Autorite nt system

Résolu
tesun9 Messages postés 10 Statut Membre -  
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
bonjour,

voilà mon problème: hier j'ai fait tourner ad-aware et au moment où ce dernier a repèré des fichiers suspects, y a eu le fameux "autorite nt system" ...décompte 1 min....reboot...etc...!
j'ai donc lancé avast et a², ils ont rien trouvé! j'ai relancé ad aware, même problème" autorite nt"(que je parviens à contenir cette fois ci)...au bout du scan les fichiers suspectés sont de type shell32.dll(qui sont depuis en quarantaine)

mais je doute que mon pc soit clean pour autant! voici mon log hijack, je vous en remercie d'avance! ;)

ps: par rapport aux achats en ligne/login&password mail, je voulais savoir si le risque était important avec ce genre de problèmes?merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:48:26, on 20/07/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\a-squared free\a2service.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B024030E-8730-45D1-8A25-B67359A38C45}: NameServer = 80.10.246.2,80.10.246.129
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 5500 bytes
Configuration: Windows XP
Firefox 2.0.0.5

10 réponses

  1. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Oui très dangereux parce que:
    - Tu n'as pas de pare feu !
    - Aucunes failles de windows n'est corrigée !

    Télécharge Combofix sUBs :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    0
    1. tesun9 Messages postés 10 Statut Membre
       
      hello régis59!

      en effet, je n'ai pas de pare feu, à part celui intégré à avast! :/
      idem pour les failles de windows...je suis justement en train de télécharger le Sp2,
      reste à voir si je pourrai l'installer correctement...
      merci à toi

      voilà le rapport combofix:




      - 2007-07-20 21:52:45 - ComboFix 07-07-14.6 NTFS


      ((((((((((((((((((((((((( Files Created from 2007-06-20 to 2007-07-20 )))))))))))))))))))))))))))))))


      2007-07-20 21:52 51,200 --a------ C:\WINDOWS\nircmd.exe
      2007-07-20 19:00 <REP> d-------- C:\Program Files\Trend Micro
      2007-07-20 02:00 977,920 --a------ C:\WINDOWS\system32\msdtctm.dll
      2007-07-20 02:00 97,280 --a------ C:\WINDOWS\system32\txflog.dll
      2007-07-20 02:00 82,432 --a------ C:\WINDOWS\system32\mtxoci.dll
      2007-07-20 02:00 64,512 --a------ C:\WINDOWS\system32\mtxclu.dll
      2007-07-20 02:00 64,512 --a------ C:\WINDOWS\system32\colbact.dll
      2007-07-20 02:00 596,480 --a------ C:\WINDOWS\system32\catsrvut.dll
      2007-07-20 02:00 499,200 --a------ C:\WINDOWS\system32\comuid.dll
      2007-07-20 02:00 442,880 --a------ C:\WINDOWS\system32\rpcrt4.dll
      2007-07-20 02:00 365,568 --a------ C:\WINDOWS\system32\msdtcprx.dll
      2007-07-20 02:00 226,816 --a------ C:\WINDOWS\system32\es.dll
      2007-07-20 02:00 225,280 --a------ C:\WINDOWS\system32\catsrv.dll
      2007-07-20 02:00 214,528 --a------ C:\WINDOWS\system32\rpcss.dll
      2007-07-20 02:00 150,528 --a------ C:\WINDOWS\system32\msdtcuiu.dll
      2007-07-20 02:00 110,080 --a------ C:\WINDOWS\system32\clbcatex.dll
      2007-07-20 02:00 1,177,088 --a------ C:\WINDOWS\system32\comsvcs.dll
      2007-07-20 02:00 1,105,408 --a------ C:\WINDOWS\system32\ole32.dll
      2007-07-20 01:59 593,408 --a------ C:\WINDOWS\system32\h323msp.dll
      2007-07-20 01:59 554,496 --a------ C:\WINDOWS\system32\rtcdll.dll
      2007-07-20 01:59 48,640 --a------ C:\WINDOWS\system32\browser.dll
      2007-07-20 01:59 456,192 --a------ C:\WINDOWS\system32\ipnathlp.dll
      2007-07-20 01:59 36,864 --a------ C:\WINDOWS\system32\mf3216.dll
      2007-07-20 01:52 221,184 --a------ C:\WINDOWS\system32\srrstr.dll
      2007-07-20 01:50 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
      2007-07-20 01:50 <REP> d--h-c--- C:\WINDOWS\$xpsp1hfm$
      2007-07-20 01:10 <REP> d-------- C:\WINDOWS\system32\bits
      2007-07-20 01:09 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
      2007-07-20 01:09 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
      2007-07-20 01:09 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
      2007-07-20 01:09 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
      2007-07-20 01:04 <REP> d-------- C:\WINDOWS\system32\SoftwareDistribution
      2007-07-20 01:02 <REP> d-------- C:\WINDOWS\SoftwareDistribution
      2007-07-20 01:01 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
      2007-07-20 01:01 33,624 --a------ C:\WINDOWS\system32\wups.dll
      2007-07-20 01:01 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
      2007-07-20 01:01 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
      2007-07-20 01:01 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
      2007-07-20 01:01 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
      2007-07-04 11:54 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys


      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

      2007-07-20 17:04:24 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
      2007-07-20 08:12:12 -------- d-----w C:\Program Files\a-squared Free
      2007-07-19 21:01:55 -------- d--h--w C:\Program Files\WindowsUpdate
      2007-07-18 16:28:54 -------- d-----w C:\Program Files\Soulseek
      2007-06-19 07:19:02 -------- d--h--w C:\Program Files\InstallShield Installation Information
      2007-06-19 07:15:27 -------- d-----w C:\Program Files\KONAMI
      2007-06-12 08:07:32 -------- d-----w C:\Program Files\Messenger Plus! Live
      2007-06-12 08:07:31 -------- d-----w C:\Program Files\Windows Live
      2007-06-07 19:32:58 -------- d-----w C:\DOCUME~1\alain\APPLIC~1\WinRAR
      2007-06-07 08:31:28 -------- d-----w C:\Program Files\eMule
      2007-06-06 17:46:49 -------- d-----w C:\Program Files\Canon
      2007-06-04 18:36:30 -------- d-----w C:\DOCUME~1\alain\APPLIC~1\Screenshot Sender
      2007-06-04 18:23:39 -------- d-----w C:\Program Files\MSN Messenger
      2007-06-04 16:29:19 -------- d-----w C:\Program Files\AbiSuite2
      2007-06-02 15:36:49 -------- d-----w C:\DOCUME~1\alain\APPLIC~1\vlc
      2007-05-25 21:07:41 73,728 ----a-w C:\WINDOWS\unacev2.dll
      2007-05-25 08:07:48 -------- d-----w C:\DOCUME~1\alain\APPLIC~1\Sony Corporation
      2007-05-25 08:01:07 -------- d-----w C:\Program Files\Sony
      2007-05-25 07:59:41 -------- d-----w C:\Program Files\Fichiers communs\InstallShield
      2007-05-25 07:58:49 -------- d-----w C:\Program Files\Fichiers communs\Sony Shared
      2007-05-19 11:21:08 1,277 ----a-w C:\WINDOWS\mozver.dat
      2007-05-14 15:48:48 0 ----a-w C:\WINDOWS\nsreg.dat
      2007-05-14 15:39:02 48,616 ----a-w C:\WINDOWS\system32\perfc00C.dat
      2007-05-14 15:39:02 367,658 ----a-w C:\WINDOWS\system32\perfh00C.dat
      2007-05-14 15:10:19 0 --sha-r C:\MSDOS.SYS
      2007-05-14 15:10:19 0 --sha-r C:\IO.SYS
      2007-05-14 15:10:19 0 ----a-w C:\CONFIG.SYS
      2007-05-14 15:10:19 0 ----a-w C:\AUTOEXEC.BAT
      2007-05-14 15:06:27 21,892 ----a-w C:\WINDOWS\system32\emptyregdb.dat
      2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe
      2007-04-30 15:35:28 95,872 ----a-w C:\WINDOWS\system32\AvastSS.scr


      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


      *Note* empty entries & legit default entries are not shown

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
      2006-10-22 23:08 62080 --a------ C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
      2007-03-14 03:43 501400 --a------ C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-05 12:35]
      "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 19:42]
      "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-04-25 19:44]
      "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
      "Easy-PrintToolBox"="C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 15:10]
      "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]


      HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}
      rundll32 iesetup.dll,IEAccessUserInst

      **************************************************************************

      catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
      Rootkit scan 2007-07-20 21:54:42
      Windows 5.1.2600 NTFS

      scanning hidden processes ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************

      Completion time: 2007-07-20 21:55:26

      --- E O F ---
      0
  2. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    OK

    Des que tu as installé le SP2, tu me remet un HijackThis

    a+
    0
    1. tesun9 Messages postés 10 Statut Membre
       
      bon, comme je le redoutais, il ne m'est possible d'installer ce sp2...ahem!
      mais regis j'ai encore une dernière question: d'après ces 2 rapports(hijack/combo), on peut y voir
      quoi de louche?
      encore merci et à bientôt ;-)
      0
  3. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Sincerement rien d'extra !

    Ce que je peux te proposer, c'est changer ton antivirus Avast pour Antivir.
    Une fois fait, un scan en mode sans echec.

    Juste auparavant, l installation d un pare feu !

    Qu'en penses tu?

    A+
    0
    1. tesun9 Messages postés 10 Statut Membre
       
      ok, ça me convient parfaitement!

      un pare feu sans sp2 c'est plus ou moins sans risque alors!? un à conseiller en particulier?
      en tout cas c'est bizarre, car le problème de l'autorite/nt system ne survenait que lorsque je mettais
      en marche ad aware en fait...

      enfin bref, je te remercie une fois de plus, c'est très très aimable de ta part!

      bye
      0
  4. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut :-)

    Le SP2 est vital ! Avec ou sans pare feu !

    Installe en premier Zone Alarm:
    zonealarm

    Afin, d'avoir ta connection a Internet, double clik sur l icone de ZA pres de l horloge.
    Dans controle des programmes, onglet programmes, coche l'acès au net pour:
    - Ton FAi (fournisseur d acces internet)
    -- Ton navigateur (Internet Explorer ou Mozilla Firefox)
    --- Et Genreic Host Process For Win32.

    Une fois fait, tu le fermes et tu remets un HijackThis ici :)

    A+
    0
    1. tesun9 Messages postés 10 Statut Membre
       
      bonjour!:)

      j'ai donc installé Antivir, et fait un scan en mode sans echec! il a rien trouvé si ce n'est qu'il a reconnu
      combofix en tant que virus!
      puis installé zonelarm! mais j'ai relancé ad aware pour voir et là il me ressort encore ces fichiers shell32.dll, plus un autre truc, adware.agent(main_uninstaller.exe.dmp), en tout une vingtaine de fichiers...ç'en est désespérant, d'autant que tous les autres programmes que j'ai utilisés(spybot, avast,antivir) n'ont absolument
      rien trouvés! j'ai l'impression que c'est ad-aware qui déconne depuis la dernière mise à jour, et puis il bloque
      au moment de les mettre en quarantaine.

      je te laisse quand même mon dernier rapport hijack

      encore merci! ;-)



      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 15:18:32, on 21/07/2007
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\Winamp\winampa.exe
      C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
      C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      C:\WINDOWS\System32\devldr32.exe
      c:\program files\a-squared free\a2service.exe
      C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      C:\WINDOWS\System32\Ati2evxx.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
      O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
      O17 - HKLM\System\CCS\Services\Tcpip\..\{B024030E-8730-45D1-8A25-B67359A38C45}: NameServer = 80.10.246.2,80.10.246.129
      O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
      O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
      O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
      O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
      O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
      O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
      O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    ok

    Fixe cela avec HijackThis:

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    Sinon, Ad aware tu le passes en mode sans echec?

    A++
    0
    1. tesun9 Messages postés 10 Statut Membre
       
      oui, mode sans echec et normal! les 2 ont plantés au moment de la mise en quarantaine!
      ceci dit, sur le forum lavasoft/adware, ce plantage est reconnu par plusieurs personnes après la
      dernière mise à jour du programme(ainsi qu'un des malwares auxquels j'ai affaire).
      mais personne avec autant de shell32....haha

      d'autres conseils sont les bienvenus! :)
      0
  7. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Ok Lorsque tu lances Ad aware, il les détecte?
    Ok il t'indique le chemin ou l'infection se situe? OU c'est?

    A++
    0
    1. tesun9 Messages postés 10 Statut Membre
       
      voilà le rapport ad-aware, tel qu'il me le présente!
      dans le system32 donc!





      ADWARE.AGENT
      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
      obj[0]=Process : C:\WINDOWS\system32\SHELL32.dll

      0 POSSIBLE NEW MALWARE 0
      »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
      obj[1]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[2]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[3]=Process : C:\WINDOWS\system32\shell32.dll
      obj[4]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[5]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[6]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[7]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[8]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[9]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[10]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[11]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[12]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[13]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[14]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[15]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[16]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[17]=Process : C:\WINDOWS\system32\shell32.dll
      obj[18]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[19]=Process : C:\WINDOWS\system32\SHELL32.dll
      obj[20]=Process : C:\WINDOWS\system32\shell32.dll
      0
  8. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Pour moi et d'apres ce que j'ai lu, ca serait un faux positif, attendons les prochaines MAJ mais surtout ne le supprime pas pour l'instant.

    Je pense qu'il est temps de mettre a jour windows: Essaie d installer le SP2, si cela ne fonctionne pas, met uniquement le SP1.

    A++
    0
    1. tesun9 Messages postés 10 Statut Membre
       
      salut!

      finalement, après la dernière maj d'adware, tout est rentré dans l'ordre on dirait!:)

      il a detecté un fichier nommé nircmd.exe! il me semble que ce dernier soit couplé à combofix/hijackthis non?

      par contre, je crois avoir le sp1, vu qu'au niveau des mises à jours j'ai installé tout ce windows
      m'a proposé. et là, lorsque je lance la maj pour voir, il me propose le sp2 mais ça c'est une autre histoire au niveau de l'installation...ou plutôt d'identification...

      enfin bref, mille merci à toi! ;)

      à très bientôt!
      0
  9. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Ok !
    Tu le vois ici ta version:
    Platform: Windows XP (WinNT 5.01.2600)

    Tu n a pas un windows légal?

    a+
    0
    1. tesun9 Messages postés 10 Statut Membre
       
      oui c'est le moins que l'on puisse dire! ahem
      0
  10. tesun9 Messages postés 10 Statut Membre
     
    oui c'est le moins que l'on puisse dire! ahem
    0
  11. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    ok DANS CE CAS, l antivirus et le pare feu sont absolument vital pour ta sécurité :)
    0