Mon pc a un comportement louche

isofred Messages postés 265 Statut Membre -  
philae83 Messages postés 12854 Statut Contributeur sécurité -
salut, depuis quelques temps, mon pc fait des trucs bizszares!
il s'eteinds et s'allume tout seul et quand je passe un coup d'antivirus, il bloque et s'eteind toujours a peu pres au meme moment
y a t-il quelqu'un pour jeter un oeil a mon rapport hijack this et me dire s'il y a quelque chose de suspect?
d'avance merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:19:30, on 21/08/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINRUN] taskgmr.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [WINRUN] taskgmr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WINRUN] taskgmr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Windows Time Service (CSRRS) - Unknown owner - C:\WINDOWS\system\csrrs.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe (file missing)
O23 - Service: Spooler SubSystem App (SPOOLSV32) - Unknown owner - C:\WINDOWS\system32\drivers\spoolsv32.exe (file missing)

--
End of file - 3206 bytes
Configuration: Windows XP
Internet Explorer 6.0

10 réponses

  1. tigerSZ Messages postés 98 Statut Membre 7
     
    premiere vue, tout pareil normal, essaye de vérifier le journal d'erreur : clic droit sur poste de travail ensuite choisir "Gérer" ensuite observateur d'evenement et voi s'il ya erreur par rapport à une application quelqonque.
    une question : est ce que c'est la première fois ce probleme
    0
  2. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    ctrl+alt+supp------onglet processus------clic droit sur
    taskgmr.exe-------terminer le processus,

    puis

    lance hijackthis et coche :
    O4 - HKLM\..\Run: [WINRUN] taskgmr.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    * ferme toutes les applications ouvertes y compris Internet Explorer et clique sur "fix checked"

    puis

    * télécharge ERUNT
    http://www.zebulon.fr/articles/base-de-registre-3.php#sauve

    ensuite

    démarrer----------exécuter----tu tapes : regedit---------ok

    navigue jusqu'aux clés :

    HKEY_CURRENT_USER>System>CurrentControlSet>
    Control>Lsa
    dans le panneau de droite, localise
    WINTASK = "taskgmr.exe"---------------et supprime

    itou pour les autres :

    HKEY_LOCAL_MACHINE>System>CurrentControlSet>
    Control>Lsa
    WINTASK = "taskgmr.exe"

    HKEY_CURRENT_USER>System>CurrentControlSet>
    Control>Lsa
    WINTASK = "taskgmr.exe"

    HKEY_CURRENT_USER>Software>Microsoft>OLE
    WINTASK = "taskgmr.exe"

    HKEY_LOCAL_MACHINE>Software>Microsoft>Ole
    WINTASK = "taskgmr.exe"

    HKEY_CURRENT_USER>Software>Microsoft>
    Windows>CurrentVersion>Run
    WINTASK = "taskgmr.exe"

    HKEY_LOCAL_MACHINE>Software>Microsoft>
    Windows>CurrentVersion>Run
    WINTASK = "taskgmr.exe"

    HKEY_LOCAL_MACHINE>Software>Microsoft>
    Windows>CurrentVersion>RunServices
    WINTASK = "taskgmr.exe"

    puis sort du registre

    reposte un nouveau rapport hijackthis

    0
  3. isofred Messages postés 265 Statut Membre 26
     
    salut et merci de ta rapidité!

    a premiere vue, pas de problemed'application, mis a part la detection par mon antivirus de plusieurs virus
    TR/Crypt.ULPM.Gen' in the file C:\WINDOWS\system32\zicytjlp.exe
    AntiVir has detected 'TR/Crypt.ULPM.Gen' in the file C:\WINDOWS\system32\fputu.exe
    AntiVir has detected 'TR/Crypt.ULPM.Gen' in the file C:\WINDOWS\system32\algs.exe
    AntiVir has detected 'TR/Crypt.ULPM.Gen' in the file C:\WINDOWS\system32\drivers\spoolsv32.exe

    je n'ai pas encore relancé de scan parce qu'a chaque fois, mon ordi s'eteind et se rallumme en plein milieu

    qu'en penses tu?
    0
  4. isofred Messages postés 265 Statut Membre 26
     
    merci philae,
    voici le log hijackthis apres avoir suivi tes directives:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:53:33, on 21/08/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\devldr32.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Windows Time Service (CSRRS) - Unknown owner - C:\WINDOWS\system\csrrs.exe (file missing)
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe (file missing)
    O23 - Service: Spooler SubSystem App (SPOOLSV32) - Unknown owner - C:\WINDOWS\system32\drivers\spoolsv32.exe (file missing)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    j"'en pense que déjà si ton système d'exploitation était à jour, tu aurais peut être moins de tracas....

    qu'attends tu pour les faire (les màj ) ?

    Télécharge SDFix sur ton bureau
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    * Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
    * Redémarre ton ordinateur en mode sans échec
    * Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
    * Appuie sur Y pour commencer le processus de nettoyage.
    Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    * Appuie sur une touche pour redémarrer le PC.
    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,
    avec un nouveau log Hijackthis

    0
  7. roketchouon Messages postés 24 Statut Membre 2
     
    bjr; svp jai un nvel ordi portable, ms il est arrivé avec XP SP2 installé en italien, ainsi que d'autres logiciels tels que AVRack, Norton, Powergold.... Jaimerais savoir si en installant une autre version de XP en français, je perdrais les autres logiciels (AVRack,etc). Merci bcp de me répondre
    0
    1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
       
      bonjour,

      stp roketchouon, peux tu te creer ton propre sujet pour ne pas interférer dans celui ci stp. Merci

      0
  8. isofred Messages postés 265 Statut Membre 26
     
    voici le rapport sdfix:

    SDFix: Version 1.99

    Run by Propri‚taire on 21/08/2007 at 16:18

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\DOCUME~1\PROPRI~1\Bureau\sdfix\SDFix

    Safe Mode:
    Checking Services:

    Name:
    CSRRS
    Seagate Communication

    ImagePath:
    "C:\WINDOWS\system\csrrs.exe"
    "C:\WINDOWS\System32\dllcache\seagatecom.exe"

    CSRRS - Deleted
    Seagate Communication - Deleted

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    Trojan Files Found:

    C:\WINDOWS\SYSTEM32\BINGOO.EXE - Deleted
    C:\WINDOWS\SYSTEM32\IEXPLOR.EXE - Deleted
    C:\WINDOWS\system32\2pac.txt - Deleted
    C:\WINDOWS\system32\i - Deleted
    C:\WINDOWS\system32\iexplor.exe - Deleted
    C:\WINDOWS\system32\iexplore.exe - Deleted
    C:\WINDOWS\system32\o - Deleted
    C:\WINDOWS\system32\TFTP532 - Deleted

    Folder C:\Program Files\Fichiers communs\delsim - Removed

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    Remaining Files:
    ---------------

    File Backups: - C:\DOCUME~1\PROPRI~1\Bureau\sdfix\SDFix\backups\backups.zip
    Registry Backups: - C:\DOCUME~1\PROPRI~1\Bureau\sdfix\SDFix\backups\backupreg.zip
    Full Registry Backup: - C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE

    Files with Hidden Attributes:

    C:\WINDOWS\system32\porjdec.exe

    Finished

    ainsi que le nouveau log de hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:25:06, on 21/08/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\savedump.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\System32\devldr32.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Spooler SubSystem App (SPOOLSV32) - Unknown owner - C:\WINDOWS\system32\drivers\spoolsv32.exe (file missing)
    0
  9. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    je t'ai parlé d'un système d'exploitation qui n'était pas à jour.................?????
    pas vu de réponse

    * Fait un scan antivirus en ligne ICI
    https://www.bitdefender.fr/
    et copie colle le résultat ici
    * En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    * Dans la nouvelle fenêtre, clique sur I agree
    * La fenêtre change encore, clique sur Click here to scan
    * Les signatures se chargent, etc.

    tuto en image

    http://pageperso.aol.fr/rginformatique/mapage/defender.htm
    0
  10. keke
     
    salut j'ai un message de windows securité qui m'informe que mon ordi est infecté et me propose d'analyser mon systeme. j'ai scanné mon systeme avec avast et il semble que je nai pas de virus .
    ce message reapparait en permanence , commen t faire?
    0
  11. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir keke,

    peux tu stp te créer ton propre sujet afin de ne pas interférer dans celui ci merci.
    0