[virus] 50% de mes adresses IP sont bloquees

Résolu
hamac Messages postés 17 Statut Membre -  
Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjour

depuis 15 jours j'ai la plupart de mes adresses IP qui bloquent (Symantec, Secuserve, le smtp de mon fai et j'en passe).
En 15 jours j'ai désinstallé norton et remplacé par avast (qui ne voit que pskill) ; j'ai scanné avec Stinger 2.6.0 avec Spybot S&D 1.4 ; en mode safeboot ou non, avec parefeu ou non ; j'ai effacé tous mes fichiers hosts. Les restaurations sont bloquées. Je n'ose pas supprimer de la base de registre tout ce qui contient hosts.
Pouvez-vous m'aider ?

Amicalement, et merci d'avance.
Configuration: Windows XP
version 2002 SP2
Packard Bell
Pentium 4 CPU 2.6 GHz
512 Mo ram

14 réponses

  1. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    Ok hamac de rien :-)

    Content pour toi

    Bon surf. ;-)

    1
  2. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    télécharge HijackThis ici:
    http://telechargement.zebulon.fr/138-hijackthis-1991.html

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Bon courage

    A+
    0
    1. hamac Messages postés 17 Statut Membre
       
      Bonjour Regis59

      voici le log (au paravent j'ai fait un scan de la base de registre avec TuneUp 2006 et il n'y a plus de problème (de ce côté là) :

      ====================================
      Logfile of HijackThis v1.99.1
      Scan saved at 18:39:36, on 19/10/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\ehome\ehSched.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      C:\WINDOWS\system32\slserv.exe
      C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
      C:\WINDOWS\wanmpsvc.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\ehome\ehtray.exe
      C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\apps\ABoard\ABoard.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
      C:\WINDOWS\ehome\ehmsas.exe
      C:\Program Files\Caere\OmniPagePro90\opware32.exe
      C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\system32\ntvdm.exe
      C:\apps\ABoard\AOSD.exe
      C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
      C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
      C:\WINDOWS\System32\svchost.exe
      C:\Documents and Settings\jlc\Bureau\virus\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = format.packardbell.com
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
      O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
      O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
      O4 - HKLM\..\Run: [OmniPage] C:\Program Files\Caere\OmniPagePro90\opware32.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - v5.windowsupdate.microsoft.com
      O17 - HKLM\System\CCS\Services\Tcpip\..\{62A29CA0-AA7F-4CD4-AF20-F304B313EDAA}: NameServer = 195.83.12.125
      O17 - HKLM\System\CCS\Services\Tcpip\..\{F37CFE28-324D-4CCA-AC0B-5ED80FA37346}: NameServer = 195.83.12.125
      O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
      O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
      O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
      ====================================

      Amicalement.
      0
  3. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Avast detecte ton trojan a quel endroit?

    a+
    0
    1. hamac Messages postés 17 Statut Membre
       
      ReSalut Regis59

      voici le log d'avast :
      ===================================
      19/10/2006 20:32:41 jlc 4052 Function setifaceUpdatePackages() has failed. Return code is 0x000004C7, dwRes is 000004C7.
      19/10/2006 21:19:18 jlc 1004 Sign of "Win32:Pskill-E [Tool]" has been found in "C:\WINDOWS\RESTORE.INS\C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE" file.
      19/10/2006 21:23:14 jlc 1004 Sign of "Win32:Pskill-E [Tool]" has been found in "C:\WINDOWS\system\RESTORE.INS\C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE" file.
      ===================================

      Amicalement.
      0
    2. hamac Messages postés 17 Statut Membre
       
      Bonjour Regis59

      j'ai répondu<4> le 19/10 à ton message <3> du même jour. Et depuis, plus rien. C'est grave docteur ? ;-)

      Amicalement.



      ===================================
      < 3 > - [virus] 50% de mes adresses IP sont bloquees
      Ajouté par Regis59 (19/10/2006 à 19:18 GMT+2)
      Salut

      Avast detecte ton trojan a quel endroit?

      a+


      < 4 > - [virus] 50% de mes adresses IP sont bloquees
      Ajouté par hamac (19/10/2006 à 21:55 GMT+2)
      ...
      ==================================
      0
  4. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    salut

    est ce que ceci existe?

    C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE

    a+
    0
    1. hamac Messages postés 17 Statut Membre
       
      Bonjour Rgis59
      voici le dir de C:\OEMCUST\TOOLS\WIN32\
      bizarement pskill.exe est absent du dossier :
      CHKTIME.EXE
      BCKUPHIV.BAT
      REGBCKUP.BAT
      NTFLIPRT.EXE
      CMDPRLOG.CMD
      CMDPRLOG.ERR
      CMDPROC.BAT
      SED.CMD
      BACKPREV.CMD
      SETBOOT.EXE
      SLEEP.EXE
      EMPTYCHK.EXE
      SETPWRON.EXE
      PSINFO.EXE
      CMDPROC.ERR
      WINTOOLS.DIR
      SORT.EXE
      UNZIP.EXE
      SED.EXE
      PSLIST.EXE
      ZIP.EXE
      NTEXTHS.EXE
      BOOTANT.EXE
      BOOTFLOP.SEC
      CLOUDS.EXE
      WREBOOT.EXE
      SNAPSHOT.EXE

      Amicalement.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. hamac Messages postés 17 Statut Membre
     
    Pour compléter les messages précédents, voici le journal (d'aujourd'hui) d'avast :

    ================
    *
    * Rapport avast!
    * Ce fichier est généré automatiquement
    *
    * Tâche utilisée 'Interface utilisateur simplifiée'
    * Débuté le lundi 23 octobre 2006 14:10:56
    * VPS : 0643-0, 22/10/2006
    *

    C:\System Volume Information\_restore{8ABB5290-7AF9-4189-B635-9551B6200468}\RP7\A0000439.INS\C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE [L] Win32:Pskill-E [Tool] (0)
    Durant la suppression du fichier, l'erreur suivante s'est produite : Il n'y a plus de fichier
    C:\System Volume Information\_restore{8ABB5290-7AF9-4189-B635-9551B6200468}\RP7\A0000440.INS\C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE [L] Win32:Pskill-E [Tool] (0)
    Durant la suppression du fichier, l'erreur suivante s'est produite : Il n'y a plus de fichier
    C:\WINDOWS\RESTORE.INS\C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE [L] Win32:Pskill-E [Tool] (0)
    Durant la suppression du fichier, l'erreur suivante s'est produite : Il n'y a plus de fichier
    C:\WINDOWS\system\RESTORE.INS\C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE [L] Win32:Pskill-E [Tool] (0)
    Durant la suppression du fichier, l'erreur suivante s'est produite : Il n'y a plus de fichier
    Fichiers infectés : 4
    Total des fichiers : 647231
    Total des dossiers : 16987
    Taille totale : 30,2 GB

    *
    * Tâche arrêtée : lundi 23 octobre 2006 16:38:30
    * Programme en exécution était 2 heure(s), 27 minute(s), 34 seconde(s)
    *
    ================

    Donc 4 fichiers infectés mais ... qui n'existent pas. Bigre.

    Amicalement et merci par avance.
    0
  7. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    slt,

    C:\System Volume Information\_restore signifie que ta resto système est ou etait infectée donc pour la rendre saine fais cette manip :

    Désactive ta restauration système (uniquement si tu es sous XP):
    Clic droit sur poste de travail puis,
    propriété, tu cliques sur onglet restauration système
    tu coches la case « désactiver la restauration » et applique.

    Puis,

    ¤Réactive ta restauration système (uniquement si tu es sous XP):
    Clic droit sur poste de travail puis,
    propriété, tu cliques sur onglet restauration système
    tu décoches la case « désactiver la restauration » et applique.

    http://www.libellules.ch/desactiver_restauration.php

    =========================

    ensuite pour vérifier, scanne ton PC avec cet antivirus en ligne (sous IE et accepte l’activX) :

    http://www.bitdefender.fr/bd/site/search.php#

    Clique sur « scan on line » suis les instructions.

    Et colle le rapport

    a+

    0
    1. hamac Messages postés 17 Statut Membre
       
      Salut Séb08

      J'ai désactivé puis réactiver la restauration.
      Mais le souci vient du fait que les adresses IP qui contiennent bitdefender sont rejetées.
      Je viens de jeter un coup d'oeil (avec un autre ordi) sur la page :

      http://www.bitdefender.fr/scan8/ie.html

      ... quel produit gratuit télécharger ?

      Amicalement.
      0
    2. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
       
      tu te connectes bien avec Internet explorer ?

      Tu clique sur le lien que tu m'as mis et ensuite "j'accepte" et tu suis les instructions.

      copie/colle le rapport.

      a+
      0
      1. hamac Messages postés 17 Statut Membre > Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention  
         
        Salut Séb08

        C'est un peu difficile de "scanner en ligne" un ordi qui bloque les adresses URL qui contiennent "bitdefender".

        En revanche, j'ai un deuxième ordi qui marche bien, mais ce n'est pas celui-ci que je souhaite scanner !

        La vie est mal faite ;-)

        Bon, je rigole, mais en vrai, je ne sais pas du tout quoi faire.

        Amicalement
        0
      2. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430 > Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention  
         
        Ok !

        ce n'est pas Internet Explorer qui te les bloquerait ?

        Remet tes paramètres par défaut dans outil -> option internet.
        Et regarde en même temps si tu n'as pas de sites dit 'interdit" dans ta zone sensible ou autre.

        Je coupe .

        a+

        Au cas ou Régis passera .. ;-)
        0
  8. hamac Messages postés 17 Statut Membre
     
    ReSalut Séb08

    Marche pas. J'ai fait :

    Outils > Options Internet > Sécurité > Internet > Niveau par défaut
    Outils > Options Internet > Sécurité > Sites de confiance > Niveau par défaut
    Outils > Options Internet > Sécurité > Sites sensibles > Niveau par défaut

    et l'adresse https://www.bitdefender.fr/ donne toujours
    "impossible d'afficher la page"

    Gonflant.

    Bonne soirée quand même ;-)

    Amicalement.
    0
  9. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut
    Hello Seb ;-)

    Telecharge ceci
    https://www.silentrunners.org/Silent%20Runners.vbs
    Execute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donnera

    A+
    0
    1. hamac Messages postés 17 Statut Membre
       
      Salut Régis59
      Salut Seb08

      voici le rapport demandé par Régis :

      =======================
      "Silent Runners.vbs", revision 49, https://www.silentrunners.org/
      Operating System: Windows XP SP2
      Output limited to non-default values, except where indicated by "{++}"


      Startup items buried in registry:
      ---------------------------------

      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
      "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
      "ehTray" = "C:\WINDOWS\ehome\ehtray.exe" [MS]
      "ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
      "ATIPTA" = "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
      "ACTIVBOARD" = "c:\apps\ABoard\ABoard.exe" ["NEC Computers International"]
      "TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
      "VCSPlayer" = ""C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"" ["H+H Software GmbH"]
      "OmniPage" = "C:\Program Files\Caere\OmniPagePro90\opware32.exe" ["Caere Corporation"]
      "NeroCheck" = "C:\WINDOWS\system32\\NeroCheck.exe" ["Ahead Software Gmbh"]
      "SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
      "QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
      "avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]

      HKLM\Software\Microsoft\Active Setup\Installed Components\
      >{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
      \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

      HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
      {02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
      -> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
      \InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
      {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
      -> {HKLM...CLSID} = "AcroIEHlprObj Class"
      \InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
      {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
      {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
      -> {HKLM...CLSID} = "SSVHelper Class"
      \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

      HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
      "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
      -> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
      \InProcServer32\(Default) = "deskpan.dll" [file not found]
      "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
      -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
      \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
      "{D3581EB7-5E16-4182-9F58-86FA713B42F9}" = "AOL Partenaire de Packard Bell"
      -> {HKLM...CLSID} = "AOL"
      \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\aolshare\shell\fr\shellext.dll" ["America Online, Inc."]
      "{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
      -> {HKLM...CLSID} = "RecordNow! SendToExt"
      \InProcServer32\(Default) = "C:\Apps\RecordNow\shlext.dll" ["Sonic Solutions"]
      "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
      -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
      \InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshellext.dll" ["RealNetworks"]
      "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
      "{40E85620-3DCB-11D3-8A0D-0060080C1EFA}" = "ZipCentral"
      -> {HKLM...CLSID} = "ZipCentral"
      \InProcServer32\(Default) = "C:\Program Files\ZipCentral\zccm.dll" ["Johan Savås"]
      "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
      -> {HKLM...CLSID} = "Portable Media Devices Menu"
      \InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
      "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
      -> {HKLM...CLSID} = "WinRAR"
      \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
      "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
      "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
      -> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
      \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
      "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
      -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
      \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
      "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
      "{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
      "{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
      "{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
      -> {HKLM...CLSID} = "avast"
      \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
      "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
      -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
      \InProcServer32\(Default) = "C:\Program Files\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
      "{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
      -> {HKLM...CLSID} = "TuneUp Theme Extension"
      \InProcServer32\(Default) = "C:\WINDOWS\system32\uxtuneup.dll" ["TuneUp Software GmbH"]

      HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
      {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
      -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
      \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
      {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

      HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
      avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
      -> {HKLM...CLSID} = "avast"
      \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
      TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
      -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
      \InProcServer32\(Default) = "C:\Program Files\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
      WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {HKLM...CLSID} = "WinRAR"
      \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
      ZipCentral\(Default) = "{40E85620-3DCB-11D3-8A0D-0060080C1EFA}"
      -> {HKLM...CLSID} = "ZipCentral"
      \InProcServer32\(Default) = "C:\Program Files\ZipCentral\zccm.dll" ["Johan Savås"]

      HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
      TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
      -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
      \InProcServer32\(Default) = "C:\Program Files\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
      WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {HKLM...CLSID} = "WinRAR"
      \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
      ZipCentral\(Default) = "{40E85620-3DCB-11D3-8A0D-0060080C1EFA}"
      -> {HKLM...CLSID} = "ZipCentral"
      \InProcServer32\(Default) = "C:\Program Files\ZipCentral\zccm.dll" ["Johan Savås"]

      HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
      avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
      -> {HKLM...CLSID} = "avast"
      \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
      WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {HKLM...CLSID} = "WinRAR"
      \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
      ZipCentral\(Default) = "{40E85620-3DCB-11D3-8A0D-0060080C1EFA}"
      -> {HKLM...CLSID} = "ZipCentral"
      \InProcServer32\(Default) = "C:\Program Files\ZipCentral\zccm.dll" ["Johan Savås"]


      Group Policies {GPedit.msc branch and setting}:
      -----------------------------------------------

      Note: detected settings may not have any effect.

      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

      "NoDrives" = (REG_DWORD) hex:0x0000E000
      {unrecognized setting}

      "NoCDBurning" = (REG_DWORD) hex:0x00000000
      {unrecognized setting}

      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

      "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
      {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
      Shutdown: Allow system to be shut down without having to log on}

      "undockwithoutlogon" = (REG_DWORD) hex:0x00000001
      {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
      Devices: Allow undock without having to log on}


      Active Desktop and Wallpaper:
      -----------------------------

      Active Desktop may be disabled at this entry:
      HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


      Startup items in "jlc" & "All Users" startup folders:
      -----------------------------------------------------

      C:\Documents and Settings\jlc\Menu Démarrer\Programmes\Démarrage
      "OpenOffice.org 2.0" -> shortcut to: "C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe" [null data]

      C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
      "Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


      Enabled Scheduled Tasks:
      ------------------------

      "Maintenance en 1 clic" -> launches: "C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


      Winsock2 Service Provider DLLs:
      -------------------------------

      Namespace Service Providers

      HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
      000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
      000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
      000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

      Transport Service Providers

      HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
      0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
      %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
      %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


      Toolbars, Explorer Bars, Extensions:
      ------------------------------------

      Toolbars

      HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
      "{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
      -> {HKLM...CLSID} = "Yahoo! Toolbar"
      \InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

      HKLM\Software\Microsoft\Internet Explorer\Toolbar\
      "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
      -> {HKLM...CLSID} = "Yahoo! Toolbar"
      \InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

      Explorer Bars

      HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
      {FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
      -> {HKLM...CLSID} = "Real.com"
      \InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

      Extensions (Tools menu items, main toolbar menu buttons)

      HKLM\Software\Microsoft\Internet Explorer\Extensions\
      {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
      "MenuText" = "Console Java (Sun)"
      "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
      -> {HKCU...CLSID} = "Java Plug-in"
      \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
      -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
      \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

      {CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
      "ButtonText" = "Real.com"

      {FB5F1910-F110-11D2-BB9E-00C04F795683}\
      "ButtonText" = "Messenger"
      "MenuText" = "Windows Messenger"
      "Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]


      Miscellaneous IE Hijack Points
      ------------------------------

      C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

      Added lines (compared with English-language version):
      [Strings]: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
      [Strings]: SAFESITE_VALUE="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2ffr%2f%3f"

      Missing lines (compared with English-language version):
      [Strings]: 2 lines

      HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
      <<H>> "TuneUp" = "file://C|/Documents and Settings/All Users/Application Data/TuneUp Software/Common/base.css" [file not found]


      Running Services (Display Name, Service Name, Path {Service DLL}):
      ------------------------------------------------------------------

      avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
      avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
      avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
      avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
      Extension de conception TuneUp, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
      HTTP SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]}
      Machine Debug Manager, MDM, ""C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
      Service de planification Media Center, ehSched, "C:\WINDOWS\ehome\ehSched.exe" [MS]
      SmartLinkService, SLService, "slserv.exe" ["Smart Link"]
      Virtual CD v4 Security service (SDK - Version), VCSSecS, "C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe" ["H+H Software GmbH"]
      WAN Miniport (ATW) Service, WANMiniportService, ""C:\WINDOWS\wanmpsvc.exe"" ["America Online, Inc."]
      Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


      ----------
      <<H>>: Suspicious data at a browser hijack point.

      + This report excludes default entries except where indicated.
      + To see *everywhere* the script checks and *everything* it finds,
      launch it from a command prompt or a shortcut with the -all parameter.
      + To search all directories of local fixed drives for DESKTOP.INI
      DLL launch points, use the -supp parameter or answer "No" at the
      first message box and "Yes" at the second message box.
      ---------- (total run time: 61 seconds, including 18 seconds for message boxes)




      =======================

      Amicalement à tous les deux.
      0
  10. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    salut

    ou en sont tes soucis?

    a+
    0
  11. hamac Messages postés 17 Statut Membre
     
    Salut Régis59

    ils en sont toujours au même point : par exemple "ping" ne trouve pas le smtp de mon fai (je suis loin d'une perte de 0% !).
    J'attends le verdict, suite à la lecture du rapport de Silent Runners (message n°<16>) ; c'est bien toi qui me l'a demandé ? ;-)

    Amicalement.
    0
  12. hamac Messages postés 17 Statut Membre
     
    Bonjour les amis

    il n'y a pas d'avancée décisive, c'est le moins qu'on puisse dire.
    Mais je ne clos pas le débat, je le laisse ouvert.
    En revanche, je ne serai pas physiquement proche de mon ordi pateux jusqu'au samedi 4 novembre.

    Cela nous laisse du temps pour réfléchir au :
    - Logfile of HijackThis v1.99.1 (message <2>) ;
    - rapport de "Silent Runners.vbs", revision 49 (message <16>).

    Amicalement à Regis et Seb.
    0
  13. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    salut

    les rapports me semble ok, le probleme vient donc d ailleurs

    a+
    0
  14. hamac Messages postés 17 Statut Membre
     
    Bonjour à tous
    et bonjour à Régis59

    je suis physiquement de retour devant mon ordi ... et je ne sais toujours pas quoi faire.
    Rappel du problème :
    - sur l'ordi albator : ping smtp.nerim.net renvoit une erreur (*)
    - sur l'ordi nestor : ping smtp.nerim.net renvoit 0% de pertes

    Et ces deux ordi sont sur le même réseau ; c'est tout de même un peu fort !
    Si je n'ai pas un trojan sur albator, tant mieux, mais alors ... dans quel direction dois-je chercher ? Merci docteur ;-)

    Amicalement.

    (*) c'est un exemple ... j'ai 50% de mes adresses IP qui échouent
    0
  15. hamac Messages postés 17 Statut Membre
     
    Bonjour à Regis59 et à Seb08
    J'ai résolu mon problème seul (et vous aviez raison, ce n'était pas un virus, un trojan ... beurk).

    C'était mon DNS qui merdait. J'en ai changé et tout va bien.

    J'ai un peu honte d'avoir mis si longtemps (depuis début octobre, cela fait donc un mois et demi) pour trouver aussi simple.

    Merci pour votre aide. Je clos la discussion avec "problème résolu".

    Salut à tous.
    0