Virus reboot automatique - rapport HijackThis Résolu

Question

Bonjour (et bonne année, tant qu'on y est),

J'ai un problème de virus/troyen (??) sur mon PC.
Je ne m'y connais pas du tout mais bon, en gros, les symptômes sont les suivants : la machine est très franchement ralentie voire complètement bloquée et, de temps en temps, l'ordi s'éteint et redémarre tout seul en quelques secondes.

J'ai un firewall (ZoneAlarm) et un anti-virus (Avira AntiVir), et ce dernier m'a détecté pas mal de petites choses qui trainaient par-ci par-là et qui ont été mise en "quarantaine".
Mais il y a un autre truc : à chaque démarrage, un exe Wintcps tente d'accéder à internet (troyen, n'est-ce pas ??).

J'ai aussi une vieille version de F-secure qui tourne encore et me détecte très régulièrement un "virus inconnu".

J'ai fait un scan HijackThis que voici juste en dessous.
Remarque : par souci d'anonymat et de sécurité, j'ai ajouté des "[...]" par 4 fois pour remplacer des détails du log, notamment la fin d'un url en "impot.gouv.fr/..." (?!??).


-------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:22:05, on 06/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\WINNT\system32\dllcache\wintcps.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSOffice] C:\WINNT\system32\MSOffice\services.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.windupdates.com
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/ [...]
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - https://www.afternic.com/domains/downloadv3.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = [...]
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINNT\system32\dllcache\wintcps.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: Security - C:\WINNT\desktop.html

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 
Allo! Tu as déjà un gros problème ici, j'ai pas encre regardé ton log ,mais tu dois absolument supprimer FSecure !
Jamais 2 AV !!!
Ensuite nettoies tout avac Ccleaner + les erreurs de registres,puis remet un log Hjts stp

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Ensuite :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
 http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Doubles cliques sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarres ton ordinateur en mode sans echec et exécute le logiciel .
Postes ensuite le rapport ici stp.
 

Et avec highjackthis ,fais scan seulemenr ou scan only (En hors connection)  et coches toutes ces lignes :


O4 - HKLM\..\Run: [MSOffice] C:\WINNT\system32\MSOffice\services.exe
 O15 - Trusted Zone: *.c4tdownload.com
 O15 - Trusted Zone: *.iframe.biz
 O15 - Trusted Zone: *.newiframe.biz
 O15 - Trusted Zone: *.overpro.com
 O15 - Trusted Zone: *.sp2admin.biz
 O15 - Trusted Zone: *.sp2fucked.biz
 O15 - Trusted Zone: *.windupdates.com
 O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
 O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
 O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/ [...]
 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = [...]
 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = [...]
-----------------------------------------------------------------------------
 Puis cliques sur Fixed check.

Et installes ceci en suivant le tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/SpywareBlaster.htm

@ Suivre @ + jal

 017 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = [...]

armelilla · Answer

Ok, je vais y aller étape par étape avec suppression FSecure et nettoyage Ccleaner et je reviens ensuite avec un nouveau rapport HijackThis.
Merci beaucoup en tout cas ; @+ !

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 


Ok Tu es de retour je t'avais oublié ,,,

Ouais ta bête est : Win32.Sdbot.DIY
Mais je crois qu'elle a de la compagnie alors nous verrons .
1: À la fois.
JE reste ici.

Et coches en bas sur: Recevoir les réponses par Email, ce sera plus vite.

armelilla · Answer

Me-revoici !

J'ai supprimé F-Secure et appliqué Ccleaner : voilà ci-dessous le nouveau log HijackThis.

-------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:36:38, on 07/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\dllcache\wintcps.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSOffice] C:\WINNT\system32\MSOffice\services.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.windupdates.com
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/ [...]
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - https://www.afternic.com/domains/downloadv3.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList =  [...]
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList =  [...]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList =  [...]
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINNT\system32\dllcache\wintcps.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: Security - C:\WINNT\desktop.html

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Ouais sur Ccleaner tu as registres . 
Tu dois corriger toutes les erreurs.
Sauf erreur' tu n'as absolument rien changé Fixé ??? 
Tu as le même log ou quoi ?

Et il y a vraiment un gros problème de mises à jour sur ta machine c'est vraiment insécure le PACK 1 et IE 6 c'est la M&?&()(&.

Ok nous reprendrons demain.

armelilla · Answer

Hello !

J'ai refait un nettoyage + "registres" avec Ccleaner, puis refait un scan avec HijackThis, dont le rapport est juste en dessous.
Qu'en penses-tu ?

Si tu penses qu'il y a un souci et que je n'utilise pas correctement Ccleaner, dis-moi !
(et j'ai peur que ce soit le cas car à première vue je ne vois pas de grande différence entre ce log et le précédent...)

Merci !

---------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:16:39, on 07/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\dllcache\wintcps.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.windupdates.com
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr [...]
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - https://www.afternic.com/domains/downloadv3.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = [...]
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINNT\system32\dllcache\wintcps.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: Security - C:\WINNT\desktop.html

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Ouais, il s'est ajouté de belles saloperies dans ta 'supposée ' zone de confiance.
Il y a beaucoup à faire !!!
Mais en premier lieu: Ne retournes pas sur IE.
Seulement Firefox.
Et nous allons couper les ponts à ces merdouilles en premier.
ET----------------------------

As-tu fais ceci ou non ?


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Doubles cliques sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarres ton ordinateur en mode sans echec et exécute le logiciel .
Postes ensuite le rapport ici stp.


Et avec highjackthis ,fais scan seulemenr ou scan only (En hors connection) et coches toutes ces lignes :


O4 - HKLM\..\Run: [MSOffice] C:\WINNT\system32\MSOffice\services.exe
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.windupdates.com
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/ [...]
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = [...]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = [...]
-----------------------------------------------------------------------------
Puis cliques sur Fixed check. 
Et le rapport de SDFIX ????

armelilla · Answer

Ok, je vais appliquer SDFix en mode sans échec, mais ensuite la manip avec HijackThis je la fais aussi en mode sans échec ?
(désolée, ça s'appelle être totalement novice !!  :)

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Ok c normal 
 HJKTS fais-le oui aussi en sans echec.

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 


Et installes ceci au plus vite :   https://jesses.pagesperso-orange.fr/Docs/Logiciels/SpywareBlaster.htm

colles-moi les rapports ici surtout stp.

armelilla · Answer

Ok, me revoici !

Pour le rapport SDFix, voilà ce que ça donne :

========================


SDFix: Version 1.124

Run by Administrateur on mar. 08/01/2008 at 0:16 

Microsoft Windows 2000 [Version 5.00.2195]

Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix\SDFix

Safe Mode:
Checking Services: 

Name:
Microsoft Windows TCP Protocol

Path:
"C:\WINNT\system32\dllcache\wintcps.exe" 

Microsoft Windows TCP Protocol - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp	emp.bat  - Deleted
C:\WINNT\system32\dllcache\wintcps.exe  - Deleted
C:\WINNT\system32\TFTP100  - Deleted
C:\WINNT\system32\TFTP1040  - Deleted
C:\WINNT\system32\TFTP1084  - Deleted
C:\WINNT\system32\TFTP1116  - Deleted
C:\WINNT\system32\TFTP1140  - Deleted
C:\WINNT\system32\TFTP1160  - Deleted
C:\WINNT\system32\TFTP1232  - Deleted
C:\WINNT\system32\TFTP1252  - Deleted
C:\WINNT\system32\TFTP1296  - Deleted
C:\WINNT\system32\TFTP1336  - Deleted
C:\WINNT\system32\TFTP1348  - Deleted
C:\WINNT\system32\TFTP1352  - Deleted
C:\WINNT\system32\TFTP1372  - Deleted
C:\WINNT\system32\TFTP1396  - Deleted
C:\WINNT\system32\TFTP244  - Deleted
C:\WINNT\system32\TFTP732  - Deleted
C:\WINNT\system32\TFTP904  - Deleted
C:\WINNT\system32\TFTP948  - Deleted




Removing Temp Files...

ADS Check:

C:\WINNT
No streams found. 

C:\WINNT\system32
No streams found. 

C:\WINNT\system32\svchost.exe
No streams found.
 
C:\WINNT\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 00:22:23
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Remaining Files:
---------------

File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sat 12 Oct 2002         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 12 Oct 2002           401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv15.bak"
Thu 15 May 2003        43,008 ...H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"

Finished!

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 
excellent!
La suite HJKTS.

armelilla · Answer

Du côté de HijackThis, il y a une ligne que je n'ai pas pu sélectionner car elle n'apparaissait pas quand j'ai fait le "scan only" en mode sans échec : O4 - HKLM\..\Run: [MSOffice] C:\WINNT\system32\MSOffice\services.exe

J'ai refait un scan HijackThis à l'instant en mode "normal" (??) ; le log est en dessous.
(et je vais de ce pas installer le "SpywareBlaster" dont tu parles...


=================================


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:46:10, on 08/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - https://www.afternic.com/domains/downloadv3.com
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: Security - C:\WINNT\desktop.html

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 
Ok En mode normal mais déconnectes-toi du net,

coches __

 	O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll


 	O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot


        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime


 	O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')


        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE


        O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present


        O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present



O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
	
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe

 	O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) 
(HKCU)


O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - https://www.afternic.com/domains/downloadv3.com
	

O24 - Desktop Component 0: Security - C:\WINNT\desktop.html

Fixes-les toutes et vérifies surtout les lignes en gras  et assures-toi qu'elles sont parties.

armelilla · Answer

Ok super, je fais ça demain.
Pour SpywareBlaster, installation faite ; tu me diras ce que je dois en faire...!

Merci beaucoup et @+ !

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 


Ok Demain @+

armelilla · Answer

Hello ! Me revoilà !

Ci-dessous, mon dernier log HijackThis. J'ai vérifié et, sauf erreur, toutes les lignes que tu avais sélectionné ont disparu.
J'attends la suite des aventures...  :)
Merci !

====================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:10:09, on 08/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 
Oui c bien !
2 Questions :
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx  Tu connais et urtilises?
Sinon Coches et fixes.

--------------------------------------------------------------


Puis :
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL 
Ici C'est quoi ta version de Zone Alarm ? Pas la pro non ? Tu as la gratuite je crois ?

Fais un scan complet avec Antivir puis regardes sur le TUTO: https://www.malekal.com/avira-free-security-antivirus-gratuit/
Et analyses avec le ROOTKITS ''on''.
Puis postes-moi ta réponse et ton résultât de Antivir

armelilla · Answer

Alors, alors...

1 >  La ligne "O3 - Toolbar: &Radio - [...]" ne me parle pas, donc je supprime.
2 >  Oui, j'ai la version gratuite de Zone Alarm.

Pour le scan Antivir pas de souci (j'y vais de ce pas), mais par contre je ne comprends pas ce que tu entends par le Rootkits en mode "on". Je n'ai pas trouvé sur le tuto...

Et encore un truc : pour Antivir, scan en mode normal ou sans échec ? (le tuto dit que c'est mieux en mode sans échec, that's why)

armelilla · Answer

Voilà le rapport du scan Antivir.
(mais sans le mode "on" pour es Rootkits, je n'ai toujours pas trouvé)

=========================

AntiVir PersonalEdition Classic
Report file date: mardi 8 janvier 2008  22:13

Scanning for 1003108 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows 2000
Windows version:  (Service Pack 4)  [5.0.2195]
Username:         Administrateur
Computer name:    ARMELILLA

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  07/09/2007 22:41:32
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  07/09/2007 22:41:32
LUKE.DLL     : 7.0.5.3      147496 Bytes  07/09/2007 22:41:33
LUKERES.DLL  : 7.0.6.1       10280 Bytes  07/09/2007 22:41:33
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 21:40:34
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14/12/2007 22:49:59
ANTIVIR2.VDF : 7.0.1.170    311296 Bytes  28/12/2007 22:39:43
ANTIVIR3.VDF : 7.0.1.195    122368 Bytes  06/01/2008 23:21:05
AVEWIN32.DLL : 7.6.0.46    3084800 Bytes  21/12/2007 07:29:23
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  19/04/2007 22:06:28
AVPREF.DLL   : 7.0.2.2       25640 Bytes  07/09/2007 22:41:32
AVREP.DLL    : 7.0.0.1      155688 Bytes  19/04/2007 22:06:37
AVPACK32.DLL : 7.6.0.2      360488 Bytes  21/12/2007 07:29:24
AVREG.DLL    : 7.0.1.6       30760 Bytes  07/09/2007 22:41:32
AVARKT.DLL   : 1.0.0.20     278568 Bytes  07/09/2007 22:41:29
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  07/09/2007 22:41:29
NETNT.DLL    : 7.0.0.0        7720 Bytes  19/04/2007 22:06:31
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/09/2007 22:41:02
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  07/09/2007 22:41:03
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  07/09/2007 22:41:34

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: c:\program files\antivir personaledition classic\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: E:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mardi 8 janvier 2008  22:13

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'dslmon.exe' - '1' Module(s) have been scanned
Scan process 'zlclient.exe' - '0' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'mspmspsv.exe' - '1' Module(s) have been scanned
Scan process 'WinMgmt.exe' - '1' Module(s) have been scanned
Scan process 'vsmon.exe' - '0' Module(s) have been scanned
Scan process 'mstask.exe' - '1' Module(s) have been scanned
Scan process 'regsvc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'LSASS.EXE' - '1' Module(s) have been scanned
Scan process 'SERVICES.EXE' - '1' Module(s) have been scanned
Scan process 'WINLOGON.EXE' - '1' Module(s) have been scanned
Scan process 'CSRSS.EXE' - '1' Module(s) have been scanned
Scan process 'SMSS.EXE' - '1' Module(s) have been scanned
22 processes with 22 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!
Boot sector 'D:\'
      [NOTE]      No virus was found!
Boot sector 'A:\'
      [NOTE]      In the drive 'A:\' no data medium is inserted!

Starting to scan the registry.
The registry was scanned ( '9' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!
Begin scan in 'D:\' <Donnees>
Begin scan in 'A:\'
Search path A:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'E:\'
Search path E:\ could not be opened!
Le périphérique n'est pas prêt.



End of the scan: mardi 8 janvier 2008  22:45
Used time: 32:34 min

The scan has been done completely.

   1612 Scanning directories
  83011 Files were scanned
      0 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
  83011 Files not concerned
    495 Archives were scanned
      1 Warnings
      2 Notes

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Que demander de plus !
C'est bien !

Alors maintenant: Etant donné que je suis ultra pris 3 recommandations:

Vas ici sur mon site:  https://jalobservateurtextes.wordpress.com/ 

 et combles les protections qui te manque, puis: Une fois ceci fait Y compris Sur le site Secunia inspector ou tu mettras tout à jour, vas ensuite sur ajouts et suppression de programmes et supprimes toutes les traces de vieux Java ((Sauf la 1.6.0_3)).
mais fais tout ce que je dis sur les protections.

Repasses Ccleaner et à tous les soirs avant dodo. ^-)

Finalement :1: Fais ceci : https://www.informatruc.com   /Redémarres/ Réactives la resto/

2: Vas sur Demarrer/Tous les programmes/Accessoires/Outils système/Restoration du système/ Crée un point de restoration 'propre' 
Avec la date et une note comme: Jalobservateur LOlll!!!

3: donnes-moi ensuite tes impressions sur le rendement de ta machine.

armelilla · Answer

Hello Jal !

Résumé de la situation :

Zone Alarm = ok
-----------------------
Antivir = ok
-----------------------
Spyware Blaster = ok  (mais pas de petit icône à droite en bas d'écran ; est-ce normal ?)
-----------------------
Spyware Guard = ok  (avec, là, le petit icône qui rassure ; yes !  :)
-----------------------
Spybot Search & Destroy = problème à l'installation : marche pas. Enfin en tout cas je n'arrive jamais sur la fenêtre qui est montrée dans les tutos et donc je ne peux pas faire les réglages. Et dès le départ je n'avais pas la possibilité de le lancer en mode "avancé"... Bizarre. J'ai par contre un petit icône en bas à droite (carré blanc/bleu avec cadenas), et quand on passe le curseur dessus il apparait ceci :
      Résident de Spybot-SD
      58189 processus mis en liste noire.
      App: C:\Program Files\Spybot - Search Destroy\
      Data: C:\Documen            (oui, oui, "Documen" sans le "t" !)

Un clic droit sur l'icône propose d'afficher un log, lequel log me dit :

09/01/2008 23:27:25 Autorisé(e) (based on user decision) value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") ajouté(e) in Browser Helper Object!

Où donc ai-je bien pu merd...er ?
-----------------------
A-squared Free = ok

Pour finir :

1) Me manque-t'il des choses au niveau protection ?

2) J'irai faire la mise à jour complète via l'ami Secunia inspector demain ou peut-être un peu plus tard car le temps va me manquer, mais en attendant, si tu peux me dire ce qui a pu se passer avec Spybot SD, ça serait top.
Sinon, je fais les mises à jours en laissant Spybot SD en l'état ?

Sur ce, je file...
Merci encore beaucoup pour ton temps et ton aide ; c'est quand même assez royal d'être guidée de cette façon...

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

re bonsoir  armelilla

Tu me rassures un peu car j'ai lu aujourd'hui que mes explications sont compliquées !
Possiblement mon accent ?

Bref!
Super pour Antivir et Zone Alarm !

Spyware Blaster = ok (mais pas de petit icône à droite en bas d'écran ; est-ce normal ?) 

Oui normal ,car ''Simplement'' , il est en gardien sur tes Navigateurs. IE et Firefox, puis les sites à risques.
IE bien entendu que pour moi ce n'est pas un navigateur , mais un ''naufrageur'', comme tu peut le constater ici sur le forum par exemple...

------------------------------------------------------------------------------------------------------------------------------------------

Spybot Search & Destroy = problème à l'installation : marche pas. Enfin en tout cas je n'arrive jamais sur la fenêtre qui est montrée dans les tutos et donc je ne peux pas faire les réglages. Et dès le départ je n'avais pas la possibilité de le lancer en mode "avancé"... Bizarre. J'ai par contre un petit icône en bas à droite (carré blanc/bleu avec cadenas), et quand on passe le curseur dessus il apparait ceci :
Résident de Spybot-SD
58189 processus mis en liste noire. 

Spybot en version 1.5.1 a un problème de surcharge depuis cette version.
Tu devrais avoir 58980 processus dans la liste noire à cette date ,donc il te manque des MaJ.

Il est 1: très long à démarrer (Env de 20 à 40 secondes).
Je vais aviser l'équipe de Patrick Kolla aussitöt que je pourrai.
C'est un type super.

J'ai par contre un petit icône en bas à droite (carré blanc/bleu avec cadenas), et quand on passe le curseur dessus il apparait 

Tu as le Tea Timer et oui il est actif.
Mais relis le tuto et essaies de mettre le resident par le mode avancé.
Sinon Clique droite sur le raccourci de spyot et ''exécuter en tant qu'administrateur''.

Tu as de bonnes protections là !
Le reste est de l'optimisation et des habitudes de surfs réfléchis .

Alors tentes pour Spybot de le mettre fonctionnel.
Sinon supprimes /nettoies avec ccleaner + erreurs de registres et /remets Spybot.

Quand tout est fontionnel: Tu installes ceci : https://www.toucharger.com/fiches/windows/regseeker/10824.htm
Il y a langage fr aussi dessus.
Tu fais un nettoyage automatique , il repassera 2 fois et up Voilà,

Puis tu installes ceci : https://www.clubic.com/telecharger-fiche26672-auslogics-disk-defrag-free.html
Vas en mode sans echec et pareil 1 fois par mois puis défragmentes , tu verras c rapide et plus efficace que celui de Windows.

Finalement : fais ceci : https://www.informatruc.com
Puis mets une date à ta restoration 
Puis voilà tu as une machine propre efficace et protégée.

Redis-moi ;^)

armelilla · Answer

Salut Jal,

Je n’ai pas eu beaucoup de temps dernièrement pour me pencher sur l'ordi, mais je te fais quand même un point de là où j’en suis.

=========

Spybot Search & Destroy : j’ai toujours quelques soucis. J’ai enlevé puis remis, mais je suis toujours avec mes 58189 processus en liste noire au lieu de 58980 comme tu l’as dit… En fait, après avoir refait deux essais, c'est toujours le même phénomène : Spybot « plante » juste après la mise à jour, et je suis obligée de le fermer via le gestionnaire des tâches Windows, et de le relancer. J’ai quand même réussi à faire une analyse qui a détecté 63 problèmes --> supprimés.
Petite note : le scan a duré presque 1 heure... Ca a l'air énorme par rapport à ce qui est annoncé dans le tuto (2 à 3 minutes ! :) ... Il y a un souci, non ? Qu'en penses-tu ?

=========
 
Secunia Inspector : je ne vois pas bien ce qu’il faut faire une fois sur le site… Peux-tu m’expliquer ce que tu entends par « faire toutes les mises à jour sur Secunia inspector » ?
Tu m’avais aussi parlé de « supprimer toutes les traces de vieux Java ((Sauf la 1.6.0_3)) » dans la foulée, mais ce n’est pas encore fait car je voulais d’abord éclaircir l’histoire Secunia inspector.

=========

RegSeeker : ok, installé. Il a tourné et trouvé et supprimé plein de trucs. J'ai l'impression que l'ordi a depuis gagné quelque peu en vitesse.

=========

Défragmentation + réactiver la restauration : pas encore fait, toujours parce que je me dis que l’histoire de mise à jour secunia inspector devrait être réglée avant.


Voilà pour l’état des lieux.
Qu’est-ce qui pourrait t’aider pour la suite ? Un log HijockThis pour faire le point ? Un log SDFix ?
Merci et à bientôt !

=========

Et pour la clarté des explications : oui oui, tiens, ça doit être l'accent !  :)  Ou alors disons que quand on est débutant n'importe quelle explication peut sembler un peu trouble. Perso il m'a fallu un sacré moment d'observation des posts et des explications par-ci par-là sur le forum pour cerner ce que "faire un log HijackThis" pouvait bien vouloir dire... alors que ça doit sembler ultra basic pour plein d'autres gens. Toute la difficulté de communication vient sûrement du fait qu'il est impossible d'évaluer le niveau de l'interlocuteur que tu as en face...

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Bonsoir armelilla.
Je viens de terminer les dernières configurations pour d'autres demandants sur CCM et tout est nickel là.
Alors si tu as besoin d'aide en direct toi aussi , tu me le dis ok .
Jal

armelilla · Answer

Euh.. Je comprends pas bien ce que tu veux dire ?  (encore l'accent ??  ;)

Mon besoin d'aide c'est juste que tu expliques un peu plus ce que tu veux que je fasse avec Secunia Inspector pour ces histoires de mises à jour parce que sur le site je n'ai pas trop compris ce dont il s'agissait.

Voilà. Merci d'avance encore une fois !

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Ok lol! C'est que c'est plus long souvent expliquer  et surtout sur un forum c'est pénible d'attendre les réponses.
Toi tu as juste un interlocuteur mais pas moi.
Retournes sur Secunia et cliques sur Start scan ,Si je me souviens vien car je ne peux pas y aller car le programme Secunia inspector est installé sur ma machine en tant que programme et de ce fait je ne peut pas aller sur le site, car Firefox se ferme.

Tu auras une page 2 tu coches et start scan.
Tu le laisses aller.
Une fois fini il te le dira.
Les x rouges sont pas bons , alors tu cliques sur les liens qu'il te donne pour faire les mises à jour.
Et spybot prends environ 20 à 30 minutes pour scanner .
3 ou 4, que tu as vu, bien il manque des 0.

armelilla · Answer

Hello Jal,

Bon, je n’avance pas énormément dans le sens où je n’arrive toujours à rien sur le site de Secunia Inspector, mais cette fois je pense que je sais pourquoi. Le responsable semble être Java : le site m’indique la chose suivante quand je tente de lancer le scan :
“ Status / Currently Processing:
There might be problems loading the Java Applet in your browser. “

Et du côté de la console Java : 
“ java.lang.UnsupportedClassVersionError: com/secunia/SoftwareInspector/SIApplet (Unsupported major.minor version 49.0) “ ...

Que faire ?

Un deuxième truc qui me préoccupe est que l’ordi a mis une plombe à démarrer quand je l’ai lancé tout à l’heure, a priori à cause de Spybot S&D : une fenêtre m’indiquait que Spybot était en train de se « loader » (ce qui a duré un bon paquet de temps) puis, une fois l’ordi vraiment démarré, un scan s’est lancé de façon automatique, que j’ai arrêté (juste histoire de ne pas en prendre pour une heure comme l’autre fois ! :)

Ensuite, il y eu régulièrement de très gros ralentissements voir des blocages, donc par dépit j’ai fini par désinstaller Spybot et redémarrer. Deuxième démarrage un peu mieux mais pas top, et avec Zone Alarm qui m’indique la chose suivante « Generic Host Process for Win32 Services is trying to access the internet ». Qu'est-ce que ça signifie ?

Comme tout ça me semble un peu bizarre, je remets un log HijackThis juste en dessous, au cas où tu y détectes qqchose de louche.
(et j'ai un scan Antivir en cours ; je te dis s'il trouve quelque chose)

========================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:16:53, on 15/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Scanner A-squared Free\a-squared Free\a2service.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Java Web Start\javaws.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\Scanner A-squared Free\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Bonsoir  armelilla

on va vérifier une chose ok ?

Fais ceci au cas ou !
1. Télécharges combofix.exe (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
SUR LE BUREAU !

Fermes Antivir,
Exécutes le programme,( Lui seul ) Déconnectes-toi du net. Tu fermes 'toutes les autres applications'.

Il va travailler, laisses-le aller.
Ensuite il va te produire un rapport que tu me colles ici stp.
OUBLIES PAS DE RÉACTIVER ANtIVIR !!!

Et pour ceci !« Generic Host Process for Win32 Services is trying to access the internet ». Qu'est-ce que ça signifie ?

C'est légitime acceptes sinon tu pourras même plus te connecter à Internet !
NB: Quand tu sais pas une chose... Interroge Google ,il sait tout !

Tapes simplement: Generic Host Process Tu verras

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Amarelia, est-ce que tu es là maintenant ou seulement demain ?
J'ai des questions pour toi et l'intervention est très longue !

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Vas en mode sans echec et coches puis fixes ces lignes avec HJKTS.

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/

----------------------------------------------------------------------------------------------------------------------------
Et regardes dans Programme file et assures-toi d'avoir supprimer toutes les vieilles versions de Java.
Tu ne dois avoir que la version 1.6.0_3.

armelilla · Answer

Hello Jal,

Je serai "sur les rangs" aujourd'hui, mais seulement ce soir, une fois rentrée chez moi.
Ce qui veut dire vers 20h00 heure française, donc un petit peu moins pour toi, disons vers 14 heures.
Je ne sais pas si ça sera ok pour toi ; on verra...

A tout à l'heure !

Armelilla

armelilla · Answer

Hello Jal,

Ca y est, je suis à mon poste (pour 2 heures environ).
Je suis en train de faire la manip ComboFix, ensuite je supprime les quelques lignes sous HJKTS et je suis de retour avec un log ComboFix (et puis un HJKTS tiens, tant qu'on y est) très vite.
A tout à l'heure !

Armelilla

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Oui tu as le rapport ???

armelilla · Answer

Bon, l'heure est grave. Enfin pas tant que ça hein, c'est une formule...
Bref, voilà le tableau : après passage de ComboFix, plus possible d'accéder à internet... (d'où mon silence radio tout à fait involontaire ; désolée !).

J'ai un log ComboFix à t'envoyer + un log HJKTS réalisé après suppression des 3 lignes que tu m'as donné dans le post précédent + un rapport Antivir (qui m'a trouvé un worm...).

Mais problème : j'avais mis les rapports sur ma clé USB pour te les envoyer depuis mon boulot mais ce matin la clef USB est vide... Donc rdv demain matin, je ne peux pas faire mieux.
Et vraiment désolée que tout ça soit un peu (très !) décousu...

A suivre !

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Allo! Non ça va j'ai fais de la couture ! lol!
Ouais un soupçon ...
Mais qu'il plante la connection ???.
Ok J'attends la réaparition sur ta clé ou ailleurs ;-)

armelilla · Answer

Bonjour Jal, Ca y est, j'ai dompté ma clef USB un peu capricieuse ! ... Donc c'est parti pour les rapports divers et variés (je fais 3 posts différents) : Log ComboFix =============================== ComboFix 08-01-16.4 - Administrateur 16/01/2008 20:36:18.1 - NTFSx86 Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.20 [GMT 1:00] Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-16 to 2008-01-16 )))))))))))))))))))))))))))))))))))) . 2008-01-16 20:35 . 00-08-31 08:00 51,200 --a------ C:\WINNT\NirCmd.exe 2008-01-14 00:28 . 02-08-22 23:00 53,248 --a------ C:\gendel32.exe 2008-01-14 00:06 . 08-01-14 00:06 d-------- C:\Program Files\AusLogics Disk Defrag 2008-01-13 23:52 . 08-01-13 23:59 d-------- C:\Program Files\RegSeeker 2008-01-13 21:20 . 08-01-14 00:28 159 --a------ C:\WINNT\wininit.ini 2008-01-10 00:50 . 08-01-10 00:50 d-------- C:\Program Files\SDFix 2008-01-09 23:59 . 08-01-10 00:02 d-------- C:\Program Files\Scanner A-squared Free 2008-01-09 23:22 . 08-01-15 22:25 d-a------ C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-01-09 23:10 . 08-01-09 23:23 d-------- C:\Program Files\SpywareGuard 2008-01-08 01:13 . 08-01-15 23:36 554,604 ---h----- C:\WINNT\ShellIconCache 2008-01-08 01:07 . 05-08-25 18:19 115,920 --a------ C:\WINNT\system32\MSINET.OCX 2008-01-08 01:05 . 08-01-09 23:03 d-------- C:\Program Files\SpywareBlaster 2008-01-08 00:15 . 08-01-08 00:16 d-------- C:\WINNT\ERUNT 2008-01-07 01:31 . 08-01-10 00:41 d-------- C:\Program Files\Ccleaner 2008-01-07 01:03 . 08-01-07 01:03 2,528 --a------ C:\WINNT\FSMAUNIN.MIF 2008-01-07 01:02 . 08-01-07 01:02 2,528 --a------ C:\WINNT\FSAVUNIN.MIF 2008-01-06 01:08 . 08-01-06 01:09 d-------- C:\Program Files\Prevx-ComputerSecurityInvestigator 2008-01-05 23:40 . 08-01-05 23:40 d-------- C:\Documents and Settings\All Users\Application Data\Prevx 2008-01-05 23:40 . 08-01-05 23:40 d-------- C:\Documents and Settings\Administrateur\Application Data\PrevxCSI 2007-12-30 12:59 . 07-12-30 12:59 d-------- C:\Program Files\ZoneAlarmSB 2007-12-30 12:55 . 07-12-30 12:55 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2007-12-30 12:54 . 07-11-14 16:05 75,248 --a------ C:\WINNT\zllsputility.exe 2007-12-30 12:54 . 04-04-27 04:40 11,264 --a------ C:\WINNT\system32\SpOrder.dll 2007-12-30 12:53 . 07-11-14 16:05 1,086,952 --a------ C:\WINNT\system32\zpeng24.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-07 00:17 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-06 23:34 2,971,136 ----a-w C:\WINNT\Internet Logs\xDBB.tmp 2008-01-06 23:34 1,571,328 ----a-w C:\WINNT\Internet Logs\xDBC.tmp 2008-01-06 01:38 2,895,872 ----a-w C:\WINNT\Internet Logs\xDB9.tmp 2008-01-06 01:38 1,569,792 ----a-w C:\WINNT\Internet Logs\xDBA.tmp 2008-01-06 01:25 2,908,672 ----a-w C:\WINNT\Internet Logs\xDB7.tmp 2008-01-06 01:25 1,569,280 ----a-w C:\WINNT\Internet Logs\xDB8.tmp 2008-01-05 23:59 3,536,896 ----a-w C:\WINNT\Internet Logs\xDB5.tmp 2008-01-05 23:59 1,565,696 ----a-w C:\WINNT\Internet Logs\xDB6.tmp 2008-01-05 20:48 3,012,096 ----a-w C:\WINNT\Internet Logs\xDB3.tmp 2008-01-05 20:48 1,557,504 ----a-w C:\WINNT\Internet Logs\xDB4.tmp 2007-12-30 14:19 2,847,671 ----a-w C:\WINNT\Internet Logs vDebug.zip 2007-12-30 14:17 3,090,432 ----a-w C:\WINNT\Internet Logs\xDB334.tmp 2007-12-30 14:17 1,556,480 ----a-w C:\WINNT\Internet Logs\xDB335.tmp 2007-12-30 14:16 --------- d-----w C:\Program Files\KaZaA Lite 2007-12-15 02:05 --------- d-----w C:\Program Files\w2ksp4_fr.exe 2006-01-03 23:08 33,960 ----a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT 2005-10-02 17:50 1,117,696 ----a-w C:\WINNT\Internet Logs\xDB1.tmp 2005-10-02 17:49 864,256 ----a-w C:\WINNT\Internet Logs\xDB2.tmp 2005-07-30 11:37 2,953,728 ----a-w C:\WINNT\Internet Logs\xDB28A.tmp 2005-07-30 11:37 1,101,824 ----a-w C:\WINNT\Internet Logs\xDB1E5.tmp 2004-11-24 19:26 913,408 ----a-w C:\WINNT\Internet Logs\xDB104.tmp 2004-11-24 19:26 2,705,920 ----a-w C:\WINNT\Internet Logs\xDB1EA.tmp 2004-11-14 14:49 881,664 ----a-w C:\WINNT\Internet Logs\xDB125.tmp 2004-11-14 14:49 790,016 ----a-w C:\WINNT\Internet Logs\xDB1E2.tmp 2004-11-12 08:53 878,592 ----a-w C:\WINNT\Internet Logs\xDB122.tmp 2004-11-12 08:52 431,616 ----a-w C:\WINNT\Internet Logs\xDB18F.tmp 2004-10-15 08:35 860,160 ----a-w C:\WINNT\Internet Logs\xDB139.tmp 2004-10-15 08:34 1,117,184 ----a-w C:\WINNT\Internet Logs\xDB1B4.tmp 2004-09-02 21:02 833,024 ----a-w C:\WINNT\Internet Logs\xDB106.tmp 2004-09-02 21:02 2,414,592 ----a-w C:\WINNT\Internet Logs\xDB17F.tmp 2004-07-19 17:10 786,944 ----a-w C:\WINNT\Internet Logs\xDBE0.tmp 2004-07-19 17:09 2,082,816 ----a-w C:\WINNT\Internet Logs\xDB163.tmp 2004-05-31 18:05 739,840 ----a-w C:\WINNT\Internet Logs\xDBB9.tmp 2004-05-31 18:05 2,240,512 ----a-w C:\WINNT\Internet Logs\xDB126.tmp 2001-12-22 03:15 271 ---h--w C:\Program Files\desktop.ini 2001-12-22 03:15 22,115 ---h--w C:\Program Files\folder.htt 1999-12-15 01:59 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}] 07-12-30 12:59 262144 --a------ C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA} [HKEY_CLASSES_ROOT\clsid\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Synchronization Manager"="mobsync.exe" [03-06-19 11:05 111888 C:\WINNT\system32\mobsync.exe] "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [07-10-13 10:43 249896] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [07-11-14 16:05 919016] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoFavoritesMenu"= 0 (0x0) "NoLogoff"= 0 (0x0) "NoTrayContextMenu"= 0 (0x0) "EnforceShellExtensionSecurity"= 0 (0x0) "NoDeletePrinter"= 0 (0x0) "NoAddPrinter"= 0 (0x0) "NoPrinterTabs"= 0 (0x0) R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys [07-09-07 23:41 ] R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [07-09-07 23:41 ] R1 VIAPFD;VIAPFD;C:\WINNT\system32\Drivers\VIAPFD.SYS [01-05-04 16:24 ] *Newly Created Service* - IPNAT *Newly Created Service* - RASAUTO *Newly Created Service* - SHAREDACCESS . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-16 20:42:23 Windows 5.0.2195 Service Pack 4 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-01-16 20:44:28 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-16 19:44:22

armelilla · Answer

Log Antivir (un worm détecté mis en quarantaine)
===============================

AntiVir PersonalEdition Classic
Report file date: mercredi 16 janvier 2008  21:40

Scanning for 1041443 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows 2000
Windows version:  (Service Pack 4)  [5.0.2195]
Username:         Administrateur
Computer name:    ARMELILLA

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  07/09/2007 22:41:32
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  07/09/2007 22:41:32
LUKE.DLL     : 7.0.5.3      147496 Bytes  07/09/2007 22:41:33
LUKERES.DLL  : 7.0.6.1       10280 Bytes  07/09/2007 22:41:33
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 21:40:34
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14/12/2007 22:49:59
ANTIVIR2.VDF : 7.0.2.0      948736 Bytes  15/01/2008 22:25:26
ANTIVIR3.VDF : 7.0.2.1        2048 Bytes  15/01/2008 22:25:26
AVEWIN32.DLL : 7.6.0.48    3080704 Bytes  15/01/2008 22:25:28
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  19/04/2007 22:06:28
AVPREF.DLL   : 7.0.2.2       25640 Bytes  07/09/2007 22:41:32
AVREP.DLL    : 7.0.0.1      155688 Bytes  19/04/2007 22:06:37
AVPACK32.DLL : 7.6.0.3      360488 Bytes  15/01/2008 22:25:28
AVREG.DLL    : 7.0.1.6       30760 Bytes  07/09/2007 22:41:32
AVARKT.DLL   : 1.0.0.20     278568 Bytes  07/09/2007 22:41:29
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  07/09/2007 22:41:29
NETNT.DLL    : 7.0.0.0        7720 Bytes  19/04/2007 22:06:31
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/09/2007 22:41:02
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  07/09/2007 22:41:03
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  07/09/2007 22:41:34

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: c:\program files\antivir personaledition classic\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: E:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 16 janvier 2008  21:40

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'USERINIT.EXE' - '1' Module(s) have been scanned
Scan process 'WinMgmt.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'LSASS.EXE' - '1' Module(s) have been scanned
Scan process 'SERVICES.EXE' - '1' Module(s) have been scanned
Scan process 'WINLOGON.EXE' - '1' Module(s) have been scanned
Scan process 'CSRSS.EXE' - '1' Module(s) have been scanned
Scan process 'SMSS.EXE' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!
Boot sector 'D:\'
      [NOTE]      No virus was found!
Boot sector 'A:\'
      [NOTE]      In the drive 'A:\' no data medium is inserted!

Starting to scan the registry.
The registry was scanned ( '11' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\Documents and Settings\Administrateur\Bureau\SDFix\SDFix\backups\backups.zip
  [0] Archive type: ZIP
  --> backups/wintcps.exe
      [DETECTION] Contains detection pattern of the worm WORM/VanBot.IY
      [INFO]      The file was moved to '47f16c8d.qua'!
Begin scan in 'D:\' <Donnees>
Begin scan in 'A:\'
Search path A:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'E:\'
Search path E:\ could not be opened!
Le périphérique n'est pas prêt.



End of the scan: mercredi 16 janvier 2008  22:26
Used time: 46:27 min

The scan has been done completely.

   1618 Scanning directories
  83201 Files were scanned
      1 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      1 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
  83200 Files not concerned
    546 Archives were scanned
      1 Warnings
      2 Notes

armelilla · Answer

Le meilleur pour la fin, le log HJKTS...  :)
(log très court tout d'un coup ! Enfin je veux dire par rapport à avant... alors je m'interroge un peu... tout en n'y connaissant rien du tout  ;-)
===============================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:12:50, on 16/01/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Safe mode

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\Scanner A-squared Free\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Re bonjour!

Déjà une grosse bête saisie !

WORM/VanBot.IY  Est une belle saloperie . Il est aussi un analyseur de frappe, puis peut à sa guise télécharger des fichiers et voler des infos sur demande !
Un gros poisson dans les filets de Antivir!!!
Donc vas dans sa quarentaine et supprimes cette merde!
---------------------------------------------------------------------------------------------------------------------------------------------------------

Oui c'est ce que l'on nommes,: un log optimisé.Tu dois te rendre compte de la différence de vitesse au démarrage surtout..
Tu sembles dire que tu as Spybot...
Alors tu dois l'optimiser en configuration lui aussi.
Comme suit: 
Configuration sécuritaire et efficace de Spybot Search & Destroy.

 NB: Cette configuration est idéal surtout comme bouclier 'protecteur'.
Si votre machine est loudement infectée, spybot pourrait 'cacher' ou nuire à la découverte de Rootkits ou de virus implantés.
Alors pour tout scans de Fix spéciaux, vous devrez désactiver 'temporairement' le 'Tea Timer' et le 'resident' .
PS: Ce qui n'est plus ton cas, alors tu procèdes.
----------------------------------------------------------------------------------------
1: en installant Spybot: Laissé comme demandé le Tea Timer.

2: Laissé le faire toutes les étapes qu'il veut. Soit, Sauvegarde du registre à la vaccination du systeme.

3: faire un scan 'complet' et corriger les problêmes trouvés.
Il est possible qu'en scannant avec Spybot que votre Anti virus se réveille !
Surtout si vous avez Avast qui est de moins en moins réactif et dort souvent debout.
Alors il se peut qu'il vous signale un virus qu'en fait Spybot par son scan en profondeur aura "tatillé" un peu.

4: Le nettoyage terminé: Revenez sur Spybot et dans l'onglet 'Mode', cochez 'mode avancé'.

5: Vous aurez un avertissement mais ne faite que ce que je vous indique sur les points suivants.

6: Cliquez sur 'Resident' afin que vous ayez cochés 'resident' et 'Tea Timer'.

7: Cliquez sur : Outil qui est un nouvel onglet apparu en bas.

8: Cochez toutes les cases.

9: Cliquez à gauche sous Resident 'Actives X'. Vous verrez à droite les Actives X chargés sur IE. Donc vous devez prendre le 'contrôle' de ceux-ci.
En cliquant gauche sur chacun d'eux,vous pouvez lire leur description et choisir de les supprimer à votre guise avec le 'Portier' Spybot.
Attention! Si vous lui donnez un ordre, il vous répondra et si vous désirez que cette ordre soit retenue, alors indiquez-lui, puis autorisez.
NB: Si vous avez des versions de Java ,parmis les ActivesX et que celle-ci ne sont pas absolument la dernière version, supprimez.
N'oubliez pas ensuite d'aller dans : Démarrer/Pabbeau de configuration/ Ajouts et Suppressions de programmes et supprimez les vieilles versions de Java ,'Dangeureuses' et Exploitables.
Si vous ne connaissez pas la description de Spybot, alors recherchez sur Google.

10: BHOs ou Browsers Helpers: Ceci sont les Pages de navigations, souvent détournées et bordéliques.
NB: Vous devez impérativement limiter celles-ci!!! Comme pour les activesX Vous avez la possibilité d'en supprimer.

11: Démarrage du systême : Vous montre les processus des programmes qui démarrent et fonctionnent en 'arrière plan' .
Vous devez aussi limiter ceux-ci aux utiles et nécessaires.
Car ceci aussi peut devenir bordelique.
Vous pouvez voir assez rapidement ici les programmes,'non légitimes' ou Même dangeureux que vous pouvez aussi avoir autorisé par erreur ou à votre insu.
----------------------------------------------------------------------------------------------
Je me limite à ces fonctions et onglets et je vous invite à en faire autant , pas moins, pas plus.

------------------------------------------------------------------------------------------------------------------------------------------------------------

Je ne vois pas de traces de Ccleaner ?
Si tu as pas, tu installes la version slim ici : https://www.ccleaner.com/ccleaner/download
Un bon tuto ici: https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm

------------------------------------------------------------------------------------------------------------------------------------------------------------

Tu as ie6, car tu as pas le choix avec ton Win 2000.
Mais ie pour Naviguer =Dangers !
Ne navigues que sur Firefox.
------------------------------------------------------------------------------------------------------------------------------------------------------------
Je vois :Spyware Guard ! Super, mais as-tu mis Spyware Blaster ? sinon mets-le.

https://jesses.pagesperso-orange.fr/Docs/Logiciels/SpywareBlaster.htm

Fais un scan complet de A2Square à jour aussi.
Et donnes-moi un compte-rendu de tout stp. 
Et je t'indiquerai les derniers points. A@+

armelilla · Answer

Ok super, merci ! Je vais faire tout ça.

Quelques trucs pendant ce temps :

- par rapport à l'impossibilité d'accéder à internet depuis le passage de ComboFix : qu'est-ce qui explique ça d'après toi ? Que dois-je faire ? Firefox me parle d'"impossibilité de trouver le serveur", et il n'y a pas de blocage du côté de Zone Alarm donc je ne vois pas trop...

- pour Spybot S&D : je l'ai enlevé car je n'arrive toujours pas à avoir le Tea Timer et le Resident qui fonctionnent correctement (Tea Timer oui, Resident non).
Je ne suis pas très confiante mais je vais tenter de le remettre.

- CCleaner : si si si, je l'ai ! Et installé dans le C:/ donc curieux qu'il n'y en ait pas trace dans le log HJKTS...

- Pour le navigateur, je n'utilisais déjà que Firefox donc pas de problème. Message bien enregistré pour IE !   :)

- Spyware Blaster : oui je l'ai aussi, en plus de Spyware Guard, et il est installé dans le C:/ donc même chose que pour CCleaner : bizarre bizarre qu'il n'y en ait pas trace dans le log HJKTS...?

A plus tard ou lundi si je ne réussi pas à rétablir la connexion internet avant !

jalobservateur · Answer

--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA) 

Là vraiment tu m,en colles une ?
Je n'ai jamais vu ceci avec Combofix.
Je n'ai pas trouvé non plus sur ce problème qui serait nouveau .
Tentes de faire un diagnostique de ta connection.
Tu peut essayer par msn et il te donnera un code d'erreurs surement.
Et recherches sur Google le code correspondant .
Redis-moi.

jalobservateur · Answer

Rebonjour.

A plus tard ou lundi si je ne réussi pas à rétablir la connexion internet avant !
Mais de quel mois tu faisais allusion ?

armelilla · Answer

Bonjour Jal,

Ahem... Oui tout à fait, je n'ai pas précisé le mois... Ou disons que j'ai laissé le temps passer et je n'ai jamais répondu, ce qui n'est vraiment pas très classe j'en conviens... (surtout vu l'aide que tu m'avais apportée jusque-là !)
Pardon pardon pardon...

L'état des lieux est le suivant : je n'ai jamais réussi à remettre ma connexion internet en place en janvier dernier, pas moyen (tu m'avais suggéré de passer par msn pour obtenir peut-être un code d'erreur, mais rien de ce côté-là : la même page d'erreur affichée par Firefox).
Vu mon tout petit niveau en informatique j'ai abandonné l'affaire et demandé à un pote qui s'y connait un peu ce qu'il en pensait, et au vu de la situation on a opté pour une solution (sûrement un peu facile...) qui a été de tout reformater et réinstaller.

Donc au final je ne sais pas du tout ce qui s'est passé avec Combofix, mais je me dis que c'était peut-être lié à une histoire de BHO (note que j'en parle sans vraiment savoir ce que c'est, donc je dis peut-être de grosses *** !) tout simplement parc que je me rappelle que ComboFix en avait détecté / supprimé.
Ou alors ComboFix n'y était pour rien (probable, non...?) et il s'est simplement passé quelque chose en parallèle à l'utilisation de ComboFix... mais toujours est-il que je ne sais pas quoi.

Pour le moment je tourne avec un système plutôt allégé depuis le reformatage, mais qui pourtant n'est pas encore complètement nickel puisque par exemple VLC trouve le moyen de ne pas fonctionner... (alors bon, si ça ça ne marche pas... !)
Je ne suis pas super bien protégée car j'avoue que j'ai un peu abandonné le sujet depuis la décision radicale de tout reformater (et surtout je n'utilise pas beaucoup mon PC ces derniers temps), mais je pense faire un petit point un de ces jours en retournant sur ton site pour reprendre tous les points de "sécurité" que tu y listais... puis faire un log HJKTS.

Si tu as d'autres idées / conseils...?

(PS : je suis en déplacement pour une semaine donc je ne pourrai pas répondre rapidement, désolée. Enfin ça pourra pas être pire que 3 mois sans donner de nouvelles... Pardon encore pour le manque de politesse, parce que quelque part c'est de cet ordre-là, j'en suis consciente. Merci d'avoir pris des nouvelles en tout cas...)

Armelle

jalobservateur · Answer

Allo, Non ça va, pour le pardon loll!
C'est seulement que j'ai en horreur de laisser trainer des choses pas claires derrière moi.
Un défaut de perfectionniste inné !
Et aussi du fait que je viens d'ouvrir mon propre forum d'entraide informatique, question d'axer justement sur la prévention et les moyens de bien protéger les machines, car depuis 1 an c'est littéralement catastrophique autour du monde.
J'en ai un peu soupé de désinfecter et de tenter de vider l'ocean avec une passoire tu vois ?
Alors si tu désires bien des astuces et de l'aide pour ta machine, je t'invite. NB: Il y a pas d'anonymes parcontre. ;-)
http://ww12.purforum.com
@+ Jal

Virus reboot automatique - rapport HijackThis

46 réponses

Votre réponse

Discussions similaires

Newsletters