C:\Windows\SoftwareDistribution\Download\...

Question

Bonjour,

J'ai achete un nouvel ordi portable Acer en Chine.
J'utilise Avast 4.7 Home Edition et apres le scan, il me dit "Unable to scan: CAB archive is corrupted" pour une vingtaine de fichiers.
Ces fichiers commecent tous par C:\Windows\SoftwareDistribution\Download\...

Est-ce que c'est grave?

Merci d'avance de votre reponse ;)

maroctech · Answer

Bjr,
Dites moi comment s'appel l'un de ces fichiers ?

MilkShark21 · Answer

Bonjour et merci,

Un des fichier se nomme par exemple :
C:\Windows\SoftwareDistribution\Download\7bc06e4d3faa82a56905e53d1292cfce7b54c853\dsetup_dll

Je peux selectionner Delete, Move ou Chest.
Vu que j'y connais rien, je prefere attendre avant de faire n'importe quoi!
L'ordi n'a pas de probleme en soi actuellement, peut-etre devrais-je ne rien faire?

Pour info, je sais pas si c'est lie, mais ma copie de Microsoft Office n'est pas originale (comme partout ici!).
Et j'ai telecharge, installe puis desinstalle TVAnts et SopCast...
Sinon un Hijackthis est-il utile?

Merci!

maroctech · Answer

non je préfer que tu laisse le truc tranquile, déja puisque se sont des fichiers CAB ca fair rien. mais si ça te prend de l'espace tu peut vider le dossier sans rien a craindre.

MilkShark21 · Answer

Le dossier Download fait la bagatelle de 700MB!

Pour info dans les fichiers a problemes detectes, y a aussi des _exe, _dll, _css, _cab et .xml...

Donc, dans Avast, je selectionne Delete pour chacun de ces fichiers?
Ou bien je vais carrement dans le fichier C:\Windows\SoftwareDistribution\Download et j'efface tout ce qu'il contient?

afideg · Answer

Bonjour MilkShark21

Peux-tu faire cette analyse, SVP:

A)- Clique sur < http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe >
et enregistre-le sur ton bureau.
Ensuite double clique sur l’icône "Navilog1.exe " pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.

(Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1).

Laisse-toi guider. 
Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)



B)- Télécharge lopxpMH2 http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton bureau.Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat. Poste le contenu du rapport qui va s'ouvrir.


Merci
Al.

MilkShark21 · Answer

Bonjour afideg,
Voici le rapport de Navilog1.exe :

Search Navipromo version 3.4.5 commencé le 19/02/2008 à 18:00:06.64

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 11.02.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : FAT32

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\acer\applic~1" *** 



*** Recherche dossiers dans "C:\Documents and Settings\acer\locals~1\applic~1" *** 



*** Recherche dossiers dans "C:\Documents and Settings\acer\STARTM~1\Programs" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\STARTM~1\PROGRAMS ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\acer\locals~1\applic~1" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\acer\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 19/02/2008 à 18:00:52.68 ***

MilkShark21 · Answer

Et voici le rapport lopxpMH2 :

Rapport lopxpMH2 version 2.0 fait à 18:05:46.37 le 19/02/2008
C:\Documents and Settings\acer\Desktop\lopxpMH2

******************************************
## Répertoires Application Data

Volume in drive C has no label.
Volume Serial Number is FA92-00D1

Directory of C:\Documents and Settings\Default User\Application Data

13/09/2007 21:16 <DIR> .
13/09/2007 21:16 <DIR> ..
13/09/2007 21:16 <DIR> Microsoft
13/09/2007 21:16 62 desktop.ini
1 File(s) 62 bytes
3 Dir(s) 12,318,883,840 bytes free
Volume in drive C has no label.
Volume Serial Number is FA92-00D1

Directory of C:\Documents and Settings\Default User\Local Settings\Application Data

13/09/2007 21:16 <DIR> .
13/09/2007 21:16 <DIR> ..
13/09/2007 21:23 <DIR> Microsoft
0 File(s) 0 bytes
3 Dir(s) 12,318,883,840 bytes free
Volume in drive C has no label.
Volume Serial Number is FA92-00D1

Directory of C:\Documents and Settings\All Users\Application Data

13/09/2007 21:16 <DIR> .
13/09/2007 21:16 <DIR> ..
14/02/2008 17:16 <DIR> Adobe
14/02/2008 21:17 <DIR> Apple
14/02/2008 21:28 <DIR> Apple Computer
13/09/2007 21:16 <DIR> Microsoft
13/09/2007 21:49 <DIR> Thunder Network
13/09/2007 21:49 <DIR> thunder_vod_cache
16/02/2008 21:53 <DIR> Windows Genuine Advantage
16/02/2008 20:27 <DIR> WLInstaller
13/09/2007 21:16 62 desktop.ini
1 File(s) 62 bytes
10 Dir(s) 12,318,883,840 bytes free
Volume in drive C has no label.
Volume Serial Number is FA92-00D1

Directory of C:\Documents and Settings\NetworkService\Application Data

13/09/2007 21:30 <DIR> .
13/09/2007 21:30 <DIR> ..
13/09/2007 21:30 <DIR> Microsoft
0 File(s) 0 bytes
3 Dir(s) 12,318,883,840 bytes free
Volume in drive C has no label.
Volume Serial Number is FA92-00D1

Directory of C:\Documents and Settings\NetworkService\Local Settings\Application Data

13/09/2007 21:30 <DIR> .
13/09/2007 21:30 <DIR> ..
13/09/2007 21:30 <DIR> Microsoft
0 File(s) 0 bytes
3 Dir(s) 12,318,883,840 bytes free
Volume in drive C has no label.
Volume Serial Number is FA92-00D1

Directory of C:\Documents and Settings\LocalService\Application Data

13/09/2007 21:30 <DIR> .
13/09/2007 21:30 <DIR> ..
13/09/2007 21:30 <DIR> Microsoft
0 File(s) 0 bytes
3 Dir(s) 12,318,883,840 bytes free
Volume in drive C has no label.
Volume Serial Number is FA92-00D1

Directory of C:\Documents and Settings\LocalService\Local Settings\Application Data

13/09/2007 21:30 <DIR> .
13/09/2007 21:30 <DIR> ..
13/09/2007 21:30 <DIR> Microsoft
0 File(s) 0 bytes
3 Dir(s) 12,318,883,840 bytes free
Volume in drive C has no label.
Volume Serial Number is FA92-00D1

Directory of C:\Documents and Settings\acer\Application Data

13/09/2007 21:31 <DIR> .
13/09/2007 21:31 <DIR> ..
14/02/2008 17:18 <DIR> Adobe
14/02/2008 21:20 <DIR> Apple Computer
17/02/2008 11:05 <DIR> gtk-2.0
13/09/2007 21:31 <DIR> Identities
13/09/2007 21:42 <DIR> Macromedia
16/02/2008 22:28 <DIR> Media Player Classic
13/09/2007 21:31 <DIR> Microsoft
17/02/2008 19:23 <DIR> Real
13/02/2008 13:41 <DIR> U3
13/09/2007 21:31 62 desktop.ini
1 File(s) 62 bytes
11 Dir(s) 12,318,883,840 bytes free
Volume in drive C has no label.
Volume Serial Number is FA92-00D1

Directory of C:\Documents and Settings\acer\Local Settings\Application Data

13/09/2007 21:31 <DIR> .
13/09/2007 21:31 <DIR> ..
14/02/2008 17:17 <DIR> Adobe
14/02/2008 21:17 <DIR> Apple
14/02/2008 21:17 <DIR> Apple Computer
13/09/2007 21:31 <DIR> Microsoft
16/02/2008 20:38 <DIR> PCHealth
13/02/2008 14:06 <DIR> WMTools Downloaded Files
13/02/2008 18:57 43,520 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
13/09/2007 21:32 85,496 GDIPFONTCACHEV1.DAT
13/09/2007 21:55 5,890,610 IconCache.db
3 File(s) 6,019,626 bytes
8 Dir(s) 12,318,883,840 bytes free
Volume in drive C has no label.
Volume Serial Number is FA92-00D1

Directory of C:\WINDOWS\system32\config\systemprofile\Application Data

13/09/2007 21:29 <DIR> .
13/09/2007 21:29 <DIR> ..
13/09/2007 21:29 <DIR> Microsoft
13/09/2007 21:29 62 desktop.ini
1 File(s) 62 bytes
3 Dir(s) 12,318,883,840 bytes free
Volume in drive C has no label.
Volume Serial Number is FA92-00D1

Directory of C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

13/09/2007 21:29 <DIR> .
13/09/2007 21:29 <DIR> ..
13/09/2007 21:29 <DIR> Microsoft
0 File(s) 0 bytes
3 Dir(s) 12,318,883,840 bytes free

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
IIm¤M‹Îp{Ø(ïF ê <
s €! : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e - t a s k S Y S T E M 0 Ø @
******************************************
## Répertoires de C:\Program Files

Volume in drive C has no label.
Volume Serial Number is FA92-00D1

Directory of C:\Program Files

13/09/2007 21:17 <DIR> .
13/09/2007 21:17 <DIR> ..
14/02/2008 17:16 <DIR> Adobe
13/02/2008 13:33 <DIR> Alwil Software
14/02/2008 21:17 <DIR> Apple Software Update
14/02/2008 16:22 <DIR> Canon
13/09/2007 21:17 <DIR> Common Files
13/09/2007 21:21 <DIR> ComPlus Applications
13/09/2007 21:52 <DIR> CONEXANT
17/02/2008 11:03 <DIR> GIMP-2.0
13/09/2007 21:34 <DIR> Intel
13/09/2007 21:21 <DIR> Internet Explorer
14/02/2008 21:42 <DIR> iPod
14/02/2008 21:42 <DIR> iTunes
13/09/2007 21:21 <DIR> Messenger
13/09/2007 21:52 <DIR> Microsoft ActiveSync
13/09/2007 21:24 <DIR> microsoft frontpage
13/09/2007 21:51 <DIR> Microsoft Office
18/02/2008 12:25 <DIR> Microsoft SQL Server Compact Edition
13/09/2007 21:52 <DIR> Microsoft Visual Studio
13/09/2007 21:52 <DIR> Microsoft Works
13/09/2007 21:52 <DIR> Microsoft.NET
13/09/2007 21:22 <DIR> Movie Maker
13/09/2007 21:20 <DIR> MSN
13/09/2007 21:21 <DIR> MSN Gaming Zone
19/02/2008 17:56 <DIR> Navilog1
13/09/2007 21:21 <DIR> NetMeeting
13/09/2007 21:37 <DIR> O2Micro Oz128 Driver
13/09/2007 21:21 <DIR> Online Services
13/09/2007 21:21 <DIR> Outlook Express
13/09/2007 21:35 <DIR> Realtek
13/09/2007 21:54 <DIR> Ringz Studio
13/09/2007 21:36 <DIR> Synaptics
13/09/2007 21:48 <DIR> Thunder Network
18/02/2008 12:13 <DIR> Windows Live
13/09/2007 21:21 <DIR> Windows Media Player
13/09/2007 21:20 <DIR> Windows NT
13/09/2007 21:33 <DIR> WinRAR
13/09/2007 21:24 <DIR> xerox
0 File(s) 0 bytes
39 Dir(s) 12,318,883,840 bytes free

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

afideg · Answer

Re, Bien. Tu peux supprimer lopxpMH2 et navilog1. A)- Fais une analyse HijackThis comme ceci, SVP : a)- Avec connexion au Net en service, - Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < [ http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download ] > avec un installeur. - Sur la page, choisis « Download HijackThis Installer » http://img265.imageshack.us/img265/4575/screenshot127sd3.png et enregistre-le sur le bureau. Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau. b)- Installation : •- Se déconnecter du Net, soit en coupant la connexion de son modem (débranche-le), - Ça peut être un routeur et tu es relié par un câble, tu débranches le cable. - Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle). •- Clic-droit sur l’ icône « HJTInstall.exe » présente sur ton bureau et clic sur "Ouvrir" dans le menu contextuel. - Ensuite, clic sur « Exécuter », puis sur « Install ». - Accepte la licence en cliquant sur le bouton "I Accept" - Le programme s’installe de lui-même dans un dossier dédié. - Par défaut, il s'installera en C:\Program Files\Trend Micro\HijackThis - Et un raccourci pour lancer l’analyse apparaît sur le bureau. •- Reconnecte ton modem. •- Arrête puis Redémarre ton PC impérativement. c)- Utilise ces Tutoriels : < [ http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ] > < https://bibou0007.forumpro.fr/t108-tutorial-de-hijackthis-v2-0-2 > pour l'analyse. d)- Rapport: - À la fin du scan le bloc-notes va s'ouvrir sur le bureau - Tu fais un copier/coller de tout son contenu. - Et tu le postes sur le forum. - (Il sera enregistré dans le dossier C:\Program Files\Trend Micro\HijackThis, sous hijackthis.log). B)- Télécharge ComboFix à partir d'un de ces liens : http://download.bleepingcomputer.com/sUBs/ComboFix.exe https://forospyware.com http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/ Et important, enregistre-le sur le bureau. Avant d'utiliser ComboFix : ==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). Une fois fait, sur ton bureau double-clic sur Combofix.exe. - Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. /!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse). /!\ - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire. - Un rapport s'ouvrira ensuite dans le bloc-notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) ==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. ==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. Merci Bonne chance Al.

MilkShark21 · Answer

Le rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:36, on 19/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\iPod\bin\iPodService.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Ringz Studio\Storm Codec\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - (no file)
O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe

MilkShark21 · Answer

Et voici le rapport de ComboFix (ca ne lui a pris que 2 minutes) :

ComboFix 08-02-19.2 - acer 2008-02-19 19:47:25.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.691 [GMT 8:00]
Running from: C:\Documents and Settings\acer\Desktop\ComboFix.exe
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((( Files Created from 2008-01-19 to 2008-02-19 )))))))))))))))))))))))))))))))
.

2008-02-19 19:30 . 2008-02-19 19:30 <DIR> d-------- C:\Program Files\Trend Micro
2008-02-19 17:56 . 2008-02-19 17:56 <DIR> d-------- C:\Program Files\Navilog1
2008-02-18 12:26 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2008-02-18 12:25 . 2008-02-18 12:25 <DIR> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
2008-02-18 12:13 . 2008-02-18 12:13 <DIR> d-------- C:\Program Files\Windows Live
2008-02-17 11:05 . 2008-02-17 11:05 <DIR> d-------- C:\Documents and Settings\acer\Application Data\gtk-2.0
2008-02-17 11:05 . 2008-02-17 11:05 <DIR> d-------- C:\Documents and Settings\acer\.thumbnails
2008-02-17 11:03 . 2008-02-17 11:03 <DIR> d-------- C:\Program Files\GIMP-2.0
2008-02-17 11:03 . 2008-02-17 11:03 <DIR> d-------- C:\Documents and Settings\acer\.gimp-2.4
2008-02-16 22:28 . 2008-02-16 22:28 <DIR> d-------- C:\Documents and Settings\acer\Application Data\Media Player Classic
2008-02-16 21:11 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-02-16 21:11 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-02-16 21:11 . 2007-07-30 19:19 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-02-16 20:27 . 2008-02-16 20:27 <DIR> d--hs---- C:\Program Files\Common Files\WindowsLiveInstaller
2008-02-16 20:27 . 2008-02-16 20:27 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-02-15 14:40 . 2008-02-15 14:41 6,656 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-02-14 21:42 . 2008-02-14 21:42 <DIR> d-------- C:\Program Files\iTunes
2008-02-14 21:42 . 2008-02-14 21:42 <DIR> d-------- C:\Program Files\iPod
2008-02-14 21:41 . 2008-02-14 21:41 <DIR> d-------- C:\Program Files\Common Files\Apple
2008-02-14 21:28 . 2008-02-14 21:28 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-02-14 21:20 . 2008-02-14 21:20 <DIR> d-------- C:\Documents and Settings\acer\Application Data\Apple Computer
2008-02-14 21:19 . 2008-02-19 19:41 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-14 21:19 . 2008-02-14 21:19 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-14 21:17 . 2008-02-14 21:17 <DIR> d-------- C:\Program Files\Apple Software Update
2008-02-14 21:17 . 2008-02-14 21:17 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-02-14 17:16 . 2008-02-14 17:16 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-02-14 17:04 . 2008-02-14 17:04 <DIR> d-------- C:\Documents and Settings\acer\Contacts
2008-02-14 16:27 . 2008-02-14 16:27 0 --a------ C:\WINDOWS\OpPrintServer.INI
2008-02-14 16:22 . 2008-02-14 16:22 <DIR> d-------- C:\Program Files\Canon
2008-02-14 15:44 . 2007-12-07 10:21 6,066,176 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-02-14 15:44 . 2007-07-01 11:31 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-02-14 15:44 . 2007-07-01 11:36 991,232 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-02-14 15:44 . 2007-12-07 10:21 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-02-14 15:44 . 2007-12-07 10:21 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-02-14 15:44 . 2007-12-07 10:21 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-02-14 15:44 . 2007-12-07 10:21 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll
2008-02-14 15:44 . 2007-12-07 10:21 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-02-14 15:44 . 2007-12-06 19:00 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-14 15:15 . 2008-02-14 15:15 <DIR> d--hs---- C:\Documents and Settings\acer\UserData
2008-02-14 14:48 . 2007-12-04 21:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-02-14 14:48 . 2007-12-04 20:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-02-14 14:48 . 2007-12-04 22:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-02-14 14:48 . 2007-12-04 22:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-02-14 14:48 . 2007-12-04 22:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-02-14 14:48 . 2007-12-04 22:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-02-14 14:48 . 2007-12-04 22:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-02-14 14:04 . 2008-02-14 14:04 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-02-14 12:06 . 2008-02-19 11:50 49,664 --ahs---- C:\WINDOWS\Thumbs.db
2008-02-13 18:33 . 2001-08-17 13:48 12,160 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-02-13 18:33 . 2001-08-17 13:48 12,160 --a------ C:\WINDOWS\system32\dllcache\mouhid.sys
2008-02-13 18:33 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-02-13 18:33 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\dllcache\hidusb.sys
2008-02-13 15:32 . 2008-02-13 15:32 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-02-13 13:42 . 2004-01-09 01:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-02-13 13:41 . 2008-02-13 13:41 <DIR> d-------- C:\Documents and Settings\acer\Application Data\U3
2008-02-13 13:33 . 2008-02-13 13:33 <DIR> d-------- C:\Program Files\Alwil Software
2008-02-13 13:33 . 2003-03-18 12:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-02-13 13:32 . 2006-10-05 20:09 155,648 -ra------ C:\WINDOWS\system32\igfxres.dll
2008-02-13 13:27 . 2004-08-04 04:00 10,096,640 --a------ C:\WINDOWS\system32\dllcache\hwxcht.dll
2008-02-13 13:26 . 2004-08-04 04:00 13,463,552 --a------ C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-01-31 23:13 . 2008-01-31 23:13 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-01-31 23:13 . 2008-01-31 23:13 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-11 05:53 44,544 ------w C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-12-19 23:01 347,136 ------w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\dllcache\mrxdav.sys
2007-12-08 02:51 3,592,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-12-06 11:01 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-12-06 11:00 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-12-06 04:59 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-12-04 18:38 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-12-04 18:38 550,912 ----a-w C:\WINDOWS\system32\dllcache\oleaut32.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 12:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-05-08 21:38 860160]
"StormCodec_Helper"="C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" [2005-02-06 19:04 94037]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 21:00 79224]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Program Files\Ringz Studio\Storm Codec\qttask.exe" [2008-01-31 23:13 385024]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-02-04 14:18 267048]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 03:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]
--------- 2005-06-11 04:51 53248 C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 12:00 15360 C:\WINDOWS\system32\CTFMON.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
-ra------ 2006-10-05 20:13 114688 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
-ra------ 2006-10-05 20:11 98304 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-04 04:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2004-08-04 04:00 59392 C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
-ra------ 2006-10-05 20:10 94208 C:\WINDOWS\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-04 04:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-04 04:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-05-28 01:32 16132608 C:\WINDOWS\RTHDCPL.exe

R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2007-04-03 10:04]
R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2007-04-02 16:11]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe -a

.
Contents of the 'Scheduled Tasks' folder
"2008-02-14 13:17:44 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-19 19:48:38
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-02-19 19:48:57
.
2008-02-19 01:01:30 --- E O F ---

afideg · Answer

Re,
Bien
Merci
Supprime ComboFix.

Vas voir, via "poste de travail", ce que contient ce dossier C:\WINDOWS\$hf_mig$ <-- le dossier

Je ne vois rien de bien grave.

Par contre, ton Système de fichiers est en FAT32 .
Ce qui empêche certains outils d'être efficaces, notamment.
Explication http://www.infoprat.net/astuces/windows2k_xp/astuces/disquedur_002.php
Il y a une façon de convertir; comme ceci:
[1°- Sauvegarde tes données (sur un CD ou une disquette) parce qu'on peut planter le système..
2°- Fais ça : Menu Démarrer / executer et tape : cmd
- dans la nouvelle fenêtre faire un copier/coller de: convert c: /fs:ntfs
- valide par Entrée, laisse-toi guider, ça va te demander une confirmation et te dire qu'il faut redémarrer l'ordinateur.
3°- Redémarre, il va travailler.] ==> Ce n'est pas vital. Mais je le recommande.

A)- Accepte de faire ce ScanOnline chez Bitdefender :
< http://www.bitdefender.fr/bd/site/page.php > ou < https://www.bitdefender.fr/ >
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)

Tuto Morgane < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm >

* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
Accepter et installer le contrôle des ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.

(sauvegarder le rapport au format TEXTE svp. merci)
Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.

B)- Il faudra songer à remplacer Avast par Antivir; comme ceci:
1)- Télécharger ANTIVIR sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp: < https://www.avira.com/en/free-antivirus-windows >
et qui prend en compte la case Rootkit.
- En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] (cocher la case « mode expert »).

TUTORIELS :
< https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement.
- ou < http://www.malekal.com/tutorial_antivir.html >
- ou < http://www.libellules.ch/tuto_antivir.php >

2)- Désinstaller AVAST: <
https://www.avast.com/fr-fr/uninstall-utility >

3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.

- Attention :
Sers-toi du tutoriel pour installer ANTIVIR,

4)- Procédure d'utilisation:

a- Après l'installation du programme et avant de lancer l'analyse, ...
...il faut redémarrer le PC en mode sans échec, comme ceci:
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

b- L'analyse:
- Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir »
- Cliquer sur l’onglet « scanner »
- Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés (si tu as une clé USB, branche-la), puis cliquer sur la loupe (en dessous de statut)
- Une fenêtre va s’ouvrir « Luke Filewalker »
- Le scan va démarrer.
- Mettre tout ce qu il trouve en "quarantine"

c- Le rapport:
Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître.

d- Redémarrer en mode normal, puis poster le rapport d'Antivir (qui est sur le bureau).

Merci
Bonne chance
Al.

C:\\Windows\SoftwareDistribution\Download\...

11 réponses

Votre réponse

Newsletters