Vermine non identifiée
sujic89
Messages postés
17
Statut
Membre
-
jean38 Messages postés 2534 Date d'inscription Statut Contributeur Dernière intervention -
jean38 Messages postés 2534 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour, je viens de récupérer une machine que je comptais dépanner rapidement..
Symptômes : séquence de boot très lente, mais démarrage normal.
Mais au bout de 3 mn, après le lancement de la machine, nombre de programmes se ferment tous seuls : parmi eux Hijackthis, Regedit, MSconfig, le CTRL ALT Suppr ne fonctionne pas non plus, enfin, je vois juste une fenêtre qui s'ouvre mais qui se referme aussitôt..
J'ai dû choper une drôle de vermine que je connais pas..
En mode sans échec, je vois rien de suspect avec Hijack, mais tous les processus ne se lancent pas..
Par contre, dans les 3 minutes que j'ai de libres, j'arrive à faire un log, j'ai identifié AutoUpdate, qui se cache dans ProgFile.. mais impossible à voir, les fichiers sont pourtant affichés dans les options.
Si vous avez une idée ..
Merci
JL
Symptômes : séquence de boot très lente, mais démarrage normal.
Mais au bout de 3 mn, après le lancement de la machine, nombre de programmes se ferment tous seuls : parmi eux Hijackthis, Regedit, MSconfig, le CTRL ALT Suppr ne fonctionne pas non plus, enfin, je vois juste une fenêtre qui s'ouvre mais qui se referme aussitôt..
J'ai dû choper une drôle de vermine que je connais pas..
En mode sans échec, je vois rien de suspect avec Hijack, mais tous les processus ne se lancent pas..
Par contre, dans les 3 minutes que j'ai de libres, j'arrive à faire un log, j'ai identifié AutoUpdate, qui se cache dans ProgFile.. mais impossible à voir, les fichiers sont pourtant affichés dans les options.
Si vous avez une idée ..
Merci
JL
2 réponses
c'est vrai que tu as pas mal de m...
essaie si tu peux déjà de nettoyer comme suit.
A/ si tu ne les as pas, telecharge: ad-aware et spyboot
http://www.florensac-chasse-trap.com
pointe ton curseur sur « section virus » sans cliquer
click sur le menu qui apparaît et charge
ad-aware et spyboot
ainsi que CleanUp312.exe
ne les utilise pas tout de suite
met à jour les 2 premiers sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.
1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer
2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)
execute cleanup312.exe
tu relances tes scan ad aware
puis spy boot
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).
vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.
redemarre
Refait un log hijack et post le
A+
Jean
essaie si tu peux déjà de nettoyer comme suit.
A/ si tu ne les as pas, telecharge: ad-aware et spyboot
http://www.florensac-chasse-trap.com
pointe ton curseur sur « section virus » sans cliquer
click sur le menu qui apparaît et charge
ad-aware et spyboot
ainsi que CleanUp312.exe
ne les utilise pas tout de suite
met à jour les 2 premiers sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.
1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer
2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)
execute cleanup312.exe
tu relances tes scan ad aware
puis spy boot
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).
vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.
redemarre
Refait un log hijack et post le
A+
Jean
Scan saved at 19:47:48, on 02/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\SCardClnt.exe
C:\WINDOWS\System32\userinit32.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Mme GAUBIN\Local Settings\Temp\Répertoire temporaire 17 pour hijackthis_199.zip\HijackThis.exe
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [Windows update 32] adncwan.exe
O4 - HKLM\..\Run: [MS Windows Process Class] MSPRCSS32.exe
O4 - HKLM\..\Run: [MS Microsoft Socket Deamon] MSSCKD32.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [Windows Host32 Starter] hostserv.exe
O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\RunServices: [MS Windows Process Class] MSPRCSS32.exe
O4 - HKLM\..\RunServices: [MS Microsoft Socket Deamon] MSSCKD32.exe
O4 - HKLM\..\RunServices: [Windows update 32] adncwan.exe
O4 - HKLM\..\RunServices: [Windows Host32 Starter] hostserv.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Windows Process Class] MSPRCSS32.exe
O4 - HKCU\..\Run: [MS Microsoft Socket Deamon] MSSCKD32.exe
O4 - HKCU\..\Run: [Windows Host32 Starter] hostserv.exe
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKCU\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\RunServices: [Windows Host32 Starter] hostserv.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{04A566EF-9DCC-4623-A466-A08C8BD56D2F}: NameServer = 217.19.192.132 217.19.192.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{04A566EF-9DCC-4623-A466-A08C8BD56D2F}: NameServer = 217.19.192.132 217.19.192.131
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe