821-4B33-B845-8A8D1A0DF472}
Logitech SetPoint-->C:\Program Files\InstallShield Installation Information\{F29B21BD-CAA6-445F-8EF7-A7E2B9D8B14E}\setup.exe -runfromtemp -l0x040c -removeonly
Macromedia Flash MX 2004-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2F353D44-73BB-4971-B31D-F7642E9E9531}\Setup.exe" -l0x40c UNINSTALL
Macrovision FLEXid Drivers-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0ADC98E8-BDD7-42F7-AC15-093C1B54CDAE}\setup.exe" -l0x9 -removeonly
McAfee VirusScan Enterprise-->MsiExec.exe /I{4DCA2739-9D16-4B55-808C-E72CD70A5BD3}
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft Research Mesh Connectivity Layer-->MsiExec.exe /I{A8C81B1A-69DD-4CA6-A90E-774C9BEB18B5}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual Studio 6.0 Édition Entreprise (Français)-->"C:\Program Files\Microsoft Visual Studio\Common\Setup\1036\Setup.exe"
Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mozilla Firefox (2.0.0.16)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
myTunes Redux 1.0-->"C:\Program Files\myTunes Redux\unins000.exe"
Nero OEM-->C:\Program Files\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NeroVision Express 2-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
O2Micro MemoryCardBus Windows Driver-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{015D937D-9D52-45A4-BDAA-2413938C0564} /l1033
OCR Software by I.R.I.S 7.0-->C:\Program Files\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
ODBC 35-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\ODBC 35\ODBC 35\Unodbc.isu" -c"C:\Program Files\ODBC 35\ODBC 35\_UNODBC.DLL"
OpenMG Limited Patch 4.0-04-11-28-01-->C:\Program Files\Fichiers communs\Sony Shared\OpenMG\HotFixes\HotFix4.0-04-11-28-01\HotFixSetup\setup.exe /u
OpenMG Secure Module 4.0.05-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{BB92E35A-F5B8-4D59-90F3-CF863871BCF3} /l1033 UNINSTALL
Paint.NET v2.5-->MsiExec.exe /I{D6337375-95EA-4329-BF41-FE0327EDE00F}
QuickTime-->MsiExec.exe /I{F07B861C-72B9-40A4-8B1A-AAED4C06A7E8}
REALTEK Gigabit and Fast Ethernet NIC Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94FB906A-CF42-4128-A509-D353026A607E}\setup.exe" -l0x40c REMOVE
Roxio UDF Reader-->C:\WINDOWS\System32\UDFRUNIN.EXE
Sentinel System Driver-->C:\WINDOWS\SYSTEM32\RNBOSENT\SETUPX86.EXE /U /q
Service Pack 1a pour Windows XP-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
Shockwave-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Skype™ 3.6-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Smart Link 56K Modem-->C:\WINDOWS\Modio\SLAMR2KV\Setup.exe /Remove
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
SyncToy-->MsiExec.exe /I{E7887F0B-066C-4D26-AFD9-62B72CF24D9A}
TablePCRT-->MsiExec.exe /X{C46A5F24-B91F-477C-B634-DB99A7D7792A}
TrueCrypt-->C:\WINDOWS\TrueCrypt Setup.exe /u C:\Program Files\TrueCrypt
UltraEdit-32-->"C:\Program Files\UltraEdit\Uninstall.exe" "C:\Program Files\UltraEdit\ueinstall.log"
VIA Audio Driver Setup Program-->RunDll32.exe UnAudioNT.dll,UninstallAudio C:\WINDOWS\IsUninst.exe -y-f"C:\PROGRA~1\VIAudioi\SBASetup\Uninst.isu"
VideoLAN VLC media player 0.8.5-->C:\Program Files\VideoLAN\VLC\uninstall.exe
VNC Enterprise Edition 4.1.3-->"C:\Program Files\RealVNC\VNC4\unins000.exe"
Winamp (remove only)-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Genuine Advantage v1.3.0254.0-->MsiExec.exe /I{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
ZoneAlarm Pro-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe

======Hosts File======

192.168.0.5 chavin84.homeftp.net

192.168.1.22 HP001CC43F8454

======System event log======

Computer Name: VINCENT
Event Code: 7001
Message: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.

Record Number: 158520
Source Name: Service Control Manager
Time Written: 20081015091129.000000-180
Event Type: erreur
User:

Computer Name: VINCENT
Event Code: 7001
Message: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.

Record Number: 158519
Source Name: Service Control Manager
Time Written: 20081015091049.000000-180
Event Type: erreur
User:

Computer Name: VINCENT
Event Code: 7001
Message: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.

Record Number: 158518
Source Name: Service Control Manager
Time Written: 20081015091009.000000-180
Event Type: erreur
User:

Computer Name: VINCENT
Event Code: 7001
Message: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.

Record Number: 158517
Source Name: Service Control Manager
Time Written: 20081015090929.000000-180
Event Type: erreur
User:

Computer Name: VINCENT
Event Code: 7001
Message: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.

Record Number: 158516
Source Name: Service Control Manager
Time Written: 20081015090849.000000-180
Event Type: erreur
User:

=====Application event log=====

Computer Name: VINCENT
Event Code: 102
Message: msnmsgr (1684) \\.\C:\Documents and Settings\Vincent\Local Settings\Application Data\Microsoft\Messenger\vchavoutier@hotmail.com\SharingMetadata\Working\database_18C8_F88F_C8F8_6BFE\dfsr.db: Le moteur de base de données a démarré une nouvelle instance (0).

Record Number: 9291
Source Name: ESENT
Time Written: 20071008100937.000000-240
Event Type: Informations
User:

Computer Name: VINCENT
Event Code: 100
Message: msnmsgr (1684) Le moteur de base de données 5.01.2600.0000 est démarré.

Record Number: 9290
Source Name: ESENT
Time Written: 20071008100937.000000-240
Event Type: Informations
User:

Computer Name: VINCENT
Event Code: 12001
Message: The Messenger Sharing USN Journal Reader service started successfully.

Record Number: 9289
Source Name: usnjsvc
Time Written: 20071008100935.000000-240
Event Type:
User:

Computer Name: VINCENT
Event Code: 5000
Message: VirusScan Enterprise Le service McShield a démarré - Recherche de 328886 virus en cours.

Version de moteur : 5.2.00

Version de .DAT : 5134

Nom d'EXTRA.DAT : Aucun

Nombre de signatures de virus dans EXTRA.DAT : Aucun

Noms des virus détectés par EXTRA.DAT : Aucun

Record Number: 9288
Source Name: McLogEvent
Time Written: 20071008100236.000000-240
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: VINCENT
Event Code: 101
Message: msnmsgr (1208) Le moteur de base de données est arrêté.

Record Number: 9287
Source Name: ESENT
Time Written: 20071007080424.000000-240
Event Type: Informations
User:

======Environment variables======

"BitRock"=1
"ComSpec"=%SystemRoot%\system32\cmd.exe
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=C:\Perl\bin\;%SYSTEMROOT%\SYSTEM32;%SYSTEMROOT%;%SYSTEMROOT%\SYSTEM32\WBEM;C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL;C:\PROGRA~1\ULTRAE~1;C:\PROGRAM FILES\DOXYGEN\BIN;;C:\WINDOWS\SYSTEM32\WSG32\;C:\WINDOWS\system32;E:\UCLA\CS Dept\Research\iPerf\;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 13 Stepping 6, GenuineIntel
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=0d06
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%
"CLASSPATH"=.;C:\Program Files\Java\jre1.5.0_01\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.5.0_01\lib\ext\QTJava.zip

-----------------EOF-----------------
0
Réponse 11 / 15
Chavin84 Messages postés 11 Statut Membre
 
Hello,

un ptit up pour savoir si les 2 rapports que vous m'avez demandé indique encore des traces ?
De plus j'arrive toujours pas à reactiver l'analyse de fichier à l'acces avec mcafee. Cela peut il toujours venir de Bagle ou d'un probleme de services de mon coté?

Merci
0
Réponse 12 / 15
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
D'après moi, le rapport est bon ;) Tu peux faire ce scan de vérification si tu veux :

• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher" et sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

Concernant McAfee, il a été endommagé définitivement par l'infection Bagle. Il faut que tu le désinstalles puis que tu le réinstalles. Même chose pour d'autres logiciels de sécurité s'ils ne fonctionnent plus.

Ensuite, je laisse Trying continuer ;)

0
Réponse 13 / 15
Chavin84 Messages postés 11 Statut Membre
 
Merci Anthony5151

Ci dessous le rapport apres suppression:
Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2252
Windows 5.1.2600 Service Pack 1

04/10/2009 10:08:24 AM
mbam-log-2009-10-04 (10-08-24).txt

Type de recherche: Examen rapide
Eléments examinés: 91061
Temps écoulé: 5 minute(s), 1 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\documents and settings\Vincent\Application Data\drivers\downld (Worm.Bagle) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Explorer.sav (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
0
Trying2 Messages postés 7751 Date d'inscription   Statut Contributeur sécurité Dernière intervention   234
 
Merci Anthony pour le relais.

@Chavin84
Tu as une licence payante pour McAfee?

Tu souhaites éventuellement changer pour un antivirus gratuit efficace?
0
Réponse 14 / 15
Chavin84 Messages postés 11 Statut Membre
 
Je pensais mettre Avast ? Qu'en penses tu ?

Concernant Malwarebytes' Anti-Malware j'ai refait une recherche complete cette fois ci, et il a trouvé de nouveau une source de Bagle. Je l'ai supprimé.

Je vais désormais refaire l'opération sur mes disques externes et sur mes CD gravés.

Y a t'il d'autres choses a faire pour être sur de la désinfection avant de mettre SP2 et de réinstaller un antivirus?
0
Trying2 Messages postés 7751 Date d'inscription   Statut Contributeur sécurité Dernière intervention   234
 
Je pensais mettre Avast ? Qu'en penses tu ?

Je te conseille comme de nombreuse personness ici le feront, d'installer Antivir.



Y a t'il d'autres choses a faire pour être sur de la désinfection avant de mettre SP2 et de réinstaller un antivirus?

Il vaudrait mieux directement installer le SP3.


Par précaution et pour "vacciner" tes supports USB:

*Télécharge et installe UsbFix de C_XX & Chiquitine29.

*Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir.

*Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "exécuter en tant qu'administrateur" .

*Choisi l'option 1 ( Recherche )

*Laisse travailler l'outil.

*Ensuite poste le rapport UsbFix.txt qui apparaîtra dans ton prochain message.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 15 / 15
Chavin84 Messages postés 11 Statut Membre
 
Hello

Voici le rapport usbfix. Comme dit au début c'est bizarre meme si il dit bien qu'il prend en compte les USB connecté, je ne vois jamais ma clef ni mon DDexterne travaillé comme ils le font avec un scan antivirus normalement (diodes clignotantes)....

Comme si ils n'etaient pas scannés ...

############################## [ UsbFix V3.029 | Scan ]

# User : Vincent (Administrateurs) # VINCENT
# Update on 05/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 07:55:38 PM | 04/10/2009

# Intel(R) Pentium(R) M processor 1.70GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 1
# Internet Explorer 6.0.2800.1106
# Windows Firewall Status : Not defined.

# C:\ # Disque fixe local # 48,83 Go (20,05 Go free) # NTFS
# D:\ # Disque amovible # 14,92 Go (3,96 Go free) [VCR] # FAT32
# E:\ # Disque fixe local # 29,28 Go (6 Go free) # FAT32
# F:\ # Disque fixe local # 14,63 Go (14,63 Go free) # FAT32
# G:\ # Disque CD-ROM
# Z:\ # Disque fixe local # 93,14 Go (12,53 Go free) [USBPRO] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main: "Search Page"="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2fbr%2faccess%2fallinone.asp%3f"
HKCU_Main: "Start Page"="https://fr.yahoo.com/"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Vincent"
HKLM_logon: "AltDefaultUserName"="Vincent"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: SynTPLpr=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
HKLM_Run: SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM_Run: ATIPTA=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
HKLM_Run: Zone Labs Client=C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
HKLM_Run: DAEMON Tools-1033="C:\Program Files\D-Tools\daemon.exe" -lang 1033
HKLM_Run: KernelFaultCheck=%systemroot%\system32\dumprep 0 -k
HKLM_Run: Kernel and Hardware Abstraction Layer=KHALMNPR.EXE
HKLM_Run: avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=

################## [ Fichiers # Dossiers infectieux ]

################## [ Registre # Clés Run infectieuses ]

################## [ Registre # Mountpoints2 ]

################## [ ! Fin du rapport # UsbFix V3.029 ! ]
0
Trying2 Messages postés 7751 Date d'inscription   Statut Contributeur sécurité Dernière intervention   234
 
Tu as fait tes mises à jour Windows?



je ne vois jamais ma clef ni mon DDexterne travaillé comme ils le font avec un scan antivirus normalement (diodes clignotantes):

Ne t'inquiète pas pour ça, tout fonctionne correctement :)


Rien à signaler pour USBFix, nous allons vacciner tes clés et ton disque dur:

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir


* Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi "exécuter en tant qu'administrateur" .

* choisi l'option 2 ( Suppression )

* Ton bureau disparaîtra et le pc redémarrera .

* Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

* Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau dans ton prochain message .

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
0

Discussions similaires

infecte par winupgro.exe
darkumbrella -
darkumbrella -

2 réponses
infection winupgro.exe et coupure internet
vinz10 -
crapoulou -

22 réponses