[virus] 50% de mes adresses IP sont bloquees

Résolu/Fermé
hamac
Messages postés
17
Date d'inscription
jeudi 19 octobre 2006
Statut
Membre
Dernière intervention
12 novembre 2007
- 19 oct. 2006 à 15:39
Séb08
Messages postés
16499
Date d'inscription
dimanche 13 novembre 2005
Statut
Contributeur
Dernière intervention
14 août 2019
- 11 nov. 2006 à 16:55
Bonjour

depuis 15 jours j'ai la plupart de mes adresses IP qui bloquent (Symantec, Secuserve, le smtp de mon fai et j'en passe).
En 15 jours j'ai désinstallé norton et remplacé par avast (qui ne voit que pskill) ; j'ai scanné avec Stinger 2.6.0 avec Spybot S&D 1.4 ; en mode safeboot ou non, avec parefeu ou non ; j'ai effacé tous mes fichiers hosts. Les restaurations sont bloquées. Je n'ose pas supprimer de la base de registre tout ce qui contient hosts.
Pouvez-vous m'aider ?


Amicalement, et merci d'avance.

14 réponses

Séb08
Messages postés
16499
Date d'inscription
dimanche 13 novembre 2005
Statut
Contributeur
Dernière intervention
14 août 2019
1 427
11 nov. 2006 à 16:55
Ok hamac de rien :-)

Content pour toi

Bon surf. ;-)

1
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
19 oct. 2006 à 18:17
Salut

télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+
0
hamac
Messages postés
17
Date d'inscription
jeudi 19 octobre 2006
Statut
Membre
Dernière intervention
12 novembre 2007

19 oct. 2006 à 18:45
Bonjour Regis59

voici le log (au paravent j'ai fait un scan de la base de registre avec TuneUp 2006 et il n'y a plus de problème (de ce côté là) :

====================================
Logfile of HijackThis v1.99.1
Scan saved at 18:39:36, on 19/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Program Files\Caere\OmniPagePro90\opware32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\jlc\Bureau\virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = format.packardbell.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [OmniPage] C:\Program Files\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - v5.windowsupdate.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{62A29CA0-AA7F-4CD4-AF20-F304B313EDAA}: NameServer = 195.83.12.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{F37CFE28-324D-4CCA-AC0B-5ED80FA37346}: NameServer = 195.83.12.125
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
====================================

Amicalement.
0
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
19 oct. 2006 à 19:18
Salut

Avast detecte ton trojan a quel endroit?

a+
0
hamac
Messages postés
17
Date d'inscription
jeudi 19 octobre 2006
Statut
Membre
Dernière intervention
12 novembre 2007

19 oct. 2006 à 21:55
ReSalut Regis59

voici le log d'avast :
===================================
19/10/2006 20:32:41 jlc 4052 Function setifaceUpdatePackages() has failed. Return code is 0x000004C7, dwRes is 000004C7.
19/10/2006 21:19:18 jlc 1004 Sign of "Win32:Pskill-E [Tool]" has been found in "C:\WINDOWS\RESTORE.INS\C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE" file.
19/10/2006 21:23:14 jlc 1004 Sign of "Win32:Pskill-E [Tool]" has been found in "C:\WINDOWS\system\RESTORE.INS\C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE" file.
===================================

Amicalement.
0
hamac
Messages postés
17
Date d'inscription
jeudi 19 octobre 2006
Statut
Membre
Dernière intervention
12 novembre 2007

22 oct. 2006 à 16:19
Bonjour Regis59

j'ai répondu<4> le 19/10 à ton message <3> du même jour. Et depuis, plus rien. C'est grave docteur ? ;-)

Amicalement.



===================================
< 3 > - [virus] 50% de mes adresses IP sont bloquees
Ajouté par Regis59 (19/10/2006 à 19:18 GMT+2)
Salut

Avast detecte ton trojan a quel endroit?

a+


< 4 > - [virus] 50% de mes adresses IP sont bloquees
Ajouté par hamac (19/10/2006 à 21:55 GMT+2)
...
==================================
0
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
22 oct. 2006 à 20:42
salut

est ce que ceci existe?

C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE

a+
0
hamac
Messages postés
17
Date d'inscription
jeudi 19 octobre 2006
Statut
Membre
Dernière intervention
12 novembre 2007

22 oct. 2006 à 21:29
Bonjour Rgis59
voici le dir de C:\OEMCUST\TOOLS\WIN32\
bizarement pskill.exe est absent du dossier :
CHKTIME.EXE
BCKUPHIV.BAT
REGBCKUP.BAT
NTFLIPRT.EXE
CMDPRLOG.CMD
CMDPRLOG.ERR
CMDPROC.BAT
SED.CMD
BACKPREV.CMD
SETBOOT.EXE
SLEEP.EXE
EMPTYCHK.EXE
SETPWRON.EXE
PSINFO.EXE
CMDPROC.ERR
WINTOOLS.DIR
SORT.EXE
UNZIP.EXE
SED.EXE
PSLIST.EXE
ZIP.EXE
NTEXTHS.EXE
BOOTANT.EXE
BOOTFLOP.SEC
CLOUDS.EXE
WREBOOT.EXE
SNAPSHOT.EXE

Amicalement.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
hamac
Messages postés
17
Date d'inscription
jeudi 19 octobre 2006
Statut
Membre
Dernière intervention
12 novembre 2007

23 oct. 2006 à 17:01
Pour compléter les messages précédents, voici le journal (d'aujourd'hui) d'avast :

================
*
* Rapport avast!
* Ce fichier est généré automatiquement
*
* Tâche utilisée 'Interface utilisateur simplifiée'
* Débuté le lundi 23 octobre 2006 14:10:56
* VPS : 0643-0, 22/10/2006
*



C:\System Volume Information\_restore{8ABB5290-7AF9-4189-B635-9551B6200468}\RP7\A0000439.INS\C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE [L] Win32:Pskill-E [Tool] (0)
Durant la suppression du fichier, l'erreur suivante s'est produite : Il n'y a plus de fichier
C:\System Volume Information\_restore{8ABB5290-7AF9-4189-B635-9551B6200468}\RP7\A0000440.INS\C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE [L] Win32:Pskill-E [Tool] (0)
Durant la suppression du fichier, l'erreur suivante s'est produite : Il n'y a plus de fichier
C:\WINDOWS\RESTORE.INS\C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE [L] Win32:Pskill-E [Tool] (0)
Durant la suppression du fichier, l'erreur suivante s'est produite : Il n'y a plus de fichier
C:\WINDOWS\system\RESTORE.INS\C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE [L] Win32:Pskill-E [Tool] (0)
Durant la suppression du fichier, l'erreur suivante s'est produite : Il n'y a plus de fichier
Fichiers infectés : 4
Total des fichiers : 647231
Total des dossiers : 16987
Taille totale : 30,2 GB

*
* Tâche arrêtée : lundi 23 octobre 2006 16:38:30
* Programme en exécution était 2 heure(s), 27 minute(s), 34 seconde(s)
*
================

Donc 4 fichiers infectés mais ... qui n'existent pas. Bigre.

Amicalement et merci par avance.
0
Séb08
Messages postés
16499
Date d'inscription
dimanche 13 novembre 2005
Statut
Contributeur
Dernière intervention
14 août 2019
1 427
23 oct. 2006 à 17:05
slt,

C:\System Volume Information\_restore signifie que ta resto système est ou etait infectée donc pour la rendre saine fais cette manip :

Désactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique.

Puis,

¤Réactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et applique.

http://www.libellules.ch/desactiver_restauration.php

=========================

ensuite pour vérifier, scanne ton PC avec cet antivirus en ligne (sous IE et accepte l’activX) :

http://www.bitdefender.fr/bd/site/search.php#

Clique sur « scan on line » suis les instructions.

Et colle le rapport

a+

0
hamac
Messages postés
17
Date d'inscription
jeudi 19 octobre 2006
Statut
Membre
Dernière intervention
12 novembre 2007

23 oct. 2006 à 19:16
Salut Séb08

J'ai désactivé puis réactiver la restauration.
Mais le souci vient du fait que les adresses IP qui contiennent bitdefender sont rejetées.
Je viens de jeter un coup d'oeil (avec un autre ordi) sur la page :

http://www.bitdefender.fr/scan8/ie.html

... quel produit gratuit télécharger ?

Amicalement.
0
Séb08
Messages postés
16499
Date d'inscription
dimanche 13 novembre 2005
Statut
Contributeur
Dernière intervention
14 août 2019
1 427
23 oct. 2006 à 19:20
tu te connectes bien avec Internet explorer ?

Tu clique sur le lien que tu m'as mis et ensuite "j'accepte" et tu suis les instructions.

copie/colle le rapport.

a+
0
hamac
Messages postés
17
Date d'inscription
jeudi 19 octobre 2006
Statut
Membre
Dernière intervention
12 novembre 2007
> Séb08
Messages postés
16499
Date d'inscription
dimanche 13 novembre 2005
Statut
Contributeur
Dernière intervention
14 août 2019

23 oct. 2006 à 20:24
Salut Séb08

C'est un peu difficile de "scanner en ligne" un ordi qui bloque les adresses URL qui contiennent "bitdefender".

En revanche, j'ai un deuxième ordi qui marche bien, mais ce n'est pas celui-ci que je souhaite scanner !

La vie est mal faite ;-)

Bon, je rigole, mais en vrai, je ne sais pas du tout quoi faire.

Amicalement
0
Séb08
Messages postés
16499
Date d'inscription
dimanche 13 novembre 2005
Statut
Contributeur
Dernière intervention
14 août 2019
1 427 > Séb08
Messages postés
16499
Date d'inscription
dimanche 13 novembre 2005
Statut
Contributeur
Dernière intervention
14 août 2019

23 oct. 2006 à 20:41
Ok !

ce n'est pas Internet Explorer qui te les bloquerait ?

Remet tes paramètres par défaut dans outil -> option internet.
Et regarde en même temps si tu n'as pas de sites dit 'interdit" dans ta zone sensible ou autre.

Je coupe .

a+

Au cas ou Régis passera .. ;-)
0
hamac
Messages postés
17
Date d'inscription
jeudi 19 octobre 2006
Statut
Membre
Dernière intervention
12 novembre 2007

23 oct. 2006 à 20:57
ReSalut Séb08

Marche pas. J'ai fait :

Outils > Options Internet > Sécurité > Internet > Niveau par défaut
Outils > Options Internet > Sécurité > Sites de confiance > Niveau par défaut
Outils > Options Internet > Sécurité > Sites sensibles > Niveau par défaut

et l'adresse https://www.bitdefender.fr/ donne toujours
"impossible d'afficher la page"

Gonflant.

Bonne soirée quand même ;-)

Amicalement.
0
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
23 oct. 2006 à 21:30
Salut
Hello Seb ;-)

Telecharge ceci
https://www.silentrunners.org/Silent%20Runners.vbs
Execute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donnera

A+
0
hamac
Messages postés
17
Date d'inscription
jeudi 19 octobre 2006
Statut
Membre
Dernière intervention
12 novembre 2007

24 oct. 2006 à 10:05
Salut Régis59
Salut Seb08

voici le rapport demandé par Régis :

=======================
"Silent Runners.vbs", revision 49, https://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ehTray" = "C:\WINDOWS\ehome\ehtray.exe" [MS]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"ATIPTA" = "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"ACTIVBOARD" = "c:\apps\ABoard\ABoard.exe" ["NEC Computers International"]
"TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"VCSPlayer" = ""C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"" ["H+H Software GmbH"]
"OmniPage" = "C:\Program Files\Caere\OmniPagePro90\opware32.exe" ["Caere Corporation"]
"NeroCheck" = "C:\WINDOWS\system32\\NeroCheck.exe" ["Ahead Software Gmbh"]
"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{D3581EB7-5E16-4182-9F58-86FA713B42F9}" = "AOL Partenaire de Packard Bell"
-> {HKLM...CLSID} = "AOL"
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\aolshare\shell\fr\shellext.dll" ["America Online, Inc."]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {HKLM...CLSID} = "RecordNow! SendToExt"
\InProcServer32\(Default) = "C:\Apps\RecordNow\shlext.dll" ["Sonic Solutions"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshellext.dll" ["RealNetworks"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{40E85620-3DCB-11D3-8A0D-0060080C1EFA}" = "ZipCentral"
-> {HKLM...CLSID} = "ZipCentral"
\InProcServer32\(Default) = "C:\Program Files\ZipCentral\zccm.dll" ["Johan Savås"]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\uxtuneup.dll" ["TuneUp Software GmbH"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
ZipCentral\(Default) = "{40E85620-3DCB-11D3-8A0D-0060080C1EFA}"
-> {HKLM...CLSID} = "ZipCentral"
\InProcServer32\(Default) = "C:\Program Files\ZipCentral\zccm.dll" ["Johan Savås"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
ZipCentral\(Default) = "{40E85620-3DCB-11D3-8A0D-0060080C1EFA}"
-> {HKLM...CLSID} = "ZipCentral"
\InProcServer32\(Default) = "C:\Program Files\ZipCentral\zccm.dll" ["Johan Savås"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
ZipCentral\(Default) = "{40E85620-3DCB-11D3-8A0D-0060080C1EFA}"
-> {HKLM...CLSID} = "ZipCentral"
\InProcServer32\(Default) = "C:\Program Files\ZipCentral\zccm.dll" ["Johan Savås"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) hex:0x0000E000
{unrecognized setting}

"NoCDBurning" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "jlc" & "All Users" startup folders:
-----------------------------------------------------

C:\Documents and Settings\jlc\Menu Démarrer\Programmes\Démarrage
"OpenOffice.org 2.0" -> shortcut to: "C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe" [null data]

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"Maintenance en 1 clic" -> launches: "C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
[Strings]: SAFESITE_VALUE="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2ffr%2f%3f"

Missing lines (compared with English-language version):
[Strings]: 2 lines

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Documents and Settings/All Users/Application Data/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Extension de conception TuneUp, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
HTTP SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]}
Machine Debug Manager, MDM, ""C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
Service de planification Media Center, ehSched, "C:\WINDOWS\ehome\ehSched.exe" [MS]
SmartLinkService, SLService, "slserv.exe" ["Smart Link"]
Virtual CD v4 Security service (SDK - Version), VCSSecS, "C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe" ["H+H Software GmbH"]
WAN Miniport (ATW) Service, WANMiniportService, ""C:\WINDOWS\wanmpsvc.exe"" ["America Online, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


----------
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 61 seconds, including 18 seconds for message boxes)




=======================

Amicalement à tous les deux.
0
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
24 oct. 2006 à 10:31
salut

ou en sont tes soucis?

a+
0
hamac
Messages postés
17
Date d'inscription
jeudi 19 octobre 2006
Statut
Membre
Dernière intervention
12 novembre 2007

24 oct. 2006 à 11:41
Salut Régis59

ils en sont toujours au même point : par exemple "ping" ne trouve pas le smtp de mon fai (je suis loin d'une perte de 0% !).
J'attends le verdict, suite à la lecture du rapport de Silent Runners (message n°<16>) ; c'est bien toi qui me l'a demandé ? ;-)

Amicalement.
0
hamac
Messages postés
17
Date d'inscription
jeudi 19 octobre 2006
Statut
Membre
Dernière intervention
12 novembre 2007

24 oct. 2006 à 23:27
Bonjour les amis

il n'y a pas d'avancée décisive, c'est le moins qu'on puisse dire.
Mais je ne clos pas le débat, je le laisse ouvert.
En revanche, je ne serai pas physiquement proche de mon ordi pateux jusqu'au samedi 4 novembre.

Cela nous laisse du temps pour réfléchir au :
- Logfile of HijackThis v1.99.1 (message <2>) ;
- rapport de "Silent Runners.vbs", revision 49 (message <16>).

Amicalement à Regis et Seb.
0
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
25 oct. 2006 à 22:11
salut

les rapports me semble ok, le probleme vient donc d ailleurs

a+
0
hamac
Messages postés
17
Date d'inscription
jeudi 19 octobre 2006
Statut
Membre
Dernière intervention
12 novembre 2007

6 nov. 2006 à 15:08
Bonjour à tous
et bonjour à Régis59

je suis physiquement de retour devant mon ordi ... et je ne sais toujours pas quoi faire.
Rappel du problème :
- sur l'ordi albator : ping smtp.nerim.net renvoit une erreur (*)
- sur l'ordi nestor : ping smtp.nerim.net renvoit 0% de pertes

Et ces deux ordi sont sur le même réseau ; c'est tout de même un peu fort !
Si je n'ai pas un trojan sur albator, tant mieux, mais alors ... dans quel direction dois-je chercher ? Merci docteur ;-)

Amicalement.

(*) c'est un exemple ... j'ai 50% de mes adresses IP qui échouent
0
hamac
Messages postés
17
Date d'inscription
jeudi 19 octobre 2006
Statut
Membre
Dernière intervention
12 novembre 2007

11 nov. 2006 à 16:04
Bonjour à Regis59 et à Seb08
J'ai résolu mon problème seul (et vous aviez raison, ce n'était pas un virus, un trojan ... beurk).

C'était mon DNS qui merdait. J'en ai changé et tout va bien.

J'ai un peu honte d'avoir mis si longtemps (depuis début octobre, cela fait donc un mois et demi) pour trouver aussi simple.

Merci pour votre aide. Je clos la discussion avec "problème résolu".

Salut à tous.
0