PC qui rame et processus slserv.exeRésolu/Fermé

Question

Bonjour,
Le processeur de ce PC est constamment saturé à 100% et il rame a fond.
J'ai passé dans l'ordre:
- regcleaner
- ccleaner
- AVG antispyware (mode sans echec, rapport ci-dessous. Tout a été ignoré, mais il a détecté quelques trojans et surtout un problème "heuristic" ???)
- Hijackthis (rapport ci-dessous)
J'ai voulu scanner avec bitdefender en ligne (sous explorer bien sûr) mais ca n'a pas voulu fonctionner.
Je crois avoir detecté un processus louche qui s'appelle slserv.exe, mais mes compétence en informatique s'arrêtent malheureusement là.
Pouvez-vous m'aider?

Merci d'avance pour le temps que vous consacrerez à lire ce message,

Nico

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
 + Créé à:	10:04:57 28/09/2007
 + Résultat de l'analyse:	

C:\Program Files\180searchassistant -> Adware.180Solutions : Ignoré.
C:\Program Files\180searchassistant\sac_gdf.dat -> Adware.180Solutions : Ignoré.
C:\Program Files\180searchassistant\sac_kyf_update.dat -> Adware.180Solutions : Ignoré.
HKLM\SOFTWARE\sac -> Adware.180Solutions : Ignoré.
HKU\.DEFAULT\Software\BTGrab -> Adware.BetterInternet : Ignoré.
HKU\S-1-5-18\Software\BTGrab -> Adware.BetterInternet : Ignoré.
HKLM\SOFTWARE\Policies\Avenue Media -> Adware.InternetOptimizer : Ignoré.
C:\System Volume Information\_restore{34F924C6-10CC-492E-82CC-9F0FBE5AA013}\RP5\A0104035.ocx -> Adware.MediaMotor : Ignoré.
C:\Documents and Settings\***\Menu Démarrer\Programmes\Power Scan -> Adware.PowerScan : Ignoré.
C:\Documents and Settings\***\Menu Démarrer\Programmes\Power Scan\Power Scan.lnk -> Adware.PowerScan : Ignoré.
C:\Program Files\Power Scan -> Adware.PowerScan : Ignoré.
C:\Program Files\SideFind -> Adware.SideFind : Ignoré.
C:\Program Files\SideFind\sfbho.dll -> Adware.SideFind : Ignoré.
C:\Program Files\SideFind\sfexd001 -> Adware.SideFind : Ignoré.
C:\Program Files\SideFind\sidefind.dll -> Adware.SideFind : Ignoré.
C:\Program Files\SideFind\update -> Adware.SideFind : Ignoré.
C:\WINDOWS\system32\TFTP3332 -> Backdoor.Rbot.bi : Ignoré.
C:\System Volume Information\_restore{34F924C6-10CC-492E-82CC-9F0FBE5AA013}\RP14\A0184846.exe -> Heuristic.Win32.Exploit : Ignoré.
C:\WINDOWS\system32\skzznrert.exe -> Heuristic.Win32.Exploit : Ignoré.
C:\WINDOWS\system32\TFTP3836 -> Heuristic.Win32.Morphine-Crypted : Ignoré.
C:\WINDOWS\system32
dis.exe -> Heuristic.Win32.Morphine-Crypted : Ignoré.
:mozilla.22:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\e8y6t6jn.default\cookies.txt -> TrackingCookie.2o7 : Ignoré.
:mozilla.14:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\e8y6t6jn.default\cookies.txt -> TrackingCookie.Doubleclick : Ignoré.
C:\Documents and Settings\Invité\Cookies\invité@m.webtrends[1].txt -> TrackingCookie.Webtrends : Ignoré.
C:\System Volume Information\_restore{34F924C6-10CC-492E-82CC-9F0FBE5AA013}\RP5\A0104037.exe -> Trojan.Dialer.u : Ignoré.
C:\System Volume Information\_restore{34F924C6-10CC-492E-82CC-9F0FBE5AA013}\RP5\A0104038.exe -> Trojan.Dialer.u : Ignoré.
Fin du rapport

Scan Hijackthis
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:04:45, on 28/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\sllights.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie_rsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MSChoEx] suge.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Qbik WinGate Engine (WinGateEngine) - Unknown owner - C:\Program Files\WinGate\WinGateEngine.exe (file missing)
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Le sioux · Answer

Bonjour Nicobob

Tout d abord pour AVG, il va te falloir recommencer
*Mise à jour :

Lancer AVG Anti-Spyware.
Cliquer sur le menu Mise à jour.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour.

Ferme AVG Antispyware

* Reglages :

Cliquer sur le menu Analyse (de la barre d'outils).
Cliquer sur l'onglet Paramètres.
Dans Comment réagir? cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées.
Dans Rapports cocher "générer un rapport aprés chaque analyse"

* Scan et nettoyage : (a faire en mode sans echec)
Dans l'onglet Analyse
Cliquer sur Analyse complète du système.
Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.
Tres important : A la fin de l'analyse, clique sur " Appliquer toutes les actions"
Ensuite.
Cliquer sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
Puis fermer AVG Anti-Spyware..

Reposte le rapport AVG, pendant ce temps, je regarderai ton log Hjt

@+

Edit ne touches pas a  slserv.exe legitime ---->   https://www.processlibrary.com/en/directory/a/1/

Le sioux · Answer

Re

C est le faite que tu sois encore en SP1 qui te rends vulnerabla a cette bebete ! tu decrais etre au SP2 depuis longtemps ! il faudra faire cela par la suite apres le nettoyage


Je tiens le responsable Win32/Rbot Family 


ici --> suge.exe

1)  demarrer/rechercher click sur options avancés et coche recherche dans dossiers systeme,fichiers et dossiers cachés et  sous dossiers

et donne moi la localisation de suge.exe

2) Tu as des services a fermer

entre autre

Partage de Bureau à distance NetMeeting
Gestionnaire de session d'aide sur le Bureau à distance 
Qbik WinGate Engine 
Carte de performance WMI

regarde ici
http://speedweb1.free.fr/frames2.php?page=service4  et  http://speedweb1.free.fr/frames2.php?page=service3

@+

nicobobo · Answer

OK, merci.
J'essaye ça demain car c'est pas mon PC mais celui de mon boulot.
Je posterai le résultat dès demain matin normalement.
a+

Le sioux · Answer

Re bonjour Nico

Ok, je verrais cela demain.

Par contre, si c est un pc de travail, je ne sais pas si tu dois toucher aux services dont je t ai parlé.

Je pense que suge.exe  se trouve dans C:\windows\system32  quand tu me le confirmeras, on s en occupera en le supprimant et en executant un regfix du meme coup.

@+

nicobobo · Answer

Salut Le sioux,
Tout d'abord, merci pour tes conseils que j'ai suivi dès ce matin. Tu trouveras le scan AVG ci-dessous.
J'ai fait la recherche du fichier suge.exe et voici ce que j'ai trouvé:
- suge.exe-08DE91D9.pf dans C:\WINDOWS\prefetch
- suge.exe-up dans C:\WINDOWS\system32 (comme prévu...)
Quant au processus louche, je me suis gouré, il s'agit en fait de sllights, si je ne m'abuse... Comme quoi, j'ai bien fait de demander conseil!
J'attends tes lumières.
Merci d'avance et à bientôt.
Nicobobo

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	10:37:29 01/10/2007

 + Résultat de l'analyse:	



C:\Documents and Settings\***\Menu Démarrer\Programmes\Power Scan -> Adware.PowerScan : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{34F924C6-10CC-492E-82CC-9F0FBE5AA013}\RP14\A0186192.dll -> Adware.SideFind : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{34F924C6-10CC-492E-82CC-9F0FBE5AA013}\RP14\A0186194.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{34F924C6-10CC-492E-82CC-9F0FBE5AA013}\RP14\A0186195.exe -> Heuristic.Win32.Morphine-Crypted : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

Le sioux · Answer

Bonsoir 

Bien joué .

Bon on s attaque a ce  suge.exe alias Win32/Rbot Family 

1) RegFix

 Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

REGEDIT4

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"MSChoEx"=-
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"MSChoEx"=-
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"MSChoEx"=-

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

Quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
Attention REGEDIT4 doit se trouver sur la toute 1ere ligne sinon, le fix ne fonctionnera pas

2) Télécharge OTMoveIt (de Old_Timer)
sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved


C:\WINDOWS\prefetch\suge.exe-08DE91D9.pf 
C:\WINDOWS\system32\suge.exe-up
C:\WINDOWS\system32\suge.exe

Clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

3) Rapports

Poste le rapport d OTMoveIt et un nouvel HijackThis en precisant s il y a des ameliorations.

@+

nicobobo · Answer

Salut le sioux,
Je travaille pas demain, donc il va falloir attendre mercredi pour essayer cela, voire jeudi car je risque de pas avoir assez de temps. Ne t'inquiète donc pas si tu n'a pas de réponse d'ici là, c'est pas que j'ai laissé tomber. D'ailleurs, j'ai hâte de faire cette manip pour voir ce que ça donne. Si tu as le temps, est-ce que tu pourra m'en expliquer succintement le principe? Pure curiosité, c'est la meilleure façon d'apprendre.
Merci beaucoup, je reposte dès que j'aurai fait tout ça.
A+
Nicobobo

Le sioux · Answer

Bonsoir Nicobobo

Ok, a tres bientot.

Le 1er le RegFix va aller nettoyer les entrées crées par le malware dans le registre, avec OTMoveIt on va aller supprimer les fichiers responsables, celui que je t ai redigé ne convient que pour ce cas particulier.

Vu qu ils sont dans le system32, leurs suppresssions peux s averer difficile, l utilisation OTMoveIt en mode normal evite qu il ne soit recréés au redemarrage du pc.

Voili, voilou

nicobobo · Answer

Salut Lesioux,
Bon, comme prévu, j'ai fait les manip' sur le PC. Malheureusement, il continu de ramer et il me semble que le rapport hijackthis signale toujours la présence de suge.exe.J'ai refait une recherche et je retrouve effectivement un fichier nommé " suge.exe-up " situé dans C:\Windows\system32. C'est un fichier texte...
 Je te poste le rapports hijack et OTMoveit.
J'espère que tu va pouvior trouver une solution...
En tout cas, merci à toi et à bientôt.
Nicobobo

C:\WINDOWS\prefetch\suge.exe-08DE91D9.pf moved successfully.
File/Folder C:\WINDOWS\system32\suge.exe-up not found.
File/Folder C:\WINDOWS\system32\suge.exe not found.
 
Created on 10/04/2007 13:25:04

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:04:45, on 28/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\sllights.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\IME ST GAUDENT\Bureau\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie_rsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy-rectorat.ac-poitiers.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MSChoEx] suge.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Qbik WinGate Engine (WinGateEngine) - Unknown owner - C:\Program Files\WinGate\WinGateEngine.exe (file missing)
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

nicobobo · Answer

Salut Lesioux,
Bon, comme prévu, j'ai fait les manip' sur le PC. Malheureusement, il continu de ramer et il me semble que le rapport hijackthis signale toujours la présence de suge.exe.J'ai refait une recherche et je retrouve effectivement un fichier nommé " suge.exe-up " situé dans C:\Windows\system32. C'est un fichier texte...
 Je te poste le rapports hijack et OTMoveit.
J'espère que tu va pouvior trouver une solution...
En tout cas, merci à toi et à bientôt.
Nicobobo

C:\WINDOWS\prefetch\suge.exe-08DE91D9.pf moved successfully.
File/Folder C:\WINDOWS\system32\suge.exe-up not found.
File/Folder C:\WINDOWS\system32\suge.exe not found.
 
Created on 10/04/2007 13:25:04

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:04:45, on 28/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\sllights.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\IME ST GAUDENT\Bureau\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie_rsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy-rectorat.ac-poitiers.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MSChoEx] suge.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Qbik WinGate Engine (WinGateEngine) - Unknown owner - C:\Program Files\WinGate\WinGateEngine.exe (file missing)
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Le sioux · Answer

Bonsoir Nicobobo

Je regarde cela des que possible et te dis quoi faire.
Je bosse encore cette nuit, a demain matin ;) 

@+

nicobobo · Answer

Bonsoir Lesioux,
Pas de pb, c'est déjà cool que tu y regardes. De toute manière, ça peut attendre lundi, l'ordi ne servira pas ce week end ni demain.
Bon courage pour ta nuit.
Ciao
Nicobobo

Le sioux · Answer

Bonjour Nicobobo

* En effet c est comme si l on avait rien fait

File/Folder C:\WINDOWS\system32\suge.exe-up not found.
File/Folder C:\WINDOWS\system32\suge.exe not found. 

 not found. = pas trouvé donc pas supprimé :(

et rebelote dans Hijackthis -->   O4 - HKUS\S-1-5-18\..\Run: [MSChoEx] suge.exe (User 'SYSTEM')

Je ne m attendais pas a cela :( 
Je vais reflechir a ce que l on peut faire, cela tombe bien que j ai le weekend devant moi ;)  si tu ne t en sers que lundi o taff   :))

* Sinon, au faite, pour repondre a ta question du 1er octobre Quant au processus louche, je me suis gouré, il s'agit en fait de sllights, si je ne m'abuse..
Ce processus est legitime lui aussi  https://www.processlibrary.com/en/directory/a/1/

@+

nicobobo · Answer

Salut Lesioux,
1ere info pour toi: a priori, on a trouvé ce qui faisait ramer le Pc: c'est une carte fax. Ce qui est étrange, c'est qu'apparement, elle marchait très bien avant. De toute façon, elle ne sert plus a rien alors on l'a purment et simplement virée.
Par contre, ça n'empêche pas que suge.exe nous casse toujours les pieds car il n'a rien a faire sur le PC, on est d'accord. Alors si t'as une solution, je suis prenuer.
J'ai regardé sur les forums, certains utilisateurs ont tout simplement viré le fichier suge.exe manuellement et les clés correspondant dans le registre. Mais j'ai peur que ce soit un peu bourrin.
Quant au processus sllignts, cela mùe prouve qu'il vaut toujours mieux demander un avis quand on est pas sûr de soi!
Bon week end et à bientôt.
Nicobobo

Le sioux · Answer

Salut Nicobobo

1ere info pour toi: a priori, on a trouvé ce qui faisait ramer le Pc: c'est une carte fax. Ce qui est étrange, c'est qu'apparement, elle marchait très bien avant. De toute façon, elle ne sert plus a rien alors on l'a purment et simplement virée.

Cool d avoir deja trouvé une source du probleme !

 On peut essayer differemment, afin de connaitre ses entrées dans le registre et le localiser de maniere plus sure

1) RegSearch

  Télécharge RegSearch

https://www.bleepingcomputer.com/download/linux/

- dézipper dans un répertoire dédié tel que C:\Program Files\Regsearch
- double clique sur RegSearch.exe
- copie colle ceci :
suge.exe
dans la zone de recherche et clique sur OK
- après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées
- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
- ferme RegSearch par Cancel
- copie-colle le contenu des fenêtres dans un post, ici
- ferme le bloc-notes 

2) OAD

 Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de :  Suge.exe
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient 

3) Reflexion --> Action

 Sinon, je ne sais pas si tu as le droit si c est un pc de travail, mais je t aurais bien proposer de desinstaller avast au profil d antivir, je doute qu antivir n elimine pas ce suge.exe

A lire et amediter ++  car avec Avast, tu n es pas tres bien protégé:

Comparatif avast VS Antivir :

http://forum.malekal.com/ftopic3528.php

A lire https://forum.pcastuces.com/sujet.asp?f=25&s=31837

Si tu te decides a installer Antivir, desinstalle avast d abord et une fois antivir installé parametre le comme indiqué ici :

http://speedweb1.free.fr/frames2.php?page=tuto5

En ce cas effectue les mises a jours d antivir, passe en mode sans echec , fais un scan et tout ce qu il trouvera en quarantaine, puis poste le rapport d Antivir

4) Rapports

Poste le rapport de regsearch, d AOD 
...et celui d antivir si cela t a été possible a faire, comme c est un pc de travail, je ne sais pas si tu as ce droit, a voir... 

@+

moK´s@ · Answer

salut le sioux, garde de nuit ;-)

Le sioux · Answer

Salut Mok's@

Synchro, c est marrant en voyant tes interventions, je viens de t envoyer mp ;) juste en meme temps...communication de pensée..lol

Je bosse de nuit mais la, je suis de repos ;)

Bon surf nocturne l ami.

moK´s@ · Answer

oui synchro, je t´ai repondu...

;-)

Le sioux · Answer

Yes, bonne fin de nuit

;-)

nicobobo · Answer

Salut Lesioux,
J'essaie dès demain Regsearch et OAD. En ce qui concerne Antivir, ça va pas être possible comme tu t'en doute. J'ai les mains libres, mais dans une certaine mesure et je peux pas prendre la responsabilité de changer l'antivirus. Cependant, je vais lire attentivement les liens que tu m'as posté car j'ai aussi Avast chez moi et je pensais qu'il était performant.
Je te tiens au courant dès demain.
Bonne soirée.
Nicobobo

Le sioux · Answer

Bonsoir Nicobobo

J'ai les mains libres, mais dans une certaine mesure et je peux pas prendre la responsabilité de changer l'antivirus.

Je m en doutais un peu, merci de me le confirmer.

Je te conseille vivement de faire cela chez toi, tu ne seras pas deçu du changement ;-)

@+

nicobobo · Answer

Salut,
J'ai fait ce que tu m'as conseillé. A priori, il n'y a pas de fichier, juste des clé ds le registre. Qu'en penses-tu?

Rapport OAD
08/10/2006 ---- 12:09:27,23  

----------------------------------
§§§§§§ [suge.exe] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSChoEx]
"command"="suge.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"MSChoEx"="suge.exe"

[HKEY_USERS\S-1-5-21-290470409-2389969595-2291903390-1005\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="suge.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"MSChoEx"="suge.exe"

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 

Rapport Regsearch

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 08/10/2006 09:24:28 for strings:
;  'suge.exe'
; Strings excluded from search:
;  (None)
; Search in: 
; Registry Keys  Registry Values  Registry Data  
; HKEY_LOCAL_MACHINE  HKEY_USERS  


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSChoEx]
"command"="suge.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="suge.exe"

; End Of The Log...

Le sioux · Answer

Hello

Bien joué, on va supprimer ces clefs de registre, mais c est bien étonant que le fichier ne soit pas encore la ..

Je repasse te donner de nouvelle consigne.

@ tout de suite

Le sioux · Answer

Re

on y va

FixN2.Reg

 Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

REGEDIT 4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSChoEx]
"command"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"MSChoEx"=-
[HKEY_USERS\S-1-5-21-290470409-2389969595-2291903390-1005\Software\Microsoft\Search Assistant\ACMru\5603]
"000"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"MSChoEx"=-
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"=-


--------------------------------------------------
Important :  REGEDIT 4 doit etre sur la toute 1ere ligne sinon  le fix ne fonctionnera pas.

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fixN2.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

Quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

Reposte un HijackThis en reponse stp.

@+

nicobobo · Answer

Ok, je vais essayer ça mercredi car je ne bosse pas demain.
On va finir par en venir à bout de ce p*** de virus!!!
Je te remercie encore en tout cas de ta patience.
Bonne soirée et à bientôt.
Nicobobo

Le sioux · Answer

Bonsoir Nicobobo

Je te remercie encore en tout cas de ta patience. Merci, t inquiete, pas de probleme ;-)

Bonne soirée alors  et bon repos pour demain ;-)

A mercredi donc .

nicobobo · Answer

Salut le sioux,
J4ai fait le fix que tu m'a proposé. A priori, plus de trace de suge.exe ds le log Hijackthis (cf ci-dessous).
Pourtant, lorsque je le colle sur le site hijackthis.de/fr il me dit qu'il est toujours présent.
Comment se fait-ce?
J'attends ton post pour la suite des événements, moi, je suis dépassé depuis longtemps!
A bientôt.
Nicobobo

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 09:52:25, on 10/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\***\Bureau\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie_rsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ***
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MSChoEx] suge.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Le sioux · Answer

Bonjour

/!\ Tout d abord ne pas se fier a un robot /!\ 

Le site hijackthis.de/fr n est pas fiable, il donne souvent de faux positifs et passe a coté de vrais malwares...

Il est toujours la O4 - HKUS\S-1-5-18\..\Run: [MSChoEx] suge.exe   damned !!

Je vois ce que l on peut faire..c est que le fichier est bien present et qu il recrée ses entrées dans le registre..

@+

Le sioux · Answer

Re

 C est bizarre car OAD ne l avait pas trouvé...on verifie autrement :

Demarrer / rechercher / opyions avancées / coche recherche dans les dossiers systeme ,recherche  dans les fichiers et dossiers cachés et recherche dans les sous dossiers

 puis lance une recherche de suge.exe dans la case "une partie ou l ensemble du nom fichier"

et dis moi ...

@+

nicobobo · Answer

Salut,
Je viens juste d'avoir ton message car je n'ai pas eu le temps de consulter le site depius ce matin. J'essaierai donc demain la recherche que tu me conseilles de faire.
Quant au site hijackthis.de/fr je me doutais bien de sa non fiabilité, c'est pour ça que je t'en ai parlé en fait. Merci de ton point de vue.
Je te tiens au courant demain de la suite des événements.
Ciao.
Nicobobo.

Le sioux · Answer

Ok, Nicobobo

Bonne soirée alors et a demain.

Salut.

nicobobo · Answer

Salut,
Je viens de faire la recherche que tu m'as demandé hier et les résultats sont les suivants:

suge.exe-up.txt dans C:\WINDOWS\system32
suge.exe-08DE91D9.pf dans C:\_OTMoveIt\MovedFiles\WINDOWS\prefetch

Voili, à toi de jouer!

Nicobobo

Le sioux · Answer

Hello Nicobobo

Ok, rebelote, on essaie voir si on arrive enfin a quelque chose..


1) FixN3.Reg

 Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

REGEDIT 4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSChoEx] 
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"MSChoEx"=-

--------------------------------------------------
Important :  REGEDIT 4 doit etre sur la toute 1ere ligne sinon  le fix ne fonctionnera pas.

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fixN3.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

Quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"


2) OTMoveIt

Double clique  sur OTMoveIt.exe  sur ton bureau pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\suge.exe-up.txt


Clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes. 

3) Rapport

Reposte un HijackThis en reponse stp.Et dis moi, qu est que cela donne pour le pc par rapport a la demande initiale ? 

@ suivre.

nicobobo · Answer

J'ai fait la manip que tu m'as proposé.
Puis l'analyse hijackthis et... O4 - HKUS\S-1-5-18\..\Run: [MSChoEx] suge.exe (User 'SYSTEM') (voir le rapport ci-dessous)!!!
C'est une vraie plaie ce truc!
Je te colle les rapport à la fin de mon post, mais franchement je comprendrai si tu me dis que tu laisses tomber.
Bye.
Nicobobo

log Otmoveit:

C:\WINDOWS\system32\suge.exe-up.txt moved successfully.
 
Created on 10/12/2006 10:03:43


Log Hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:07:15, on 12/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\***\Bureau\***\HiJackThis_v2.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie_rsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ***
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MSChoEx] suge.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Le sioux · Answer

Bonjour Nicobobo

Cette ligne est vraiment recalcitrante ou alors il y a un hic dans la manip, pour etre sur que  les reg  fonctionnent, il faut bien avoir suivi ce qui suit :

* Attention REGEDIT4 doit se trouver sur la toute 1ere ligne sinon, le fix ne fonctionnera pas .  --> l as tu bien fait ?

* Et je t ai precisé cela aussi => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"  ---> Etait ce bien  le cas a chaque reg ?

Si c est bien le cas, alors tu me pose une colle, mais dis moi tout d abord ce qu il en est avant que je ne me creuse plus la tet ;-)

@ suivre

nicobobo · Answer

Salut Lesioux,
En ce qui concerne la manip, je pense l'avoir réalisée exactement comme tu me l'as demandée, avec REGEDIT4 sur la première ligne.
Cela dit, c'est possible qu'un espace se soit glissé avant la première ligne, ce qui pourrait expliquer le blème. Ce que je vais faire, c'est réessayer lundi, en faisant bien gaffe et je te dirai ce qu'il en est.
Sinon, pour ce qui est du message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?", je suis sûr et certain de l'avoir eu à chaque fois. Par contre, j'ai jamais eu besoin de redémarrer le PC.
Te prend pas la tête ce week end, de toute façon, je ne pourrais réessayer que lundi. Je te reposterai un message à ce moment là. Rien ne sert de courir, il faut partir à point. Moi en attendant, je vais continuer de rechercher sur le net à propos de ce virus et si jamais je trouve qqc, je te tiendrai au jus, histoire de pas faire de boulette.
En tout cas, c'est vraiment super cool de ta part de te prendre la tête avec moi sur ce truc. Merci beaucoup.
Passe un bon week end, je te reposte un message lundi.
Nicobobo

Le sioux · Answer

Bonsoir Nicobob

Ok, bon week end alors.

A lundi.

nicobobo · Answer

Salut Lesioux,
Bon, j'ai vérifié, et FixN3.reg est correct, avec regedit 4 sur la première ligne. J'ai refais un scan Hijack et bien sur suge.exe est toujours là à la même place. Je t'avoue franchement que j'aurais préféré m'être gourré, car là vraiment c'est à n'y rien comprendre.
En cherchant sur le net j'ai trouvé ceci, mais je supose que tu a déjà lu ce post. Je te le copie quand même, on ne sait jamais.
"Désolé de vous décevoir mais suge.exe est un virus...
 Il est présent sur le repertoire c:\windows\prefetch
 Je crois que c'est une version du virus Korgo !
 J'ai aussi ce probleme !  
 Allez sur www.symantec.com, taper korgo et installez le correctif windows sur le site de microsoft comme indiqué sur la page" (http://www.infos-du-net.com/forum/34512-6-suge)
Cela dit je suis allé voir sur le site de symantec et ils propose en téléchargement un outil sensé suprimer ce virus à l'adresse suivante:
https://www.broadcom.com/support/security-center
Qu'en penses-tu?
 
J'attends de tes nouvelles.
A plus.
Nicobobo.

Le sioux · Answer

Bonjour nicobobo

C est moi qui m etais trompé dans la redaction des 1er reg..

J avais lu ce lien en effet, mais j avais zappé.

 Essaye donc cet outils de symantec et épates moi  ;-)

@ suivre...suspens ;-)

nicobobo · Answer

Salut Lesioux,
J'espère que t'as passé un bon week end tout d'abord (ben oui, après autant de post échangés pour un seul virus, on est presqu'intimes maintenant ;-))) )
Bon, sinon, en ce qui concerne le suspens, il va surement durer, car je ne pense pas pouvoir essayer avant jeudi. Ah, lala, comment va-t-on pouvoir tenir jusque là? Lesioux et Nicobobo vont-ils venir à bout du terrible suge.exe?
A suivre, comme tu le dis si bien...

Le sioux · Answer

Hello Nico'

Yes, sauf que je bossais ..m enfion ça l a fait  ;-)

J attends de tes nouvelles pour jeudi alors.."fucking suge.exe ! "  lol

@+

nicobobo · Answer

Salut Lesioux,
En lisant les instructions de l'outil de suppression de korgo sur le site de symantec, il m'est venu une idée: et si le programme que tu as écris ne fonctionnait pas à cause du "system restore" d'XP? Il suffirait dans ce cas là de le désactivé le temps de la manip', qu'en penses-tu?
Je pense à ça parce que symantec conseille de désactiver le system restore avant de lancer l'outil...

nicobobo · Answer

Re.
Bon, fausse joie, je viens d'essayer de lancer fixN3.reg après avoir désactivé le system restore, et ça n'a rien changé, suge .exe est toujours présent.
Déçu, déçu, déçu...
Bon, je vais essayer l'outil de symantec et je te poste le résultat cet aprèm'.
A+
Nicobobo

nicobobo · Answer

Re Re,
Je crois que je l'ai eu!!!
J'ai utilisé l'outil proposé par symantec, mais ca n'a rien changé.
Alors j'ai refait une recherche sous google avecles mots clés "suge rbot!".
Je suis tombé sur le post suivant: http://forum.zebulon.fr/lofiversion/index.php/t55581.html
et j'ai utilisé regseaker comme ils les conseillaient. Et là, Ô miracle, je crois que suge a disparu du log Hijack!!!
Je te le poste pour que tu me dises ce que tu en penses.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:30:23, on 18/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\IMESTG~1\LOCALS~1\Temp\Rar$EX00.203\RegSeeker\RegSeeker.exe
C:\Documents and Settings\***\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie_rsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\***
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Le sioux · Answer

Salut Nicobob

Apparamment, tu as reussi !  bien joué.

 Lance HijackThis. 

Ferme toutes les autres fenetres, tous les autres programmes.Pas de connection internet. 

Clique sur Do a system scan only et coche les lignes suivantes, Clique sur Fix Checked puis clique sur ok

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') 

Redemarre ton pc et reposte un nouvel Hijackthis
 
@ suivre car il restera des conseils de securité a appliquer.

nicobobo · Answer

Salut Lesioux,
J'ai pas eu le temps de m'occuper de çaq aujourd'hui, je m'y mettrais lundi.
J'ai lu que CFTMON.exe est un processus qui concerne les logiciels de braille, de reconnaissance vocal etc. Est-ce que ça pose des problèmes de sécurité particulier? Je te fais confiance, y'a pas de souci, c'est juste encore une fois pour apprendre...
En tout cas je fais la manip' dès lundi et je te poste le rapport log hijack.
Bon week end.
Nicobobo

Le sioux · Answer

Bonsoir Nicobob

Ctfmon est en rapport avec les langues en gros, on desactive simplement son lancement automatique au demarrage, on ne touche a rien d autre, t inquietes pas.

Bonne soirée.

nicobobo · Answer

Lol
Je m'inquiète pas, c'est juste que ça m'interesse de comprendre. T'en fais pas, j'ai confiance et de toute manière, y'a aucun interet spécial à pirater ce Pc ou à le plomber, je travaille pas pour la défense ;-))
Je fais ça dès lundi et je te tiens au courant.
A+
Nicobobo

Le sioux · Answer

Ok Nicobobo

Pour info alors --> http://www.castlecops.com/s795-ctfmon_exe.html  

Bon week end alors ;-)

@ bientot.

nicobobo · Answer

Salut Lesioux,
Après le week end, rien de tel qu'un bon vieux log Hijack pour se mettre dans le bain!

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 09:31:58, on 22/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Documents and Settings\***\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie_rsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\***
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-18\..\Run: [Microsoft Windows Secure Server] rpcxWindows.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Personal Firwall] ptmedsrv.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Windows Secure Server] rpcxWindows.exe (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Le sioux · Answer

Bonjour Nicobobo

Je ne sais pas ce que tu as fais...plus de suge.exe ................ mais ces lignes sont apparues :

O4 - HKUS\S-1-5-18\..\Run: [Microsoft Windows Secure Server] rpcxWindows.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Personal Firwall] ptmedsrv.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Windows Secure Server] rpcxWindows.exe (User 'Default user') 

ptmedsrv.exe -->  http://www.castlecops.com/s5706-Personal_Firwall.html 

 rpcxWindows.exe   -->  http://www.castlecops.com/s5387-Microsoft_Windows_Secure_Server.html   http://www.sophos.fr/security/analyses/w32rbotll.html

Qu est ce que tu as été nous choper et comment ??

@ suivre

nicobobo · Answer

Aaaaaaaaaaaaaarrrrrrrrrrrrrrrrrrrgh!!!!!
J'ai une idée: si j'imolais cet ordinateu? Peut-être que ça changerai rien, mais au moins ça me soulagerais!!!
Je uis pas le seul à me servir de ce PC et je sais pas comment ce ver a pu arriver là...
Je vais reprendre la procédure de départ:
- regcleaner
- ccleaner
- AVG antispyware
- Hijackthis 
Et je compte poster les résultats dans un nouveau topic. Tu pourras y répondre seulement si bon te semble comme ça. Non que je sois mécontent de notre collaboration, bien au contraire, mais je ne veux surtout pas abuser de ta patience.
Dis moi ce que tu en penses, peut-être tiens-tu absolument à continuer, je ne sais pas.
A+
Nicobobo

Le sioux · Answer

Bonsoir NicoBobo

Pas de soucis, on peut continuer ici ;-)

Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
(Note: tu n'auras pas accès à Internet à partir du moment ou tu redémarreras en mode sans echec)
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

1) Télécharge
-- CCleaner Basic v2.01.507

https://www.ccleaner.com/ccleaner/download

Installe puis lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut.
Fermer le programme pour l instant.

--la version d'essai d'AVG Anti-Spyware 7.5 depuis http://www.grisoft.com/doc/downloads-products/ww/crp/0?prd=triasw
Installe la puis...Lancer AVG Anti-Spyware.
Cliquer sur le menu Mise à jour.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant

2) Redémarre en mode sans echec

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuyer sur [Entrée]
Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

 3) Lance HijackThis.

Ferme toutes les autres fenêtres, tous les autres programmes.Pas de connection  internet.

Clique sur Scan et coche les lignes suivantes, Clique sur Fix Checked puis clique sur OK

O4 - HKUS\S-1-5-18\..\Run: [Microsoft Windows Secure Server] rpcxWindows.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Personal Firwall] ptmedsrv.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Windows Secure Server] rpcxWindows.exe (User 'Default user')

4)  OTMoveIt (de Old_Timer)


Double clique  sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous,
Et colle-la dans le cadre de gauche de OTMoveIt :
Paste  List of Files/Folders to be moved.

ptmedsrv.exe
rpcxWindows.exe 

Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

 Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes. 


5) Lance AVG Anti-Spyware 7.5

--Réglages

Cliquer sur le menu Analyse (de la barre d'outils).
Cliquer sur l'onglet Paramètres.
Dans Comment réagir? cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées.
Dans Rapports cocher "générer un rapport après chaque analyse"

-- Scan
Dans l'onglet Analyse
Cliquer sur Analyse complète du système.
Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.
Très important : A la fin de l'analyse, clique sur " Appliquer toutes les actions"
Ensuite.
Cliquer sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
(C:\Programfiles\AVG Antispyware 7.5\Reports )
Puis fermer AVG Anti-Spyware.

6) Lance CCleaner
Puis dans le menu Nettoyeur
Cliquer sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
cliquer sur le bouton Lancer le nettoyage.
Fais cela plusieurs fois d affilé puis ferme CCleaner

7) Rapports

Redémarre en mode normal et génère un nouvel HijackThis que tu posteras en reponse ainsi que le rapport d AVG antispyware 7.5 et celui d OTMoveIt ( situé dans C:\_OTMoveIt\MovedFiles. )

Bon courage, @+

nicobobo · Answer

Salut Lesioux,
Tout d'abord merci pour ta réponse. J'ai pas encore eu le temps de terminer, il me reste encore Ccleaner à passer demain.
D'ores et déjà, je peux te préciser qu'Otmoveit n'a rien trouvé, qu'Avg  a trouvé 15 erreurs mais n'a pas généré de rapport. Je ne comprends pas pourquoi car j'avais lui ai bien demandé d'engénérer un...
Je termine demain, je te poste le log hijack et ce lui d'Otmoveit.
Bonne soirée.
nicobobo

nicobobo · Answer

Salut,
Bon, j'ai eu le temps de terminer ce matin. J'ai repassé AVG en sans échec, pour la route, et il m'a retrouvé un adware que j'ai supprimé. Par contre il ne m'a toujours pas généré de rapport, je sais pas pourquoi. Bref, j'ai ensuite refais un scan hijack en mode normal et il me semble que tout est rentré dans l'ordre. Je te le poste ci-dessous pour que tu vois par toi-même.
Quant au log Otmoveit, étant donné qu'il n'avait rien trouvé hier...
S'il y a d'autres manip' à faire, ce sera dans une semaine maintenant. Hé oui, établissement pour enfants oblige, j'ai la chance d'être en vacances la semaine prochaine.
A bientôt.

rapport Otmoveit:

File/Folder ptmedsrv.exe not found.
File/Folder rpcxWindows.exe not found.
 
Created on 10/25/2006 13:13:10

Rapport Hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:42:50, on 26/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\***\HiJackThis_v2.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie_rsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\***
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Le sioux · Answer

Bonjour Nicobobo

Suis en vacances aussi a partir de lundi, je te souhaite de bonnes vacances et te dis a bientot, je serai de retour le 09/11.

@ bientot.

nicobobo · Answer

Ok.
Bonnes vacances alors.
ciao

Le sioux · Answer

Bonsoir Nicobobo

Merci, toi itou ;-)

Quand tu repasseras en attendant que je revienne.. moi, je serais encore en vacances quelques jours de plus ;-)  fais ce qui suit 

* Lance OTMoveIt et clique sur Clean Up, ceci aura pour effet de supprimer les outils utilisés.Un redemarrage du pc sera sans doute necessaire.

Puis  :

* Fais un  scan en ligne chez Bitdefender 

* fais un scan antivirus en ligne https://www.bitdefender.fr/ avec IE et copie colle le résultat ici 
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
* Dans la nouvelle fenêtre, clique sur I agree 
* La fenêtre change encore, clique sur Click here to scan 
* Les signatures se chargent, etc. 

Tuto (merci Morgane)  http://pageperso.aol.fr/loraline60/bitdefender_scan.htm 

--> Poste le rapport de BitDefenderScan en ligne. ( qui se trouve ici C:\windows\bdoscan8\scanres.txt ou scanres.html ) 

@ suivre car il restera des conseils de sécurité a appliquer.

@ dans une quinzaine de jours ;-)

nicobobo · Answer

Salut Lesioux,
Désolé de te prendre dès ton retour de vacances. J'espère que tu en as bien profité car j'ai un gros blème qui va peut-etre te faire fumer les neurones...
J'ai passé Otmoveit comme tu me l'as proposé, mais j'ai été obligé de l'interrompre à cause d'un message d'erreur. Je ne l'a pas noté sur le moment donc je ne m'en souviens plus, désolé. J'ai rebooté le PC, la peur au ventre qu'il ne fonctionne plus, mais ça a redémarré sans souci. C'était lundi. Ensuite, je n'y plus touché... jusqu'à hier. Et là, Ô surprise: il démarre, le bureau s'affiche la barre des tâches aussi mais sans le bouton démarrer ni les programmes du démarrage habituel. ctrl alt suppr ne fonctionne pas, j'ai tenté le d'executer regedit par le raccourci win+r: la fenêtre d'execution s'ouvre, je tape regedit et j'obtiens le message suivant "cette application n'a pas pu démarrer car la configuration de l'application est incorrecte. Réinstaller l'application pourrait résoudre ce problème". Idem pour msconfig. Il n'est également pas possible de faire une recherche. Evidemment, j'avais désactivé la restauration système qui pour une fois aurais pu se révéler utile...
J'ai redémaré en mode sans échec: même topo... Est-ce lié à la manip' Otmoveit? Que faire pour réparer cela?
Moi, je pencherais pour une réinstallation propre de windows xp. Qu'en dis-tu?
Je vais tenter une sauvegarde des documents importants en attendant ta réponse.

Merci d'avance et à bientôt.
Nicobobo

Le sioux · Answer

Hello

Je viens d arriver il ya peu  ;-)

On va essayer deux choxes ;-)

1) dialoguesvides.cmd de Malekal_Morte

 Télécharge : https://www.malekal.com/fichiers/forum/dialoguesvides.cmd

Si le fichier s'ouvre sur le navigateur, faire un clic droit puis

enregistrer la cible du lien sous : bureau
nom : dialoguesvides
extension : .cmd
Double-clic sur dialoguesvides.cmd
une fenetre noire va s'ouvrir et se refermer.

Redemarre ton pc.

 2)  Zebrestore

Télécharge Zebrestore http://telechargement.zebulon.fr/233-zeb-restore.html

Met le dans un dossier sur ton bureau par exemple.

* Lance Zebrestore et coche les cases suivante :

Gestionnaire des taches
Regedit

et clique sur le bouton "Restaurer".

Quitte le programme.

Dis moi si ces fonctions remarchent

@+

nicobobo · Answer

Salut lesioux,
J'ai fait la manip.
dialoguesvides n'a rien changé et zebrestore n'a pas fonctionné. Je ressaie tout à l'heure, car là, j'ai pas trop de temps.
A tout'
Nico

nicobobo · Answer

Re,
Je viens de constater quelque chose d'étrange: lorsque je lance un logiciel qui ne fonctionne pas (genre zebrestore ou firefox), une fenêtre d'erreur s'ouvre:
"C:\_OTMoveit\Moved Files\Program Files\Mozilla Firefox\firefox.exe. Cette application n'a pas pu démarrer car la configuration de l'application est incorrecte. Réinstaller l'application pourrait résoudre ce problème." et la seule option possible est de cliquer sur OK.
Pourquoi ce chemin et pas un chemin classique C:\Windows\etc. ?
J'attends ton point de vue...
A+
Nicobobo

Le sioux · Answer

Bonsoir Nicobob

Je pense qu il y a un soucis avec OTMoveit..le dossier que tu sites C:\_OTMoveit\Moved Files\  est le dossier des back Ups d OTmoveIt comme si tu avais supprimé  C:\Program Files\Mozilla Firefox\firefox.exe

?? c est bien bizarre tout cela.. qu est ce que l on galere tout les 2 ...  lol

Va dans Va dans C:\_OTMoveIt\MovedFiles.

Localise C:\Program Files\Mozilla Firefox et clique droit dessus copier puis colle le dans C:\Program Files et reessaye fireFox

@ suivre..

nicobobo · Answer

Salut Lesioux,
J'ai du nouveau. Un de mes collègue est passé par là et de colère, il a utilisé la méthode Viking: format c: et reinstallation. Au moins comme ça, c'est reglé! lol
Faut tout que je reconfigure mais bon, au moins c'est nickel. Je te remercie en tout cas du très long coup de main que tu m'as apporté, ça aura au moins eu le mérite de m'apprendre plein de choses!
A bientôt.
Nicobobo

Le sioux · Answer

Bonsoir Nicobobo

Dommage que cela finisse ainsi...

Pour améliorer la sécurité de ton PC prend quelques instants pour lire

Sécuriser son PC +WIFI (versions "hot" & "light") de Philae  https://forum.pcastuces.com/default.asp

Pense a installer un parefeu a la place de celui de windows qui ne vaut pas grand chose
=========================================================================

Autre conseils :

--Comportement a adopter http://assiste.com.free.fr/p/abc/a/safe_cex.html

--Essaye le navigateur Firefox plus sur/securisé qu IE
Firefox n utilise pas le dangereux protocole ActiveX
-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/
-Tutorial pour le sécuriser: https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/


Vérifie tes mises a jours des différents softs régulièrement ici https://www.flexera.com/products/operations/software-vulnerability-management.html 
Tuto   https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
Java est a mettre a jour entre autre, puis désinstalle les anciennes versions de java via panneau de config / ajouts et suppression de programme.

=========================================================================

Pour que ton pc  retrouve un peu de jeunesse

* Pense a lancer une petite défragmentation.
* Utilise CCleaner régulièrement.
* Gère tes services grâce a ces 2 liens
http://speedweb1.free.fr/frames2.php?page=service3 et http://speedweb1.free.fr/frames2.php?page=service4
* Utilise Zeb Utility
une application ne nécessitant pas d’installation, pour optimiser un poil ton pc. (merci a l ami Zebulon)
Téléchargement : https://www.zebulon.fr/telechargements/utilitaires/optimisation/zeb-utility.html
Tuto : https://www.zebulon.fr/dossiers/autres/58-zebutility.html 

=========================================================================

Salut bonne continuation.

nicobobo · Answer

Salut Lesioux,
Je te remercie chaleureusement de tous tes conseils et de ta patience. Je suis également un peu déçu d'être arrivé à cette extrémité, mais au mins, maintenant, je vais m'occuper de la config de ce pc et j'espère que les erreurs du passé pourront être évitées.
J'ai une petite question au passage, puisque tu me parle de pare-feu: nous sommes connecté par l'intermédiaire d'un proxy sécurisé qui filtre entre-autre les pages web pour éviter que nos chère têtes blondes se retrouve à surfer sur des sites peu recommandable. Crois-tu qu'il est quand même nécessaire d'installer un pare-feu sachant que le proxy est lui même équipé?
Au fait, j'ai installé hier soir antivir sur mon Pc perso. J'ai lu la page de Malekal.com et ça m'a convaincu de tenter l'expérience. D'autant que mon pc est un peu vieux et que Antivir est moins gourmand qu'avast. On va voir à l'usage...
Bon, allez, je te laisse voler au secours d'autres utilisateurs.
Merci encore pour ton aide précieuse et à bientôt peut-être.
Nicobobo.

Le sioux · Answer

Salut Nicobobo

Crois-tu qu'il est quand même nécessaire d'installer un pare-feu sachant que le proxy est lui même équipé?   oui, je pense 

Au fait, j'ai installé hier soir antivir sur mon Pc perso. J'ai lu la page de Malekal.com et ça m'a convaincu de tenter l'expérience. D'autant que mon pc est un peu vieux et que Antivir est moins gourmand qu'avast. On va voir à l'usage...  Bien joué, tu en seras satisfait, je n en doute pas et il est plus leger qu avast comme tu as pu le constater .

Je te remet quelques liens pour Antivir

* son parametrage :
http://speedweb1.free.fr/frames2.php?page=tuto5
ou la : https://www.malekal.com/avira-free-security-antivirus-gratuit/

* Son utilisation :
Tuto http://www.malekal.com/tutorial_antivir.html  et/ou  http://www.libellules.ch/tuto_antivir.php

Ce fut un plaisir de tenter de t aider, bien que ce ne fut pas une reussite..je m en excuse..

Amicalement, Le sioux.

nicobobo · Answer

Salut Lesioux,
Je vais quand même installer un parefeu sur le PC du boulot, deux sécurités valent mieux qu'une.
En ce qui concerne antivir, j'ai scanné mon Pc perso hier et il m'a trouvé un trojan qu'avast n'avait jamais trouvé. En plus, il tourne mieux étant donné le peu de ressource système qu'antivir nécessite. En bref, je suis pas déçu!
Pour moi aussi, ce fut un plaisir de communiquer avec toi sur ce topic. Quant à dire que ce ne fut pas une réussite, je suis pas d'accord: on a finit par venir à bout de "suge" et franchement, j'y serais jamais arrivé tout seul. Pour ce qui est du problème Otmoveit, c'est moi qui ait du faire une erreur de manip'.
Bref, en tout cas peu importe, l'informatique garde toujours quelques mystère et ce fut un vrai plaisir que de s'atteler à les résoudre avec ton aide.
Sur ce je te laisse, je te souhaite bon courage et j'espère que nous auront l'occase de se retrouver sur "Comment ça marche" car j'avoue qu'essayer ce forum, c'est l'adopter!
Bon courage pour ton taf et bonne continuation.
Bien amicalement aussi,
Nicobobo

Le sioux · Answer

Bopnsoir Nicobobo

Merci l ami, moi aussi cela a été avec plaisir que j ai tenté de t aider, je suis content que tu es pu apprendre des choses par ce biais, moi aussi  ;-)

Transmet ce que tu as appris autour de toi pour un net plus propre et des pc securisés qui fonctionnent, c est tellement bien quand cela "marche"   ;-)

Bonne continuation.

@+

PC qui rame et processus slserv.exe

69 réponses

Newsletters