Autorite nt system

hello régis59!

en effet, je n'ai pas de pare feu, à part celui intégré à avast! :/
idem pour les failles de windows...je suis justement en train de télécharger le Sp2,
reste à voir si je pourrai l'installer correctement...
merci à toi

voilà le rapport combofix:




- 2007-07-20 21:52:45 - ComboFix 07-07-14.6 NTFS


((((((((((((((((((((((((( Files Created from 2007-06-20 to 2007-07-20 )))))))))))))))))))))))))))))))


2007-07-20 21:52 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-20 19:00 <REP> d-------- C:\Program Files\Trend Micro
2007-07-20 02:00 977,920 --a------ C:\WINDOWS\system32\msdtctm.dll
2007-07-20 02:00 97,280 --a------ C:\WINDOWS\system32\txflog.dll
2007-07-20 02:00 82,432 --a------ C:\WINDOWS\system32\mtxoci.dll
2007-07-20 02:00 64,512 --a------ C:\WINDOWS\system32\mtxclu.dll
2007-07-20 02:00 64,512 --a------ C:\WINDOWS\system32\colbact.dll
2007-07-20 02:00 596,480 --a------ C:\WINDOWS\system32\catsrvut.dll
2007-07-20 02:00 499,200 --a------ C:\WINDOWS\system32\comuid.dll
2007-07-20 02:00 442,880 --a------ C:\WINDOWS\system32\rpcrt4.dll
2007-07-20 02:00 365,568 --a------ C:\WINDOWS\system32\msdtcprx.dll
2007-07-20 02:00 226,816 --a------ C:\WINDOWS\system32\es.dll
2007-07-20 02:00 225,280 --a------ C:\WINDOWS\system32\catsrv.dll
2007-07-20 02:00 214,528 --a------ C:\WINDOWS\system32\rpcss.dll
2007-07-20 02:00 150,528 --a------ C:\WINDOWS\system32\msdtcuiu.dll
2007-07-20 02:00 110,080 --a------ C:\WINDOWS\system32\clbcatex.dll
2007-07-20 02:00 1,177,088 --a------ C:\WINDOWS\system32\comsvcs.dll
2007-07-20 02:00 1,105,408 --a------ C:\WINDOWS\system32\ole32.dll
2007-07-20 01:59 593,408 --a------ C:\WINDOWS\system32\h323msp.dll
2007-07-20 01:59 554,496 --a------ C:\WINDOWS\system32\rtcdll.dll
2007-07-20 01:59 48,640 --a------ C:\WINDOWS\system32\browser.dll
2007-07-20 01:59 456,192 --a------ C:\WINDOWS\system32\ipnathlp.dll
2007-07-20 01:59 36,864 --a------ C:\WINDOWS\system32\mf3216.dll
2007-07-20 01:52 221,184 --a------ C:\WINDOWS\system32\srrstr.dll
2007-07-20 01:50 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2007-07-20 01:50 <REP> d--h-c--- C:\WINDOWS\$xpsp1hfm$
2007-07-20 01:10 <REP> d-------- C:\WINDOWS\system32\bits
2007-07-20 01:09 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2007-07-20 01:09 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2007-07-20 01:09 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2007-07-20 01:09 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2007-07-20 01:04 <REP> d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-07-20 01:02 <REP> d-------- C:\WINDOWS\SoftwareDistribution
2007-07-20 01:01 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-20 01:01 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-20 01:01 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-20 01:01 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-20 01:01 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-07-20 01:01 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-07-04 11:54 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-20 17:04:24 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-07-20 08:12:12 -------- d-----w C:\Program Files\a-squared Free
2007-07-19 21:01:55 -------- d--h--w C:\Program Files\WindowsUpdate
2007-07-18 16:28:54 -------- d-----w C:\Program Files\Soulseek
2007-06-19 07:19:02 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-06-19 07:15:27 -------- d-----w C:\Program Files\KONAMI
2007-06-12 08:07:32 -------- d-----w C:\Program Files\Messenger Plus! Live
2007-06-12 08:07:31 -------- d-----w C:\Program Files\Windows Live
2007-06-07 19:32:58 -------- d-----w C:\DOCUME~1\alain\APPLIC~1\WinRAR
2007-06-07 08:31:28 -------- d-----w C:\Program Files\eMule
2007-06-06 17:46:49 -------- d-----w C:\Program Files\Canon
2007-06-04 18:36:30 -------- d-----w C:\DOCUME~1\alain\APPLIC~1\Screenshot Sender
2007-06-04 18:23:39 -------- d-----w C:\Program Files\MSN Messenger
2007-06-04 16:29:19 -------- d-----w C:\Program Files\AbiSuite2
2007-06-02 15:36:49 -------- d-----w C:\DOCUME~1\alain\APPLIC~1\vlc
2007-05-25 21:07:41 73,728 ----a-w C:\WINDOWS\unacev2.dll
2007-05-25 08:07:48 -------- d-----w C:\DOCUME~1\alain\APPLIC~1\Sony Corporation
2007-05-25 08:01:07 -------- d-----w C:\Program Files\Sony
2007-05-25 07:59:41 -------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-05-25 07:58:49 -------- d-----w C:\Program Files\Fichiers communs\Sony Shared
2007-05-19 11:21:08 1,277 ----a-w C:\WINDOWS\mozver.dat
2007-05-14 15:48:48 0 ----a-w C:\WINDOWS\nsreg.dat
2007-05-14 15:39:02 48,616 ----a-w C:\WINDOWS\system32\perfc00C.dat
2007-05-14 15:39:02 367,658 ----a-w C:\WINDOWS\system32\perfh00C.dat
2007-05-14 15:10:19 0 --sha-r C:\MSDOS.SYS
2007-05-14 15:10:19 0 --sha-r C:\IO.SYS
2007-05-14 15:10:19 0 ----a-w C:\CONFIG.SYS
2007-05-14 15:10:19 0 ----a-w C:\AUTOEXEC.BAT
2007-05-14 15:06:27 21,892 ----a-w C:\WINDOWS\system32\emptyregdb.dat
2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-04-30 15:35:28 95,872 ----a-w C:\WINDOWS\system32\AvastSS.scr


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-10-22 23:08 62080 --a------ C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-05 12:35]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 19:42]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-04-25 19:44]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"Easy-PrintToolBox"="C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 15:10]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]


HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}
rundll32 iesetup.dll,IEAccessUserInst

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-20 21:54:42
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-20 21:55:26

--- E O F ---

bon, comme je le redoutais, il ne m'est possible d'installer ce sp2...ahem!
mais regis j'ai encore une dernière question: d'après ces 2 rapports(hijack/combo), on peut y voir
quoi de louche?
encore merci et à bientôt ;-)

ok, ça me convient parfaitement!

un pare feu sans sp2 c'est plus ou moins sans risque alors!? un à conseiller en particulier?
en tout cas c'est bizarre, car le problème de l'autorite/nt system ne survenait que lorsque je mettais
en marche ad aware en fait...

enfin bref, je te remercie une fois de plus, c'est très très aimable de ta part!

bye

bonjour!:)

j'ai donc installé Antivir, et fait un scan en mode sans echec! il a rien trouvé si ce n'est qu'il a reconnu
combofix en tant que virus!
puis installé zonelarm! mais j'ai relancé ad aware pour voir et là il me ressort encore ces fichiers shell32.dll, plus un autre truc, adware.agent(main_uninstaller.exe.dmp), en tout une vingtaine de fichiers...ç'en est désespérant, d'autant que tous les autres programmes que j'ai utilisés(spybot, avast,antivir) n'ont absolument
rien trouvés! j'ai l'impression que c'est ad-aware qui déconne depuis la dernière mise à jour, et puis il bloque
au moment de les mettre en quarantaine.

je te laisse quand même mon dernier rapport hijack

encore merci! ;-)



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:18:32, on 21/07/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\devldr32.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B024030E-8730-45D1-8A25-B67359A38C45}: NameServer = 80.10.246.2,80.10.246.129
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

oui, mode sans echec et normal! les 2 ont plantés au moment de la mise en quarantaine!
ceci dit, sur le forum lavasoft/adware, ce plantage est reconnu par plusieurs personnes après la
dernière mise à jour du programme(ainsi qu'un des malwares auxquels j'ai affaire).
mais personne avec autant de shell32....haha

d'autres conseils sont les bienvenus! :)

voilà le rapport ad-aware, tel qu'il me le présente!
dans le system32 donc!





ADWARE.AGENT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Process : C:\WINDOWS\system32\SHELL32.dll

0 POSSIBLE NEW MALWARE 0
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[1]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[2]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[3]=Process : C:\WINDOWS\system32\shell32.dll
obj[4]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[5]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[6]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[7]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[8]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[9]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[10]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[11]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[12]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[13]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[14]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[15]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[16]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[17]=Process : C:\WINDOWS\system32\shell32.dll
obj[18]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[19]=Process : C:\WINDOWS\system32\SHELL32.dll
obj[20]=Process : C:\WINDOWS\system32\shell32.dll

salut!

finalement, après la dernière maj d'adware, tout est rentré dans l'ordre on dirait!:)

il a detecté un fichier nommé nircmd.exe! il me semble que ce dernier soit couplé à combofix/hijackthis non?

par contre, je crois avoir le sp1, vu qu'au niveau des mises à jours j'ai installé tout ce windows
m'a proposé. et là, lorsque je lance la maj pour voir, il me propose le sp2 mais ça c'est une autre histoire au niveau de l'installation...ou plutôt d'identification...

enfin bref, mille merci à toi! ;)

à très bientôt!

oui c'est le moins que l'on puisse dire! ahem