Sujet Précédent Sujet Suivant

Petits problèmes inconnus...

Résolu
silentlex Messages postés 162 Statut Membre -  
 Utilisateur anonyme -
bonsoir
je post ce message ici après l'avoir posté dans le forum windows et après conseils d'autres utilisateurs.

voila, j'ai plusieurs pbs depuis peu:
1) en fermeture de windows j'ai un message d'erreur, qui disparait très vite. je crois que cela concerne le fichier dwin.dll Cependant cela n'empêche pas l'arrêt de l'ordinateur.

2)a chaque fois que je ferme l'explorer, j'ai un message d'erreur dont voici le détail:

AppName: explorer.exe
AppVer: 6.0.2800.1257
ModName: unknown
ModVer: 0.0.0.0
Offset: 011d6a1d

3) au démarrage je trouve mon pc lent. où plutôt, une fois le bureau ouvert, pendant un temps de 30 secondes à 1 minute, il ne tourne pas, ne réflechi pas. une fois ce délai passé il commence à lancer internet et quelques applications. on m'a dit de faire un scan avec HiJack. je l'ai fait et j'ai viré quelques programmes espions. mais pour les autres je ne sais pas trop à quoi il correspondent. voici un extrait du rapport:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:46:35, on 21/07/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: XML Helper - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\xhelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Alex\logiciels\Utilitaires\Unlocker\UnlockerAssistant.exe" -H
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrer Internet Explorer.lnk = C:\Program Files\Internet Explorer\IEXPLORE.EXE
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BF77D59-146D-4E21-80BB-9661AC9E835D}: NameServer = 80.10.246.2,80.10.246.129
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program Files\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

96 réponses

Précédent
Réponse 21 / 96
Utilisateur anonyme
 
Bonne idée,
faisons donc un Combofix.
Fais donc ceci+ poster le ou les rapports (ça dépend s'il a mis un truc en quarantaine/ou pas )
http://leblogdeclaude.blogspot.com/2007/07/utilisation-de-combofix.html
0
Réponse 22 / 96
silentlex Messages postés 162 Statut Membre 2
 
salut.
toujours pas pu redémarrer en mode sans échec, mais par contre j'ai pu faire l'analyse online f-secure

voici un rapport:

Scanning Report
Monday, July 23, 2007 18:11:42 - 19:31:09
Computer name: NOM-IZ5J7T6C88D
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\

--------------------------------------------------------------------------------

Result: 14 malware found
Backdoor.Win32.VB.kb (virus)
C:\WINDOWS\SYSTEM32\L0L0T45E.EXE (Renamed & Submitted)
Email-Worm.Win32.Bagle.ik (virus)
C:\DOCUMENTS AND SETTINGS\CHLOɜAPPLICATION DATA\HIDIRES\ROSA.SYS (Renamed & Submitted)
C:\DOCUMENTS AND SETTINGS\ALAIN\APPLICATION DATA\HIDIRES\ROSA.SYS (Renamed & Submitted)
Stealth_process (hidden item)
C:\WINDOWS\SERVICES.EXE (Submitted)
C:\WINDOWS\SYSTEM32\SERVICES.EXE (Submitted)
Tracking Cookie (spyware)
System (Disinfected)
System
System
System
Trojan-Downloader.Win32.Agent.bhg (virus)
C:\WINDOWS\SERVICES.DLL (Renamed & Submitted)
Trojan-Downloader.Win32.Agent.bks (virus)
C:\DOCUMENTS AND SETTINGS\CHLOɜLOCAL SETTINGS\TEMP\SVCHOST.EXE (Renamed & Submitted)
Trojan.Win32.Patched.af (virus)
C:\PROGRAM FILES\LOGITECH\VIDEO\ISSTART.EXE (Disinfected & Submitted)
C:\PROGRAM FILES\LOGITECH\VIDEO\LOGITRAY.EXE (Disinfected & Submitted)
C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE (Disinfected & Submitted)

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 31342
System: 4338
Not scanned: 4
Actions:
Disinfected: 4
Renamed: 5
Deleted: 0
None: 5
Submitted: 10
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure Libra: 2.4.2, 2007-07-21
F-Secure AVP: 7.0.171, 2007-07-23
F-Secure Orion: 1.2.37, 2007-07-23
F-Secure Blacklight: 1.0.64
F-Secure Draco: 1.0.35, 2007-07-09
F-Secure Pegasus: 1.19.0, 2007-06-18
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
Use Advanced heuristics
0
Réponse 23 / 96
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

Pas besoin de MSE pour ComboFix

Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.

Tu copies et colles ce rapport sur le forum
0
Réponse 24 / 96
Utilisateur anonyme
 
re, tu veux dire quoi pour MSE ?
0
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,
MSE = Mode sans Echec
;)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 96
silentlex Messages postés 162 Statut Membre 2
 
voici le rapport combofix

"Alex" - 2007-07-23 20:20:23 - ComboFix 07-07-23.6 - Service Pack 1 NTFS

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\DOCUME~1\Alex\APPLIC~1.\hidires
C:\WINDOWS\DOWNLO~1\USDR6V_0001_N19M2604NetInstaller.exe
C:\WINDOWS\exefld
C:\WINDOWS\services.exe
C:\WINDOWS\system32.dll
C:\WINDOWS\xhelper.dll

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_ROSA
-------\rosa

((((((((((((((((((((((((( Files Created from 2007-06-23 to 2007-07-23 )))))))))))))))))))))))))))))))

2007-07-23 18:09 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-22 20:33 <REP> d-------- C:\!KillBox
2007-07-22 13:50 <REP> d-------- C:\DOCUME~1\CHLO~1\APPLIC~1\Comodo
2007-07-22 13:49 <REP> d-------- C:\DOCUME~1\Jeanne\APPLIC~1\Comodo
2007-07-22 13:34 <REP> d-------- C:\DOCUME~1\Alain\APPLIC~1\Comodo
2007-07-22 11:04 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-07-22 11:04 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-07-22 11:04 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-07-22 11:04 1,270 --a------ C:\WINDOWS\system32\tmp.reg
2007-07-22 10:47 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Comodo
2007-07-22 10:47 <REP> d-------- C:\DOCUME~1\Alex\APPLIC~1\Comodo
2007-07-21 21:26 <REP> d-------- C:\Program Files\Navilog1
2007-07-21 16:24 <REP> d-------- C:\DOCUME~1\CHLO~1\APPLIC~1\Lavasoft
2007-07-21 10:01 <REP> d-------- C:\DOCUME~1\Alex\APPLIC~1\VCOM
2007-07-20 23:52 681,984 --a------ C:\WINDOWS\system32\CDUninst.exe
2007-07-20 11:08 <REP> d--h----- C:\DOCUME~1\CHLO~1\APPLIC~1\hidires
2007-07-20 05:55 <REP> d-------- C:\Program Files\Common
2007-07-19 18:15 <REP> d-------- C:\WINDOWS\system32\PC Booster 5
2007-07-19 17:13 <REP> d-------- C:\DOCUME~1\LOCALS~1\APPLIC~1\Webroot
2007-07-19 16:51 <REP> d-------- C:\WINDOWS\system32\GroupPolicy
2007-07-18 19:05 <REP> d-------- C:\WINDOWS\Internet Logs
2007-07-18 17:40 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-07-18 17:20 23,296 --a------ C:\WINDOWS\system32\drivers\NaiFiltr.sys
2007-07-18 17:20 <REP> d-------- C:\DOCUME~1\LOCALS~1\APPLIC~1\McAfee.com Personal Firewall
2007-07-18 17:19 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\McAfee.com
2007-07-18 17:16 <REP> d-------- C:\DOCUME~1\Alex\APPLIC~1\McAfee.com Personal Firewall
2007-07-18 17:14 344,064 --a------ C:\WINDOWS\system32\mcinsctl.dll
2007-07-18 17:14 270,336 --a------ C:\WINDOWS\system32\mcgdmgr.dll
2007-07-18 17:14 <REP> d-------- C:\6iE2CauQVmgNXBndLGGtK3RpWFtiXlobtp8
2007-07-17 18:23 360,224 --ahs---- C:\WINDOWS\fidbox.dat
2007-07-16 16:08 <REP> d--h----- C:\DOCUME~1\Alain\APPLIC~1\hidires
2007-07-14 11:33 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AVS4YOU
2007-07-14 11:33 <REP> d-------- C:\DOCUME~1\Alex\APPLIC~1\AVS4YOU
2007-07-14 10:15 3,082 --a------ C:\WINDOWS\system32\affv9553p4now.sys
2007-07-11 19:48 <REP> d-------- C:\Program Files\Fichiers communs\River Past
2007-07-11 19:48 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\River Past G5
2007-07-11 19:48 <REP> d-------- C:\DOCUME~1\Alex\APPLIC~1\River Past G5
2007-07-02 19:17 27 --a------ C:\WINDOWS\wazpnmp.sys
2007-06-30 10:45 <REP> d-------- C:\DOCUME~1\Alex\APPLIC~1\vlc

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-23 16:51:11 -------- d-----w C:\Program Files\Emule
2007-07-21 11:41:40 -------- d-----w C:\DOCUME~1\Alex\APPLIC~1\Lavasoft
2007-07-21 07:59:43 -------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-07-20 16:55:20 -------- d-----w C:\Program Files\Ahead
2007-07-20 04:32:08 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-07-20 03:55:10 -------- d-----w C:\Program Files\Common Files
2007-07-20 03:55:09 -------- d-----w C:\Program Files\Yahoo!
2007-07-19 13:54:24 -------- d-----w C:\Program Files\Google
2007-07-18 16:41:58 -------- d-----w C:\Program Files\Soulseek
2007-07-17 18:54:12 -------- d-----w C:\Program Files\Windows Live Toolbar
2007-07-17 18:25:30 -------- d-----w C:\Program Files\GameShadow
2007-07-14 13:20:37 -------- d-----w C:\Program Files\Magic Workstation
2007-07-14 09:56:01 -------- d-----w C:\Program Files\Fichiers communs\AVSMedia
2006-08-08 15:30:07 4,435,841 ----a-w C:\Program Files\Deck analyser v1.0.zip
2004-09-12 11:23:46 3,333 -c--a-w C:\Program Files\INSTALL.LOG
2003-10-23 16:52:08 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe
2002-07-26 15:02:06 153,088 -c--a-w C:\Program Files\UNWISE.EXE
2005-09-05 16:18:14 56 -csh--r C:\WINDOWS\system32\2BD763A547.sys
2005-09-05 17:04:14 8 -csh--r C:\WINDOWS\system32\BDE69F75BC.sys
2005-09-19 17:50:26 10,856 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.exe" []
"UnlockerAssistant"="C:\Alex\logiciels\Utilitaires\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19]
"GhostWall"="C:\Alex\logiciels\antivirus & config pc\GhostWall\ghostwall.exe" []
"COMODO Firewall Pro"="C:\Alex\logiciels\antivirus & config pc\Comodo\Firewall\CPF.exe" [2007-07-22 10:50]
"QuickTime Task"="C:\alex\quick time\qttask.exe" [2005-02-18 18:52]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-11-15 16:18]

C:\Documents and Settings\Alex\Menu D‚marrer\Programmes\D‚marrage\
D‚marrer Internet Explorer.lnk - C:\Program Files\Internet Explorer\IEXPLORE.EXE [2004-01-28 11:37:36]
RegFreeze.lnk - C:\Alex\logiciels\antivirus & config pc\RegFreeze\regfreeze.exe [2007-07-19 17:22:10]

[color=red]SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.[/color]
~~\SafeBoot\Minimal\Base
~~\SafeBoot\Minimal\Boot Bus Extender
~~\SafeBoot\Minimal\Boot file system
~~\SafeBoot\Minimal\dmboot.sys
~~\SafeBoot\Minimal\dmio.sys
~~\SafeBoot\Minimal\dmload.sys
~~\SafeBoot\Minimal\dmserver
~~\SafeBoot\Minimal\File system
~~\SafeBoot\Minimal\Filter
~~\SafeBoot\Minimal\PCI Configuration
~~\SafeBoot\Minimal\Primary disk
~~\SafeBoot\Minimal\RpcSs
~~\SafeBoot\Minimal\SCSI Class
~~\SafeBoot\Minimal\sermouse.sys
~~\SafeBoot\Minimal\System Bus Extender
~~\SafeBoot\Minimal\vga.sys
~~\SafeBoot\Minimal\vgasave.sys
~~\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
"C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"C:\Program Files\CloneCD\CloneCDTray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
"C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"C:\Program Files\HP\HP Software Update\HPWuSchd.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\navapp]
C:\Program Files\NavExcel\NavHelper\v2.0.4d\navapp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\alex\quick time\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vSubst K:]
vSubst K: C:\RA1SET~1\SETUP

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vSubst L:]
vSubst L: C:\RA1\SETUP

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Alex\winamp\winampa.exe

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys
R0 Inspect;Comodo Network Engine;C:\WINDOWS\System32\DRIVERS\inspect.sys
R0 PzWDM;PzWDM;C:\WINDOWS\System32\Drivers\PzWDM.sys
R1 CmdMon;Comodo Application Engine;C:\WINDOWS\System32\DRIVERS\cmdmon.sys
R2 ElbyCDIO;ElbyCDIO Driver;C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
R2 F-Secure Filter;F-Secure File System Filter;\??\C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;\??\C:\Program Files\F-Secure\Anti-Virus\Win2K\FSgk.sys
R2 F-Secure Recognizer;F-Secure File System Recognizer;\??\C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys
R2 FSpm;F-Secure Policy Manager;\??\C:\Program Files\F-Secure\Common\FSPM.SYS
R3 ALCXSENS;Service for WDM 3D Audio Driver;C:\WINDOWS\System32\drivers\ALCXSENS.SYS
R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\System32\Drivers\ElbyCDFL.sys
R3 Pcouffin;Low level access layer for CD devices;C:\WINDOWS\System32\Drivers\Pcouffin.sys
R3 pepifilter;Volume Adapter;C:\WINDOWS\System32\DRIVERS\lv302af.sys
R3 PID_08A0;Labtec WebCam Pro(PID_08A0);C:\WINDOWS\System32\DRIVERS\LV302AV.SYS
S2 Fax;Fax;C:\WINDOWS\system32\fxssvc.exe
S3 alcan5wn;SpeedTouch USB ADSL PPP Networking Driver (NDISWAN);C:\WINDOWS\System32\DRIVERS\alcan5wn.sys
S3 alcaudsl;SpeedTouch ADSL Modem ATM Transport;C:\WINDOWS\System32\DRIVERS\alcaudsl.sys
S3 hitmanpro2;Hitman Pro 2 Driver;\??\C:\Alex\logiciels\antivirus & config pc\Hitman Pro\hitmanpro2.sys
S3 jnv4_mib;jnv4_mib;\??\C:\DOCUME~1\Alex\LOCALS~1\Temp\jnv4_mib.sys
S3 NaiFiltr;NaiFiltr;C:\WINDOWS\System32\DRIVERS\NaiFiltr.sys
S3 WINIO;WINIO;\??\D:\winio.sys
S4 BackWeb Client - 7681197;F-Secure BackWeb;C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
S4 F-Secure Gatekeeper Handler Starter;F-Secure Gatekeeper Handler Starter;"C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Usnsvc usnsvc

Contents of the 'Scheduled Tasks' folder
2007-07-23 17:57:01 C:\WINDOWS\tasks\Check Updates for Windows Live Toolbar.job
2007-07-17 17:12:06 C:\WINDOWS\tasks\HP DArC Task #Hewlett-Packard#hp psc 1300 series#1082221788.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-23 20:32:33
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-23 20:34:03 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-23 20:33

--- E O F ---
0
Réponse 26 / 96
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

Il a bien travaillé mon petit copain ComboFix .

A)- Bizarre comme localisation de pare-feu ?
2007-07-18 17:20 <REP> d-------- C:\DOCUME~1\LOCALS~1\APPLIC~1\McAfee.com Personal Firewall
2007-07-18 17:19 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\McAfee.com
2007-07-18 17:16 <REP> d-------- C:\DOCUME~1\Alex\APPLIC~1\McAfee.com Personal Firewall

B)- Il faudra faire analyser ces fichiers ( en gras ) chez VirusTotal, comme ceci:

1°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer fichiers protégés du dossier système
Tu vas recevoir un message qui te dit que cela peut endommager le système,
n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

2°- Ensuite vas là :< https://www.virustotal.com/gui/ >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des fichiers en gras ci-après dans la liste ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) )
•- c'est-à-dire :

C:\WINDOWS\system32\affv9553p4now.sys

•- quand tu as trouvé le premier fichier affv9553p4now.sys</gras, tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier <gras>affv9553p4now.sysse retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send file" ( de la page de Virustotal )
•- et tu attends le résultat (il faut parfois patienter)
•- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse )

Merci pour ta collaboration

Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

C)- Autres recherches :

1°- Dans "Postede travail" > C:\ > Documents and Settings > .......... trouver ces deux fichiers en gras et les supprimer :
C:\DOCUME~1\CHLO~1\APPLIC~1\hidires
C:\DOCUME~1\Alain\APPLIC~1\hidires

EDIT: Attention ==> sans doute renommés comme ceci :
-C:\DOCUMENTS AND SETTINGS\CHLOɜAPPLICATION DATA\HIDIRES\ROSA.SYS </gras
-C:\DOCUMENTS AND SETTINGS\ALAIN\APPLICATION DATA\HIDIRES\<gras>ROSA.SYS

2°- Faire ceci :

a)- - Télécharge "clean.zip", décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier "clean". < < http://img227.imageshack.us/img227/9384/screenshot149ih1.gif >

-Redémarre en mode sans échec.
Tutos: Comment faire pour... à la lettre D
< https://forum.pcastuces.com/default.asp >

•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, suis les consignes
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
Choisis l’option 2.
Clean va travailler. Il va produire un rapport.

Un rapport va être généré, colle le contenu entier ici.
- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum.

b)- Télécharge DrWeb
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
La version est automatiquement à jour.
Installe le.
Lance le.
Une analyse des processus se lance.
Ensuite, choisis le lecteur à scanner ( C ) et lance l'analyse.
Choisis de supprimer ce qu’il trouve
Poste le rapport.

c)- télécharge un petit nettoyeur de virus mis en place par Kaspersky sur le lien suivant :

http://9down.com/Kaspersky-Free-Cleaner-12-0-0-13-12984/

Par contre une fois téléchargé copie le fichier qui s'appelle normalement "klwk" sur le disque "C:" IMPÉRATIVEMENT, ensuite clique sur le Logo Windows en bas à gauche de ton bureau >> Tous les Programmes >> Accessoires >> place toi au niveau de "Invite de commande" fait un clic droit sur le fichier et va dans Exécuter en tant qu'Administrateur, puis tu fais continuer ... Une fenêtre MS-DOS devrait s'afficher tape alors "cd.." une fois, puis "cd.." encore une fois sans les guillemets bien entendu tu devrais avoir ceci d'affiché ensuite :
C:\>
Tape alors klwk pour lancer l'analyse détecter et supprimé les virus éventuels ...
Poster le rapport

Merci
Al.

0
Réponse 27 / 96
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Philo,

Philo, je ne connais pas ce scan F-secure

Que faut-il faire avec ces fichiers :

C:\WINDOWS\SYSTEM32\L0L0T45E.EXE (Renamed & Submitted)
C:\WINDOWS\SERVICES.EXE (Submitted)
C:\WINDOWS\SYSTEM32\SERVICES.EXE (Submitted)
C:\WINDOWS\SERVICES.DLL (Renamed & Submitted)
C:\DOCUMENTS AND SETTINGS\CHLOɜLOCAL SETTINGS\TEMP\SVCHOST.EXE(Renamed & Submitted)
C:\PROGRAM FILES\LOGITECH\VIDEO\ISSTART.EXE (Disinfected & Submitted)
C:\PROGRAM FILES\LOGITECH\VIDEO\LOGITRAY.EXE (Disinfected & Submitted)
C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE(Disinfected & Submitted)

Actions:
Disinfected: 4 ( dont 1 cookie )
Renamed: 5
Deleted: 0
None: 5

Merci à toi pour cette formation

Al.
0
Réponse 28 / 96
Utilisateur anonyme
 
ceci:
C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE(Disinfected & Submitted)
ne rien faire....il a désinfecté la source lui-même, tout en conservant le fonctionnement du dit programme (en principe)
Je possède le même fichier sur ma machine.
C:\Program Files\HP\HP Software Update
Hewlett-Packard Product Assistant
48.0 Ko (49,152 octets)
----------------------------
Type d'analyse: Analyse de la cible
Cible : C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
Résultat du test
Aucun antiprogramme détecté

Statistiques
Analysés:

* Fichiers: 1
* Non analysés: 0

Résultat:

* Virus: 0
* Logiciel espion: 0
* Eléments suspects: 0
* Programme à risque: 0

Actions:

* Nettoyés: 0
* Renommés: 0
* Supprimés: 0
* Quarantaine: 0
* Echec: 0

Secteurs d'amorçage:

* Analysés: 0
* Infectés: 0
* Eléments suspects: 0
* Nettoyés: 0

Options
Version des définitions:

* Virus: 2007-07-24_01
* Logiciel espion: 2007-07-24_01

Moteurs d'analyse :

* F-Secure AVP: 6.00.171, 2007-07-24
* F-Secure Libra: 2.04.01, 2007-07-21
* F-Secure Orion: 1.02.37, 2007-07-23
* F-Secure Draco: 1.00.35, 2007-07-09
----------------------------------------------------------

J'ai vérifié (j'ai F-secure dans mon PC) en faisant clic droit et scanner par F-secure....ce fichier est clean chez-moi.

ceci:
SERVICES.EXE (Submitted)
le F-secure s'intérroge et soumet une intérrogation (envoi d'un échantillion), car il ne trouve pas la réponse dans sa base de données...en général c'est une fausse alerte.
ici:

C:\DOCUMENTS AND SETTINGS\CHLOɜLOCAL SETTINGS\TEMP\SVCHOST.EXE(Renamed & Submitted)
il a un gros doute et préfère renommer, mais il transmet l'info pour être traité par F-secure (techniciens)
A mon avis , il s'autorisse à renommer quand c'est situé dans un tmp/temp (mieux vaut prévenir que guérir)
-------------------------------------------------------------------------------
En cas de doute, je ne vois qu'une seule option sur les (Submitted) et /ou (Renamed & Submitted) , passer par Virus Total.

0
Réponse 29 / 96
silentlex Messages postés 162 Statut Membre 2
 
ok alors en A/le parefeu Mc afee a été désinstallé. il doit s'agir de "restes"

en B/ analyse du fichier affv9553p4now.sys : rapport virus total :

File affv9553p4now.sys received on 07.25.2007 16:39:49 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Loading server information...
Your file is queued in position: 3.
Estimated start time is between 52 and 75 seconds.
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Print results

Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

Antivirus Version Last Update Result
AhnLab-V3 2007.7.25.0 2007.07.25 no virus found
AntiVir 7.4.0.44 2007.07.25 no virus found
Authentium 4.93.8 2007.07.25 no virus found
Avast 4.7.997.0 2007.07.25 no virus found
AVG 7.5.0.476 2007.07.25 no virus found
BitDefender 7.2 2007.07.25 no virus found
CAT-QuickHeal 9.00 2007.07.25 no virus found
ClamAV 0.91 2007.07.25 no virus found
DrWeb 4.33 2007.07.25 no virus found
eSafe 7.0.15.0 2007.07.24 no virus found
eTrust-Vet 31.1.5004 2007.07.25 no virus found
Ewido 4.0 2007.07.25 no virus found
FileAdvisor 1 2007.07.25 no virus found
Fortinet 2.91.0.0 2007.07.25 no virus found
F-Prot 4.3.2.48 2007.07.25 no virus found
F-Secure 6.70.13030.0 2007.07.25 no virus found
Ikarus T3.1.1.8 2007.07.25 no virus found
Kaspersky 4.0.2.24 2007.07.25 no virus found
McAfee 5081 2007.07.24 no virus found
Microsoft 1.2704 2007.07.25 no virus found
NOD32v2 2418 2007.07.25 no virus found
Norman 5.80.02 2007.07.25 no virus found
Panda 9.0.0.4 2007.07.24 no virus found
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.25 no virus found
Symantec 10 2007.07.25 no virus found
TheHacker 6.1.7.152 2007.07.23 no virus found
VBA32 3.12.2.1 2007.07.24 no virus found
VirusBuster 4.3.26:9 2007.07.24 no virus found
Webwasher-Gateway 6.0.1 2007.07.25 no virus found

Additional information
File size: 3082 bytes
MD5: 1e90bed2ea275b238a3840bb32732894
SHA1: dc04f250584c8c64d35550e23d50f6a2c20bc672

en C/
-C:\DOCUMENTS AND SETTINGS\CHLOɜAPPLICATION DATA\HIDIRES\ROSA.SYS </gras
-C:\DOCUMENTS AND SETTINGS\ALAIN\APPLICATION DATA\HIDIRES\<gras>ROSA.SYS

fichiers introuvable. je n'arrive pas a mettre la main dessus

pour la suite peut tu me dire où trouver clean.zip

merci a+
0
Réponse 30 / 96
Utilisateur anonyme
 
"pour la suite peut tu me dire où trouver clean.zip "
http://www.malekal.com/download/clean.zip
0
Réponse 31 / 96
silentlex Messages postés 162 Statut Membre 2
 
merci pour le lien
quand je décompresse je n'ai que le fichier et pas le programme executable clean.zip comme décris précedemment ici: < http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
0
Réponse 32 / 96
Utilisateur anonyme
 
IL n'y a pas de exécutable au sens normal du terme....exe
mais un fichier clean.cmd
double clic dessus et choisis l'option 1
colles le rapport.

----------------------------------------------------------------
0
Réponse 33 / 96
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Pour "clean"

•- Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
< http://img227.imageshack.us/img227/9384/screenshot149ih1.gif >
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, suis les consignes
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
Choisis l’option 2.

Si ça peut aider

Al.
0
Réponse 34 / 96
Utilisateur anonyme
 
;-)
et ? nous en sommes où du soucis ?
0
Réponse 35 / 96
silentlex Messages postés 162 Statut Membre 2
 
et?

salut
plus aucun souci car apparament le scan online fsecure a renommé des fichiers importants de windows, ce qui a eu pour résultat lorsque j'ai redémarré en mode sans échec selon la procédure d'afideg de me créé une boucle infini de redémarrage et ce quelque soit le mode de démarrage choisi.
enfin rassurez vous je l'ai amené chez un réparateur qui ma réinstallé windows pour 50euros donc je n'ai plus de virus et le démarrage se fait très rapidement. et j'ai aussi perdu 90% de mes données perso car il n'a pas pu tout récupérer...
voila, bien deg quoi
0
Réponse 36 / 96
Utilisateur anonyme
 
ok,
je vois ce que tu veux dire.
En passant par Msconfig et en modifiant le Boot.ini.
---------------
je dirais que ça peut arriver, en cas de certaines infections....
Mais perso, je pense ceci:
"Il existe une autre méthode, avec Msconfig, je ne là préconnise pas du tout, j'en connais qui sont resté "enfermé" en boucle !"
https://leblogdeclaude.blogspot.com/2007/04/informatique-rebooter-xp-en-mode-sans.html
Il y a moyen de sortir , mais tu n'as pas parlé de soucis ?
ton dernier message datait de:
le mercredi 25 juillet 2007 à 17h31:22
Ceci dit, pourquoi as-tu porté ta machine chez un réparateur pour te réinstaller XP ?
"chez un réparateur qui ma réinstallé windows pour 50euros donc je n'ai plus de virus et le démarrage se fait très rapidement. "
tu as répondu ceci: "Mon Pc est de groupe a (montage)."
Ce qui correspond à ceci:
"a)Tu as un PC Tour sans marque, tu l'as acheté chez un monteur (magasin indépendant), et de plus tu as le cd de XP de disponible."
De plus ci tu as le cd...on aurait pu tenter la réparation de XP.
;-)

0
Réponse 37 / 96
silentlex Messages postés 162 Statut Membre 2
 
ouais je sais j'ai lu ton blog t'inquiète pas..
mais en fait de toute façon le gars m'a expliqué que trop de fichiers windows étaient manquant ou renommés par l'antivirus.. et de plus il fallait que je conserve mes données (ou une partie) et ca je ne pouvais le faire que par un pro.. je n'avais plus d'accès à windows...
0
Réponse 38 / 96
Utilisateur anonyme
 
" je n'avais plus d'accès à windows."
là évidemment tu étais coincé !
:-/
si je peux me permettre un petit conseil...
https://leblogdeclaude.blogspot.com/2007/01/informatique-problme-disque-dur-externe.html
;-)

0
Réponse 39 / 96
silentlex Messages postés 162 Statut Membre 2
 
en fait au moment ou je choisissait le mode de lancement (normal, sans échec, derniere config.), quiqu'il arrive, il redémarrai tout seul, en boucles.
donc plus accès à internet pour d'autres conseils aussi...
les données que j'avais étaient musicales, certaines rares sa m'emmerdent. les autres je me débrouillerais pour les récupérer..
0
Réponse 40 / 96
silentlex Messages postés 162 Statut Membre 2
 
oui un DD externe serait une bonne idée à l'avenir....
0

Discussions similaires

Petit carré noir sur l'écran
Vivien -
Vivien -

1 réponse
Carrés blancs
Asiriix -
Asiriix -

3 réponses
petits problèmes avec javascript
dnt91 -
dnt91 -

3 réponses
Ecrire les chiffres en petits caractères
Fabienne -
c -

39 réponses
comment écrire des petits chiffres ?
Elisa-x3 -
Luka_65 -

9 réponses