Besoin d'aide, svp (log hijackthis). Résolu

Question

Bonjour à tous ! Je me permets lancer ce sujet, en espérant que je ne commets pas d'impair car je suis nouveau ds ce domaine et je ne connais donc pas ses conventions. Voilà j'ai eu qques petits problèmes avec mon PC (OS win2K) et j'ai donc suivi la démarche que j'ai vue sur ce forum en rapport avec les soucis liés au spyware, malwares et autres virus. J'ai donc téléchargé adaware, spybots, a², CWShredder et hijackthis. J'ai fait toutes les MAJ possibles pour ces logiciels. J'ai déconnecté mon modem et j'ai fait tourner toutes ces applications (en arrêtant tous les programmes que je pouvais). J'ai rebooté et j'ai recommencé plusieurs fois et à chaque fois il reste des fichiers indésirables sur mon ordinateur (malwares ou spywares, je ne sais plus). J'en suis donc arrivé à l'étape hijackthis et je vous expose mon log en espérant que vous pourrez faire qquechose comme pour les autres membres qui ont requis votre aide. Je vous remercie par avance ! Le log : Logfile of HijackThis v1.99.1 Scan saved at 20:33:34, on 10/07/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\WINNT\System32\svchost.exe C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe C:\Program Files\Media Gateway\MediaGateway.exe C:\WINNT\system32\internat.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Internet Explorer\iexplore.exe E:\Application Install\Protection\hijackthis\HijackThis.exe C:\WINNT\system32\RUNDLL32.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/?.intl=us R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [adiras] adiras.exe O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe" O4 - HKLM\..\Run: [MultiClip] E:\Application Install\multiclip\MultiClip.exe O4 - HKLM\..\Run: [d5m7j3bp] C:\WINNT\system32\d5m7j3bp.exe O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Clipomatic] C:\Program Files\Clipomatic\Clipomatic.exe O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe" O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = univ-lyon1.fr O17 - HKLM\System\CCS\Services\Tcpip\..\{E45201CA-2067-41A8-B3DE-FDB43EC7D5AE}: NameServer = 217.19.192.132 217.19.192.131 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = univ-lyon1.fr O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = univ-lyon1.fr O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = univ-lyon1.fr O23 - Service: CWShredder Service - InterMute, Inc. - E:\Application Install\Protection\CWShredder.exe O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

moe31 · Answer

salutIl y a bien quelques bricoles dans ton hijackpar exemple ces progs, tu connais :E:\Application Install\multiclip\MultiClip.exe C:\Program Files\Media Gateway\MediaGateway.exe C:\Program Files\Clipomatic\Clipomatic.exe et celui ci est à supprimer:O4 - HKLM\..\Run: [d5m7j3bp] C:\WINNT\system32\d5m7j3bp.exe tu peux faire analyser ces fichiers ici:E:\Application Install\multiclip\MultiClip.exe C:\Program Files\Media Gateway\MediaGateway.exe C:\Program Files\Clipomatic\Clipomatic.exe C:\WINNT\system32\d5m7j3bp.exe http://virusscan.jotti.org/tu clic sur parcourir, selectionne le fichier que tu veux faire analyseret clic sur submitattend quelques seconde et tu auras le resultatet donne nous le résultat des rapportsa+

jean38 · Answer

salut (re)A/ si tu ne les as pas, telecharge: Clean Up 40 : http://pageperso.aol.fr/balltrap34/CleanUp40.exe -aide en image:(merci a Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm ne l'utilise pas tout de suite 1) clic droit sur poste de travail propriété restauration systeme coche desactivé puis appliquer 2) demarrer panneau de configuration outil option des dossiers affichage, coche afficher dossier cachés decoche : masquer extension des fichiers dont le type est connu masquer les fichiers protégés du systeme d'exploitation. 3) demarre en mode sans echec. Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)4) lance hijack, ferme le bloc note et coche les cases devant les lignes, à la fin valide à l’aide du bouton fix checked:R3 - Default URLSearchHook is missingO4 - HKLM\..\Run: [d5m7j3bp] C:\WINNT\system32\d5m7j3bp.exeO4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE 5) supprime les fichiers C:\PROGRA~1\DAP\DAP.EXE C:\WINNT\system32\d5m7j3bp.exeC:\Program Files\Media Gateway<< -- le dossier6) execute cleanup40.exe vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ (1) et (2) mais en recochant ... pour retrouver la config de départ.  redemarrerefait un log et pb???

Gen_Blondin · Answer

moe31 & jean38 > Tout d'abord "MERCI" pour vos réponses et leur rapidité ! D'accord, je vais suivre vos conseils (donnez-moi juste un peu de temps car il n'y a pas mal de choses à faire !) Sinon je peux répondre à qques questions pour le moment : moe31 > Je te cite et je donne ma réponse juste à côté (en gras) : par exemple ces progs, tu connais : E:\Application Install\multiclip\MultiClip.exe <- petit utilitaire pour gérer le presse papiers (mise en mémoire des précedents copier/coller). Il s'agit du programme d'installation. Le disque "E" est un disque secondaire sur mon PC C:\Program Files\Media Gateway\MediaGateway.exe <- Là effecitvement il faut que je regarde je ne sais pas ce que c'est ... C:\Program Files\Clipomatic\Clipomatic.exe <- autre petit utilitaire trés pratique pour gérer le presse papiers (j'utilise celui-là et pas l'autre). Pour ce que j'en sais (peu de choses donc) pas de problème de ce côté mais je vais tester qd même ... Sinon je vais faire analyser comme tu me le conseilles et je reposte pour donner la réponse. jean38 > "salut (re)" ? Ai-je raté ta réponse sur mon autre sujet ? Si oui, je m'excuse alors (je manque de sommeil ces derniers temps ...). En ce qui concerne "dap.exe", il s'agit comme vous le savez peut-être de "Download Accelerator Plus". C'est un gestionnaire de téléchargements donc. Je sais qu'il implique des "adwares" mais compte tenu des services qu'il me rend, j'accepte la "symbiose". Cependant, si vous me dites qu'il faut l'enlever alors je ferai confiance aux experts. En tout cas je vais suivre tes instructions à la lettre. Je vous tiens au courant dès que j'ai pu faire tout ce que vous m'avez dit.

balltrap34 · Answer

salutperso le dap je le laisserai il est valideName Dap Command DAP.exe Status N Description Download Accelerator Plus from SpeedBit - download manager/accelerator

Gen_Blondin · Answer

Début de réponse : 1) Vérification sur http://virusscan.jotti.org/ 1.1) E:\Application Install\multiclip\MultiClip.exe <- Rien à signaler de la part de tous les tests effectués 1.2) C:\Program Files\Clipomatic\Clipomatic.exe <- idem (RAS) 1.3) C:\Program Files\Media Gateway\MediaGateway.exe <- là c'est bon il y a un malware et c'est de ma faute. Je mets le rapport comme convenu : File: MediaGateway.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain -, results will not be stored in the database.) MD5 1042676fe7067bdf6b88d944f329fbcd Packers detected: UPX Scanner results AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found not a virus Adware.Winad F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found not-a-virus:AdWare.WinAD.be NOD32 Found Win32/Adware.WUpd application Norman Virus Control Found nothing UNA Found nothing VBA32 Found nothing 1.4) C:\WINNT\system32\d5m7j3bp.exe <- ce fichier est introuvable sur mon C: (j'ai bien été ds les options des dossiers pour décocher : "masquer les fichiers protégés du systeme d'exploitation"). Je ne sais pas quoi faire ... 2) Ds le message de jean38 : "1) clic droit sur poste de travail propriété restauration systeme coche desactivé puis appliquer" Heu désolé mais je n'ai pas trouvé "restauration systeme" en procédant comme décrit (mon OS est win2K p-e que c'est pour ça ..). 3) Balltrap34 > Merci pour ton aide, également. Tout le monde > Que fais-je alors, je le laisse DAP ou pas ?

jean38 · Answer

oui laisse le balltrap a très bien vu.comme toujours d'ailleurs

jean38 · Answer

voilà la synthese si je ne me trompe pas:1) clic droit sur poste de travailpropriétérestauration systemecoche desactivé puis appliquer2) demarrerpanneau de configurationoutiloption des dossiersaffichage,coche afficher dossier cachésdecoche : masquer extension des fichiers dont le type est connumasquer les fichiers protégés du systeme d'exploitation.3) demarre en mode sans echec.Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)4) lance hijack, ferme le bloc note et coche les cases devant les lignes, à la fin valide à l’aide du bouton fix checked:R3 - Default URLSearchHook is missingO4 - HKLM\..\Run: [d5m7j3bp] C:\WINNT\system32\d5m7j3bp.exeO4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe5) supprime les fichiersC:\WINNT\system32\d5m7j3bp.exe << si present mais...???C:\Program Files\Media Gateway<< -- le dossier6) execute cleanup40.exevide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ (1) et (2) mais en recochant ... pour retrouver la config de départ.redemarrerefait un log et pb???

jean38 · Answer

PARDON OUBLIE LA RESTAURATIION SYSTEME QUI EST POUR WIN XP.pour DAP si tu acceptes ce qu'il apporte en retour... ras.

Gen_Blondin · Answer

Ca y est j' ai suivi la procédure.J'ai "un peu transpiré" car j'avais enregistré l'illustration des réglages pour clean up sur le DD (trés bien faite d'ailleurs) et hors ligne ça ne fonctionne pas.Donc je l'ai fait de mémoire (c'était pas compliqué mais avec les yeux pas en face des trous ...) et apparemment c'était bon.Il y a qd même 623 Mo qui ont "sauté" (dont des fichiers de boulot d'il y a qques années) mais bon c'est de ma faute au départ donc rien à dire.Sinon pour info, par rapport au fichier "C:\WINNT\system32\d5m7j3bp.exe", maitenant.Je ne l'ai pas trouvé mais j'ai trouvé "d5m7j3bp.ini" (j'avais oublié de le mentionner, désolé). Je l'ai ouvert pour y jeter un oeil (sous le mode sans échec) et apparemment c'était bien évidemment lié. Il  contient des tas de commandes (enfin je crois ...)  desquelles il me semble comprendre que cela a contribué à une partie du pb. Si vous voulez je peux coller ici le contenu de ce fichier. J'aurais bien envie de le supprimer même si le log de hijackthis semble bien plus propre maintenant.J'ai donc refait tourner hijackthis et je vous donne le log :Logfile of HijackThis v1.99.1Scan saved at 01:07:37, on 11/07/2005Platform: Windows 2000 SP4 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\csrss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exeC:\WINNT\System32\svchost.exeC:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exeC:\WINNT\system32\regsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\system32\svchost.exeC:\WINNT\System32\svchost.exeC:\WINNT\Explorer.EXEC:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exeC:\WINNT\system32\internat.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Clipomatic\Clipomatic.exeC:\Program Files\a2\a2guard.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\3M\PSNLite\PsnLite.exeC:\PROGRA~1\3M\PSNLite\PSNGive.exeC:\WINNT\system32\NOTEPAD.EXEC:\Program Files\Internet Explorer\iexplore.exeE:\Application Install\Protection\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/?.intl=usR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exeO4 - HKLM\..\Run: [adiras] adiras.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"O4 - HKLM\..\Run: [MultiClip] E:\Application Install\multiclip\MultiClip.exeO4 - HKCU\..\Run: [internat.exe] internat.exeO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [Clipomatic] C:\Program Files\Clipomatic\Clipomatic.exeO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exeO8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htmO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htmO8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXEO16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cabO16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = univ-lyon1.frO17 - HKLM\System\CCS\Services\Tcpip\..\{E45201CA-2067-41A8-B3DE-FDB43EC7D5AE}: NameServer = 217.19.192.132 217.19.192.131O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = univ-lyon1.frO17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = univ-lyon1.frO17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = univ-lyon1.frO23 - Service: CWShredder Service - InterMute, Inc. - E:\Application Install\Protection\CWShredder.exeO23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exeO23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exeVoilà, j'attends vos conclusions (je vais faire tourner adaware en attendant pour vérifier si tout est bien normal) avant de conclure ce sujet.Merci encore.

Gen_Blondin · Answer

Je viens de faire retourner adaware qui me retrouve 6 indésirables sur le PC.Je vais renommer "d5m7j3bp.ini" en "d5m7j3bp_ini"  histoire d'essayer de le courtcircuiter en me laissant une chance de réparation si ça se passe mal.Je reboote et je regarde si ça se passe mieux.A tout à l'heure.

Gen_Blondin · Answer

Bonjour !J'ai fait ce que j'avais dit ds mon dernier message et apparemment ça semble déjà aller bcp mieux (néanmoins je n'ai pas trop navigué sur internet encore, je ne sais pas si ça aura une inflence ou pas ...).En tout cas, vous aviez bien localisé la source du problème donc bravo aux experts.Je vais continuer comme ça et je reposterai au cas où j'aurais de nouveau des soucis.Je vous remercie donc BEAUCOUP pour votre aide.J'en profite également pour tirer un coup de chapeau à l'altruisme dont font preuve toutes les personne expertes qui sacrifient de leur temps pour aider les néophytes comme moi. C'est une qualité rare de nos jours et que j'apprécie donc particulièrement.Chapeau bas, messieurs !

moe31 · Answer

salut gen_blondin, bleupmerci à vous deux pour vos commentaires, c'est vraiment sympa !gen_blondin, si tu as gardé le fichier d5m7j3bp.ini, ca m'interresserait de savoir ce qu'il contient, peut etr qu'il fais allusion à d'autres fichiers....a+

balltrap34 · Answer

salutmerci aussi a vous deux cela fait tres plaisir et idem je voudrait voir se fichier

Gen_Blondin · Answer

moe31 et balltrap34 >Normal de remercier  les gens qui "bossent" pour les autres "gratis pro Deo" ! ;-)Désolé pour le retard de ma réponse mais j'étais parti sur autre chose et ça m'était sorti de l'esprit avant que je ne repense à vérifier ce sujet ...J'ai gardé le fichier en effet au cas où ... J'espère que cela pourra vous aider à lutter contre ce genre de pb ...Encore merci pour l'aide apportée.Voici ce qu'il contenait :[Files]SAHAgent=d5m7j3bp.exeSahHtml=9jifv8fa.exeSAHUninstall=h4a8djbl.exelsp=d3jppk1d.dllWEBInstaller=WEBInstaller.dllv=3nlqt9qq.datvg=2pt54nol.datvp=ka5h0bkd.datvu=7qdusvf5.datvh=palbojbt.datsporder=sporder.dlllsp_setup=update.exe[SAHAgent]PrefsServer=www.shopathomeselect.comPrefsXML=/agent2/agentprefs2.sahRenameFiles=noFileSahAgent=gah95on6FileSahHtml=bln02nqvFileSahUnInstall=70tovmtoFileLsp=2b3fsk0hFileV=tm97pj39FileVP=p1fumi62FileVG=kdlmjh8rFileVU=goreggbkFileVH=b315cfedWebInstall=no;InitRegRule=1000010PrefsPath=agent2/GUID=GUID={1580B13A-E32F-42F9-BFAF-F3440D094749}UniqueBundleKey=owner=cdt1006UniqueBundleID=refer=340618905EulaDate=2005-07-09 21:13:59EulaStatus=Displayed4002bKeyExistNai=YDllName=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\PKSG1N5N.dllHtmlName=C:\WINNT\system32\fn40pnfr.htmlInstallLocation=downloads.shopathomeselect.comInstPath=cdt/BundleKey=cdt1006.sahBundlePackage=setup4030.cabiniName=setup4030.iniPackageLocation=downloads.shopathomeselect.comPackageName=/v4030/setup4030.cabCookieUserAgent=iexplorerBrowserType=BundleBundleProgress=4CountKey=1CountStart=1CountCab=1LSPInstallNeed=yesReadyToInstall=completeBundleInstall=installingAgentVersion=4.0.3.2NamedBy=MadAdamRelaunchDog=CreateDate=2005-07-09UnInstallExecute=disableUnInstallRequest=disableDateToSendNextHeartbeat=2005-07-23 21:15:44DateOfCheckForNewValidate=2005-07-23 21:15:44LastPrefs=Thu, 30 Jun 2005 17:25:06 GMTLastValid=Thu, 07 Jul 2005 15:47:56 GMTLastGlobal=Thu, 07 Jul 2005 15:47:57 GMTValidateXMLversion={630FF327-1690-4EB7-8CF2-140919AEDB81}ValidatePath=/agent/validate.sahTemplatePath=FullImages=downloads.shopathomeselect.com/images/mrchntimages/Images=/images/mrchntimages/PopupCloseButton=close.gifPopupDefaultImage=popupDefault.gifRedirectTo=http://www.shopathomeselect.com/frameset2.aspCategories=Popup=LSPVersion=1.1.1.1GlobalPath=/agent/global.sahSiteNotAvailablePeriod=10ResponseTime=20SuppressTimeout=10PongTimeout=180RetryDays=5PrefsXMLversion={EBD73A9D-ED18-4DAF-9553-B3C318D5BB10}Suppress1=afsrc=1Suppress2==notused=IncUpdateEnabled=noSearchEngineEnabled=s123|cgi.search123.com/cgi-bin/XMLFeed.cgi/5100?TYPE=Q&START=0&SIZE=10&ADULT=NO&QUERY=%Q%&IP=%IP%&UID=%ID%|&IP=%IP%&UID=%ID%&afsrc=1|1SearchPopunderCount=2InitRegDelayTime=15ServiceDomain=gr2.ccServicePath=s.dllNumberOfDaysNextHearbeart=14NumberOfDaysNextValidate=14NumberOfDaysNextUpdate=14validate=YvalidateURL=www.shopathomeselect.com/agent2/update=YupdateURL=downloads.shopathomeselect.com/v4030/setup4030.cabLspSetupName=EulaUpgrade.exeCountry=FRAIP=84.4.248.67UID=89900021GlobalXMLversion={630FF327-1690-4EB7-8CF2-140919AEDB81}AttemptDownloadPrefs=okDateToCheckForNewUpdate=2005-07-23 21:15:44RetryModeFinish=LastSearchPopUnder=2005-07-10SearchPopunderNumber=0[SAHPopup]main=131226popunder=name=TransformerlastUpdateDate=2005-03-11createDate=2005-03-11locationX=100locationY=100dimensionX=100dimensionY=100showCloseButton=notimer=0delay=0specialEffects=0link=top=262806PopupRegType=PopupAddress=PopupPassword=type=PopupPopupname=TransformerPopuplastUpdateDate=2005-03-11PopupcreateDate=2005-03-11PopuplocationX=100PopuplocationY=100PopupdimensionX=100PopupdimensionY=100PopupshowCloseButton=noPopuptimer=0Popupdelay=0PopupspecialEffects=0Popuplink=LastLogin=2005-07-10popup=PopupRegTypePrev=bleup >Oui ça va bien mieux.En fait mon PC marchait bien en apparence car j'avais réussi par moi-même à réparer une part de mes soucis (liés à mes bêtises ...) du genre message d'erreur au lancement de Win2K :Titre : "Sous-système MS-DOS 16 bits"C:\WINNT\system32\cmd.exeC:\WINNT\system32\AUTOEXEC.NT. le fichier système ne convient pas à l'exécution des applications MS-DOS ou MS windows. Cliquer sur ...En cherchant sur le net j'ai trouvé le moyen de réparer ce pb simplement (il y a un dossier "repair" qui contient une version de secours du fichier "AUTOEXEC.NT" et il suffit de le copier/coller ds "C:\WINNT\system32\"). Le pb que j'avais eu m'avait enlevé ce fichier et je crois aussi qu'il m'a "bouffé" mon autoexec.bat ... Par contre je n'ai pas remplacé ce dernier et le PC semble fonctionner correctement, bizarre mais bon ...Cependant il me restait ce souci de malware et ça me faisait suer, enfin maintenant ça semble résolu grâce à ta suggestion de créer un nouveau sujet, merci à toi également ... ^^

moe31 · Answer

salut et merci c'est gentiltres intructif, tu as bien fais de le garder sous la mainapparement ca appartient au spy shopathomeselectNormallement spybot ou ad-aware à jours doivent le detecterverifie si tu as ces fichiers sur ton pc, rend d'abord visible les fichiers cachés et systemepour certains, l'extention du fichier n'est pas citée, ca peut etre aussi bien exe, dll, dat, ini...d5m7j3bp.exe 9jifv8fa.exeh4a8djbl.exe d3jppk1d.dll C:\WINNT\Downloaded Program Files\WEBInstaller.dll 3nlqt9qq.dat 2pt54nol.dat ka5h0bkd.dat 7qdusvf5.dat palbojbt.dat sporder.dll update.exe gah95on6.exebln02nqv70tovmto 2b3fsk0h tm97pj39 p1fumi62 kdlmjh8r goreggbk b315cfed  C:\WINNT\system32\fn40pnfr.htmlPKSG1N5N.dll cdt1006.sah setup4030.cab setup4030.ini close.gif popupDefault.gifEulaUpgrade.exe tiens nous au courant si tu trouve.je repasse demaina+

Gen_Blondin · Answer

moe31 > Ok pourtant j'ai des versions à jour des logiciels en question dont tu parles, je ne comprends pas ... Il faudrait p-e que je les soumette au site en ligne (virusscan.joti.org) pour les faire entrer ds leurs bases de données ... Voici le résultat de la recherche (il y en avait une tripotée à vérifier mais bon ! ^^) : d5m7j3bp.exe <- pas de EXE mais un ini ds C:\WINNT\system32 9jifv8fa.exe <- pas de EXE mais un ini ds C:\WINNT\system32 h4a8djbl.exe <- pas de EXE mais un ini ds C:\WINNT\system32 d3jppk1d.dll <- ds C:\WINNT\system32 C:\WINNT\Downloaded Program Files\WEBInstaller.dll <- pas trouvé 3nlqt9qq.dat <- ds C:\WINNT\system32 2pt54nol.dat <- ds C:\WINNT\system32 ka5h0bkd.dat <- ds C:\WINNT\system32 7qdusvf5.dat <- ds C:\WINNT\system32 palbojbt.dat <- ds C:\WINNT\system32 sporder.dll <- pas trouvé update.exe <- trouvé ds C:\Program Files\Spybot - Search & Destroy ET E:\Program Files\DAP ET C:\Program Files\Symantec\LiveUpdate gah95on6.exe <- pas trouvé bln02nqv <- pas trouvé 70tovmto <- pas trouvé 2b3fsk0h <- pas trouvé tm97pj39 <- pas trouvé p1fumi62 <- pas trouvé kdlmjh8r <- pas trouvé goreggbk <- pas trouvé b315cfed <- pas trouvé C:\WINNT\system32\fn40pnfr.html <- trouvé PKSG1N5N.dll <- pas trouvé cdt1006.sah <- pas trouvé setup4030.cab <- pas trouvé setup4030.ini <- pas trouvé close.gif <- trouvé C:\Program Files\InterActual\InterActual Player\weblinks\dvdplayer\images\resizebar popupDefault.gif <- pas trouvé EulaUpgrade.exe <- pas trouvé A noter que j'ai fait les recherches comme tu me l'avais dit mais sans préciser les extensions. Tu me diras ce que je dois en faire ... bleup > Je viens de me rendre compte que tu as oublié de citer jean38 aussi ds les personnes "à l'écoute" ! ;-)

jean38 · Answer

merci touché de ton attention,mais en le disant à moe et balltrap, on en prend tous un petit bout...bonne journée à toi.vacances J-1jean

moe31 · Answer

salut Gen_Blondinhello jeanpersonnellement je supprimerai ceux-là:d5m7j3bp.ini9jifv8fa.inih4a8djbl.ini d3jppk1d.dll 3nlqt9qq.dat 2pt54nol.dat ka5h0bkd.dat 7qdusvf5.dat palbojbt.datC:\WINNT\system32\fn40pnfr.htmlces 2 sont ok:update.exe <- trouvé ds C:\Program Files\Spybot - Search & Destroy ET E:\Program Files\DAP ET C:\Program Files\Symantec\LiveUpdate close.gif <- trouvé C:\Program Files\InterActual\InterActual Player\weblinks\dvdplayer\images\resizebar Quand à celui là, (dans le dossier downloaded program files) tres difficile à voir comme ca:utilise ce prog:ChaosShredder http://www.safechaos.com/download/cs-fr.exe il s'utilise comme un explorateur, et si lui ne le vois pas, c'est qu'il n'y est vraiment pas.Tes recherches ont données quoi ?

Gen_Blondin · Answer

moe31 >D'accord pour tes remarques, je vais faire le ménage (avec "backup" pdt qques temps, au cas où ...)J'ai utilisé chaosshredder et je n'ai pas trouvé le "dll" ds le répertoire donné.En fait, qd je parlais de "recherche", c'était pour trouver tous les fichiers que tu avais cités et je t'ai donné le résultat ds mon message précédent.La plupart du temps, c'était pour détecter les "ini" alors que nous n'avions vu émerger que les "exe" qui eux sont introuvables.jean38 >Pas de quoi ! ;-)Bonne journée à toi aussi et bonnes vacances !

moe31 · Answer

salutbonne idée les backups on sait jamais !sinon, est ce que tu as encore des soucis ?a+

Gen_Blondin · Answer

moe31 >

Oui, c'est au moins une chose que j'ai apprise avec le temps (surtout qd on n'est pas expert), il faut tjrs se laisser une sortie de secours ...

Bon j'ai fait comme tu avais dit et j'ai déplacé tous les fichiers en question ds un répertoire sur le bureau. Je laisse ça qques temps avant de les détruire.

Tous les jours je fais tourner adaware sur mon "C:" à l'allumage et il me trouve qques cookies (5 environ) qu'il considère comme nuisibles. Je les supprime sinon à part ça, je crois que tout semble aller bien.

Je pense qu'il va être temps que je conclue le sujet avec le résumé, non ?

moe31 · Answer

pour les cookies, c'est normal, tu peux les virer apres chaques surf.Content que tout soit ok pour ton pc.Si tu as d'autres soucis, n'hésite pas à venir sur le forum.a+

Gen_Blondin · Answer

moe31 >Ok ça marche, si jamais j'ai besoin d'aide je sais où venir !Merci encore à tous ceux qui m'ont aidé, continuez le bon boulot et félicitations pour l'accueil sur votre forum. :-)

balltrap34 · Answer

instructif se fichierune mine de verole lolpar contre fait un scan ici de ton pc stpScan bit defenderhttp://www.fr.bitdefender.com/bd/site/virusinfo.php?menu_id=4#

jean38 · Answer

salut balltrap,

dernier post avant deconection pour 3 semaines... trop bon.

un bon été à toi, encourage regis, il etait dans une petite forme ce matin (post virginie), je te le confie...lol

A bientôt

Jean

PS pourrais tu jeter un oeil a marvel, il me semble ne plus rien avoir mais un pb d'affichage.
Je voulais lui faire regarder les luna etc... dispo eventuellement mais là, la voiture à charger.

ciao (c'est comme çà que moe parle maintenant).

jean38 · Answer

petard,trop rapide dejà sur le coup.

balltrap34 · Answer

lol tres bonne vacances et profite en bien pour que tu soit en forme au retour prudence sur la route(conseil d un vieux routier toujours en services)

regis59 · Answer

salut jean,bonne vancances a toi, tu pars ou? tu reviens quand?PROFITES EN BIENa+ (tu vas me manquer cher secretaire lol)

moe31 · Answer

salut regisil part dans le desert pendant 2 mois !!!jean, j'espère que tu as pris une boussole, lolbonnes vacances

balltrap34 · Answer

'              /=\             /===\ \            /=====\' \           /=======\'' \          /=========\ ' '\         /===========\''   \        /=============\ ' '  \       /===============\   ''  \      /=================\' ' ' ' \     /===================\' ' '  ' \    /=====================\' '   ' ' \   /=======================\  '   ' /  /=========================\   ' / /===========================\'  //=============================/la chasse et le balltrap ma vrai passionvoir site perso dans profil

regis59 · Answer

2mois, t es serieux? dans le sahara? pouah fais gaffe de pas tomber dans su sable mouvant !

                .,aadd"'    `"bbaa,.
            ,ad8888P'          `Y8888ba,
         ,a88888888              88888888a,
       a88888888888              88888888888a
     a8888888888888b,          ,d8888888888888a
    d8888888888888888b,_    _,d8888888888888888b
   d88888888888888888888888888888888888888888888b
  d8888888888888888888888888888888888888888888888b
 I888888888888888888888888888888888888888888888888I
,88888888888888888888888888888888888888888888888888,
I8888888888888888PY8888888PY88888888888888888888888I
8888888888888888"  "88888"  "88888888888888888888888
8::::::::::::::'    `:::'    `:::::::::::::::::::::8
Ib:::::::::::"        "        `::::::' `:::::::::dI
`8888888888P            Y88888888888P     Y88888888'
 Ib:::::::'              `:::::::::'       `:::::dI
  Yb::::"                  ":::::"           "::dP
   Y88P                      Y8P               `P
    Y'                        "
                                `:::::::::::;8"
       "888888888888888888888888888888888888"
         `"8;::::::::::::::::::::::::::;8"'
            `"Ya;::::::::::::::::::;aP"'
                ``""YYbbaaaaddPP""''

moe31 · Answer

lol

                    ,,__
           ..  ..   / o._)                   .---.
          /--'/--\  \-'||        .----.    .'     '.
         /        \_/ / |      .'      '..'         '-.
       .'\  \__\  __.'.'     .'          “-._
         )\ |  )\ |      _.'
        // \ // \
       ||_  \|_  \_
       '--' '--'' '--'

balltrap34 · Answer

chacun le sien lol

jean38 · Answer

Merci les amis,

et oui ce sont 2 mois (enfin 3 semaines et quelques pour etre precis)

desert marocain, sud pays berbere chez mes amis, le reve, il y a un cibercafe a trafraout, pays berbere 50° a l'ombre ques des cailloux mais le reve des oasis du calme...

enfin bref, si je peux me conecter je vous enverrais un petit coucou de la bas.

juste pour.

salut mes amis à bientôt et merci pour les cartes postales.

jean38 · Answer

et au fait balltrap,tu sais que j'ai fait la route pendant 6 ans mais pas en mille pattes mais en aquarium.si on dit toujours comme çà (car).echange de routiers.JeanfinJ-0

balltrap34 · Answer

oki oui toujours aquarim avec ces poissons de toutes les couleurs

jean38 · Answer

affirmat la station, surtout que je faisais les tours d'europe avec les amerlocs et les chinois.aller ciao,j'arrive pas à decollersalut a S!Ri et Bmv.

balltrap34 · Answer

tu verrat une fois parti se serat le pied surtout quand tu serat arriver

Besoin d'aide, svp (log hijackthis). - Page 2

Discussions similaires

Newsletters