C:\\Windows\SoftwareDistribution\Download\...

MilkShark21 -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai achete un nouvel ordi portable Acer en Chine.
J'utilise Avast 4.7 Home Edition et apres le scan, il me dit "Unable to scan: CAB archive is corrupted" pour une vingtaine de fichiers.
Ces fichiers commecent tous par C:\\Windows\SoftwareDistribution\Download\...

Est-ce que c'est grave?

Merci d'avance de votre reponse ;)
Configuration: Windows XP
Internet Explorer 7.0

11 réponses

  1. maroctech Messages postés 118 Statut Membre 17
     
    Bjr,
    Dites moi comment s'appel l'un de ces fichiers ?
    0
  2. MilkShark21
     
    Bonjour et merci,

    Un des fichier se nomme par exemple :
    C:\\Windows\SoftwareDistribution\Download\7bc06e4d3faa82a56905e53d1292cfce7b54c853\dsetup_dll

    Je peux selectionner Delete, Move ou Chest.
    Vu que j'y connais rien, je prefere attendre avant de faire n'importe quoi!
    L'ordi n'a pas de probleme en soi actuellement, peut-etre devrais-je ne rien faire?

    Pour info, je sais pas si c'est lie, mais ma copie de Microsoft Office n'est pas originale (comme partout ici!).
    Et j'ai telecharge, installe puis desinstalle TVAnts et SopCast...
    Sinon un Hijackthis est-il utile?

    Merci!
    0
  3. maroctech Messages postés 118 Statut Membre 17
     
    non je préfer que tu laisse le truc tranquile, déja puisque se sont des fichiers CAB ca fair rien. mais si ça te prend de l'espace tu peut vider le dossier sans rien a craindre.
    0
  4. MilkShark21
     
    Le dossier Download fait la bagatelle de 700MB!

    Pour info dans les fichiers a problemes detectes, y a aussi des _exe, _dll, _css, _cab et .xml...

    Donc, dans Avast, je selectionne Delete pour chacun de ces fichiers?
    Ou bien je vais carrement dans le fichier C:\\Windows\SoftwareDistribution\Download et j'efface tout ce qu'il contient?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour MilkShark21

    Peux-tu faire cette analyse, SVP:

    A)- Clique sur < http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe >
    et enregistre-le sur ton bureau.
    Ensuite double clique sur l’icône "Navilog1.exe " pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.

    (Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1).

    Laisse-toi guider.
    Au menu principal, choisis 1 et valide.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
    Copie-colle l'intégralité dans une réponse
    . Referme le bloc-notes.

    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

    B)- Télécharge lopxpMH2 http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton bureau.Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat. Poste le contenu du rapport qui va s'ouvrir.

    Merci
    Al.
    0
  7. MilkShark21
     
    Bonjour afideg,
    Voici le rapport de Navilog1.exe :

    Search Navipromo version 3.4.5 commencé le 19/02/2008 à 18:00:06.64

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 11.02.2008 à 20h00 par IL-MAFIOSO

    Microsoft Windows XP [Version 5.1.2600]
    Internet Explorer : 7.0.5730.13
    Système de fichiers : FAT32

    Executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

    *** Recherche dossiers dans "C:\Documents and Settings\acer\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\acer\locals~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\acer\STARTM~1\Programs" ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\STARTM~1\PROGRAMS ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun Fichier trouvé

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans C:\WINDOWS\system32 *

    * Recherche dans "C:\Documents and Settings\acer\locals~1\applic~1" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans C:\WINDOWS\system32 :

    * Dans "C:\Documents and Settings\acer\locals~1\applic~1" :

    3)Recherche Certificats :

    Certificat Egroup absent !

    4)Recherche fichiers connus :

    *** Analyse terminée le 19/02/2008 à 18:00:52.68 ***
    0
  8. MilkShark21
     
    Et voici le rapport lopxpMH2 :

    Rapport lopxpMH2 version 2.0 fait à 18:05:46.37 le 19/02/2008
    C:\Documents and Settings\acer\Desktop\lopxpMH2

    ******************************************
    ## Répertoires Application Data

    Volume in drive C has no label.
    Volume Serial Number is FA92-00D1

    Directory of C:\Documents and Settings\Default User\Application Data

    13/09/2007 21:16 <DIR> .
    13/09/2007 21:16 <DIR> ..
    13/09/2007 21:16 <DIR> Microsoft
    13/09/2007 21:16 62 desktop.ini
    1 File(s) 62 bytes
    3 Dir(s) 12,318,883,840 bytes free
    Volume in drive C has no label.
    Volume Serial Number is FA92-00D1

    Directory of C:\Documents and Settings\Default User\Local Settings\Application Data

    13/09/2007 21:16 <DIR> .
    13/09/2007 21:16 <DIR> ..
    13/09/2007 21:23 <DIR> Microsoft
    0 File(s) 0 bytes
    3 Dir(s) 12,318,883,840 bytes free
    Volume in drive C has no label.
    Volume Serial Number is FA92-00D1

    Directory of C:\Documents and Settings\All Users\Application Data

    13/09/2007 21:16 <DIR> .
    13/09/2007 21:16 <DIR> ..
    14/02/2008 17:16 <DIR> Adobe
    14/02/2008 21:17 <DIR> Apple
    14/02/2008 21:28 <DIR> Apple Computer
    13/09/2007 21:16 <DIR> Microsoft
    13/09/2007 21:49 <DIR> Thunder Network
    13/09/2007 21:49 <DIR> thunder_vod_cache
    16/02/2008 21:53 <DIR> Windows Genuine Advantage
    16/02/2008 20:27 <DIR> WLInstaller
    13/09/2007 21:16 62 desktop.ini
    1 File(s) 62 bytes
    10 Dir(s) 12,318,883,840 bytes free
    Volume in drive C has no label.
    Volume Serial Number is FA92-00D1

    Directory of C:\Documents and Settings\NetworkService\Application Data

    13/09/2007 21:30 <DIR> .
    13/09/2007 21:30 <DIR> ..
    13/09/2007 21:30 <DIR> Microsoft
    0 File(s) 0 bytes
    3 Dir(s) 12,318,883,840 bytes free
    Volume in drive C has no label.
    Volume Serial Number is FA92-00D1

    Directory of C:\Documents and Settings\NetworkService\Local Settings\Application Data

    13/09/2007 21:30 <DIR> .
    13/09/2007 21:30 <DIR> ..
    13/09/2007 21:30 <DIR> Microsoft
    0 File(s) 0 bytes
    3 Dir(s) 12,318,883,840 bytes free
    Volume in drive C has no label.
    Volume Serial Number is FA92-00D1

    Directory of C:\Documents and Settings\LocalService\Application Data

    13/09/2007 21:30 <DIR> .
    13/09/2007 21:30 <DIR> ..
    13/09/2007 21:30 <DIR> Microsoft
    0 File(s) 0 bytes
    3 Dir(s) 12,318,883,840 bytes free
    Volume in drive C has no label.
    Volume Serial Number is FA92-00D1

    Directory of C:\Documents and Settings\LocalService\Local Settings\Application Data

    13/09/2007 21:30 <DIR> .
    13/09/2007 21:30 <DIR> ..
    13/09/2007 21:30 <DIR> Microsoft
    0 File(s) 0 bytes
    3 Dir(s) 12,318,883,840 bytes free
    Volume in drive C has no label.
    Volume Serial Number is FA92-00D1

    Directory of C:\Documents and Settings\acer\Application Data

    13/09/2007 21:31 <DIR> .
    13/09/2007 21:31 <DIR> ..
    14/02/2008 17:18 <DIR> Adobe
    14/02/2008 21:20 <DIR> Apple Computer
    17/02/2008 11:05 <DIR> gtk-2.0
    13/09/2007 21:31 <DIR> Identities
    13/09/2007 21:42 <DIR> Macromedia
    16/02/2008 22:28 <DIR> Media Player Classic
    13/09/2007 21:31 <DIR> Microsoft
    17/02/2008 19:23 <DIR> Real
    13/02/2008 13:41 <DIR> U3
    13/09/2007 21:31 62 desktop.ini
    1 File(s) 62 bytes
    11 Dir(s) 12,318,883,840 bytes free
    Volume in drive C has no label.
    Volume Serial Number is FA92-00D1

    Directory of C:\Documents and Settings\acer\Local Settings\Application Data

    13/09/2007 21:31 <DIR> .
    13/09/2007 21:31 <DIR> ..
    14/02/2008 17:17 <DIR> Adobe
    14/02/2008 21:17 <DIR> Apple
    14/02/2008 21:17 <DIR> Apple Computer
    13/09/2007 21:31 <DIR> Microsoft
    16/02/2008 20:38 <DIR> PCHealth
    13/02/2008 14:06 <DIR> WMTools Downloaded Files
    13/02/2008 18:57 43,520 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    13/09/2007 21:32 85,496 GDIPFONTCACHEV1.DAT
    13/09/2007 21:55 5,890,610 IconCache.db
    3 File(s) 6,019,626 bytes
    8 Dir(s) 12,318,883,840 bytes free
    Volume in drive C has no label.
    Volume Serial Number is FA92-00D1

    Directory of C:\WINDOWS\system32\config\systemprofile\Application Data

    13/09/2007 21:29 <DIR> .
    13/09/2007 21:29 <DIR> ..
    13/09/2007 21:29 <DIR> Microsoft
    13/09/2007 21:29 62 desktop.ini
    1 File(s) 62 bytes
    3 Dir(s) 12,318,883,840 bytes free
    Volume in drive C has no label.
    Volume Serial Number is FA92-00D1

    Directory of C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

    13/09/2007 21:29 <DIR> .
    13/09/2007 21:29 <DIR> ..
    13/09/2007 21:29 <DIR> Microsoft
    0 File(s) 0 bytes
    3 Dir(s) 12,318,883,840 bytes free

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
    IIm¤M‹Îp{Ø(ïF ê <
    s €! : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e - t a s k S Y S T E M 0 Ø @
    ******************************************
    ## Répertoires de C:\Program Files

    Volume in drive C has no label.
    Volume Serial Number is FA92-00D1

    Directory of C:\Program Files

    13/09/2007 21:17 <DIR> .
    13/09/2007 21:17 <DIR> ..
    14/02/2008 17:16 <DIR> Adobe
    13/02/2008 13:33 <DIR> Alwil Software
    14/02/2008 21:17 <DIR> Apple Software Update
    14/02/2008 16:22 <DIR> Canon
    13/09/2007 21:17 <DIR> Common Files
    13/09/2007 21:21 <DIR> ComPlus Applications
    13/09/2007 21:52 <DIR> CONEXANT
    17/02/2008 11:03 <DIR> GIMP-2.0
    13/09/2007 21:34 <DIR> Intel
    13/09/2007 21:21 <DIR> Internet Explorer
    14/02/2008 21:42 <DIR> iPod
    14/02/2008 21:42 <DIR> iTunes
    13/09/2007 21:21 <DIR> Messenger
    13/09/2007 21:52 <DIR> Microsoft ActiveSync
    13/09/2007 21:24 <DIR> microsoft frontpage
    13/09/2007 21:51 <DIR> Microsoft Office
    18/02/2008 12:25 <DIR> Microsoft SQL Server Compact Edition
    13/09/2007 21:52 <DIR> Microsoft Visual Studio
    13/09/2007 21:52 <DIR> Microsoft Works
    13/09/2007 21:52 <DIR> Microsoft.NET
    13/09/2007 21:22 <DIR> Movie Maker
    13/09/2007 21:20 <DIR> MSN
    13/09/2007 21:21 <DIR> MSN Gaming Zone
    19/02/2008 17:56 <DIR> Navilog1
    13/09/2007 21:21 <DIR> NetMeeting
    13/09/2007 21:37 <DIR> O2Micro Oz128 Driver
    13/09/2007 21:21 <DIR> Online Services
    13/09/2007 21:21 <DIR> Outlook Express
    13/09/2007 21:35 <DIR> Realtek
    13/09/2007 21:54 <DIR> Ringz Studio
    13/09/2007 21:36 <DIR> Synaptics
    13/09/2007 21:48 <DIR> Thunder Network
    18/02/2008 12:13 <DIR> Windows Live
    13/09/2007 21:21 <DIR> Windows Media Player
    13/09/2007 21:20 <DIR> Windows NT
    13/09/2007 21:33 <DIR> WinRAR
    13/09/2007 21:24 <DIR> xerox
    0 File(s) 0 bytes
    39 Dir(s) 12,318,883,840 bytes free

    ******************************************
    ## Popups autorisées

    * Internet Explorer

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

    * Mozilla Firefox (1 autorisé 2 interdit)

    ******************************************
    ## Registre

    ******************************************
    ## Zones de sécurité

    * HKCU Domains (4)

    * P3P History (5)

    ******************************************
    ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

    *************** Fin du rapport ****************
    0
  9. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,
    Bien.
    Tu peux supprimer lopxpMH2 et navilog1.

    A)- Fais une analyse HijackThis comme ceci, SVP :
    a)- Avec connexion au Net en service,
    - Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < [ http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download ] > avec un installeur.
    - Sur la page, choisis « Download HijackThis Installer » http://img265.imageshack.us/img265/4575/screenshot127sd3.png
    et enregistre-le sur le bureau.
    Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau.
    b)- Installation :
    •- Se déconnecter du Net, soit en coupant la connexion de son modem (débranche-le),
    - Ça peut être un routeur et tu es relié par un câble, tu débranches le cable.
    - Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle).
    •- Clic-droit sur l’ icône « HJTInstall.exe » présente sur ton bureau et clic sur "Ouvrir" dans le menu contextuel.
    - Ensuite, clic sur « Exécuter », puis sur « Install ».

    - Accepte la licence en cliquant sur le bouton "I Accept"
    - Le programme s’installe de lui-même dans un dossier dédié.
    - Par défaut, il s'installera en C:\Program Files\Trend Micro\HijackThis
    - Et un raccourci pour lancer l’analyse apparaît sur le bureau.
    •- Reconnecte ton modem.
    •- Arrête puis Redémarre ton PC impérativement.
    c)- Utilise ces Tutoriels </gras>: < [ http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ] >
    < https://bibou0007.forumpro.fr/t108-tutorial-de-hijackthis-v2-0-2 > pour l'analyse.
    d)- Rapport:
    - À la fin du scan le bloc-notes va s'ouvrir sur le bureau
    - Tu fais un copier/coller de tout son contenu.
    - Et tu le postes sur le forum
    .
    - (Il sera enregistré dans le dossier C:\Program Files\Trend Micro\HijackThis, sous hijackthis.log).

    B)- Télécharge ComboFix à partir d'un de ces liens :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    https://forospyware.com
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
    Et important, enregistre-le sur le bureau.

    Avant d'utiliser ComboFix :
    ==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
    ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.
    - Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
    Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse). /!\

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
    - Un rapport s'ouvrira ensuite dans le bloc-notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    ==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.
    ==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    Merci
    Bonne chance
    Al.
    0
  10. MilkShark21
     
    Le rapport HijackThis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:42:36, on 19/02/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16608)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\imapi.exe
    C:\Program Files\iPod\bin\iPodService.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll (file missing)
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Ringz Studio\Storm Codec\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - (no file)
    O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
    0
  11. MilkShark21
     
    Et voici le rapport de ComboFix (ca ne lui a pris que 2 minutes) :

    ComboFix 08-02-19.2 - acer 2008-02-19 19:47:25.1 - [color=red][b]FAT32[/b][/color]x86
    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.691 [GMT 8:00]
    Running from: C:\Documents and Settings\acer\Desktop\ComboFix.exe
    * Created a new restore point

    [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
    .

    ((((((((((((((((((((((((( Files Created from 2008-01-19 to 2008-02-19 )))))))))))))))))))))))))))))))
    .

    2008-02-19 19:30 . 2008-02-19 19:30 <DIR> d-------- C:\Program Files\Trend Micro
    2008-02-19 17:56 . 2008-02-19 17:56 <DIR> d-------- C:\Program Files\Navilog1
    2008-02-18 12:26 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
    2008-02-18 12:25 . 2008-02-18 12:25 <DIR> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
    2008-02-18 12:13 . 2008-02-18 12:13 <DIR> d-------- C:\Program Files\Windows Live
    2008-02-17 11:05 . 2008-02-17 11:05 <DIR> d-------- C:\Documents and Settings\acer\Application Data\gtk-2.0
    2008-02-17 11:05 . 2008-02-17 11:05 <DIR> d-------- C:\Documents and Settings\acer\.thumbnails
    2008-02-17 11:03 . 2008-02-17 11:03 <DIR> d-------- C:\Program Files\GIMP-2.0
    2008-02-17 11:03 . 2008-02-17 11:03 <DIR> d-------- C:\Documents and Settings\acer\.gimp-2.4
    2008-02-16 22:28 . 2008-02-16 22:28 <DIR> d-------- C:\Documents and Settings\acer\Application Data\Media Player Classic
    2008-02-16 21:11 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
    2008-02-16 21:11 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
    2008-02-16 21:11 . 2007-07-30 19:19 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
    2008-02-16 20:27 . 2008-02-16 20:27 <DIR> d--hs---- C:\Program Files\Common Files\WindowsLiveInstaller
    2008-02-16 20:27 . 2008-02-16 20:27 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-02-15 14:40 . 2008-02-15 14:41 6,656 --ahs---- C:\WINDOWS\system32\Thumbs.db
    2008-02-14 21:42 . 2008-02-14 21:42 <DIR> d-------- C:\Program Files\iTunes
    2008-02-14 21:42 . 2008-02-14 21:42 <DIR> d-------- C:\Program Files\iPod
    2008-02-14 21:41 . 2008-02-14 21:41 <DIR> d-------- C:\Program Files\Common Files\Apple
    2008-02-14 21:28 . 2008-02-14 21:28 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
    2008-02-14 21:20 . 2008-02-14 21:20 <DIR> d-------- C:\Documents and Settings\acer\Application Data\Apple Computer
    2008-02-14 21:19 . 2008-02-19 19:41 54,156 --ah----- C:\WINDOWS\QTFont.qfn
    2008-02-14 21:19 . 2008-02-14 21:19 1,409 --a------ C:\WINDOWS\QTFont.for
    2008-02-14 21:17 . 2008-02-14 21:17 <DIR> d-------- C:\Program Files\Apple Software Update
    2008-02-14 21:17 . 2008-02-14 21:17 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple
    2008-02-14 17:16 . 2008-02-14 17:16 <DIR> d-------- C:\Program Files\Common Files\Adobe
    2008-02-14 17:04 . 2008-02-14 17:04 <DIR> d-------- C:\Documents and Settings\acer\Contacts
    2008-02-14 16:27 . 2008-02-14 16:27 0 --a------ C:\WINDOWS\OpPrintServer.INI
    2008-02-14 16:22 . 2008-02-14 16:22 <DIR> d-------- C:\Program Files\Canon
    2008-02-14 15:44 . 2007-12-07 10:21 6,066,176 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
    2008-02-14 15:44 . 2007-07-01 11:31 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat
    2008-02-14 15:44 . 2007-07-01 11:36 991,232 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
    2008-02-14 15:44 . 2007-12-07 10:21 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
    2008-02-14 15:44 . 2007-12-07 10:21 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
    2008-02-14 15:44 . 2007-12-07 10:21 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
    2008-02-14 15:44 . 2007-12-07 10:21 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll
    2008-02-14 15:44 . 2007-12-07 10:21 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
    2008-02-14 15:44 . 2007-12-06 19:00 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
    2008-02-14 15:15 . 2008-02-14 15:15 <DIR> d--hs---- C:\Documents and Settings\acer\UserData
    2008-02-14 14:48 . 2007-12-04 21:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
    2008-02-14 14:48 . 2007-12-04 20:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
    2008-02-14 14:48 . 2007-12-04 22:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
    2008-02-14 14:48 . 2007-12-04 22:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
    2008-02-14 14:48 . 2007-12-04 22:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
    2008-02-14 14:48 . 2007-12-04 22:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
    2008-02-14 14:48 . 2007-12-04 22:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
    2008-02-14 14:04 . 2008-02-14 14:04 <DIR> d--h----- C:\WINDOWS\$hf_mig$
    2008-02-14 12:06 . 2008-02-19 11:50 49,664 --ahs---- C:\WINDOWS\Thumbs.db
    2008-02-13 18:33 . 2001-08-17 13:48 12,160 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
    2008-02-13 18:33 . 2001-08-17 13:48 12,160 --a------ C:\WINDOWS\system32\dllcache\mouhid.sys
    2008-02-13 18:33 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
    2008-02-13 18:33 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\dllcache\hidusb.sys
    2008-02-13 15:32 . 2008-02-13 15:32 <DIR> d-------- C:\WINDOWS\system32\NtmsData
    2008-02-13 13:42 . 2004-01-09 01:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
    2008-02-13 13:41 . 2008-02-13 13:41 <DIR> d-------- C:\Documents and Settings\acer\Application Data\U3
    2008-02-13 13:33 . 2008-02-13 13:33 <DIR> d-------- C:\Program Files\Alwil Software
    2008-02-13 13:33 . 2003-03-18 12:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
    2008-02-13 13:32 . 2006-10-05 20:09 155,648 -ra------ C:\WINDOWS\system32\igfxres.dll
    2008-02-13 13:27 . 2004-08-04 04:00 10,096,640 --a------ C:\WINDOWS\system32\dllcache\hwxcht.dll
    2008-02-13 13:26 . 2004-08-04 04:00 13,463,552 --a------ C:\WINDOWS\system32\dllcache\hwxjpn.dll
    2008-01-31 23:13 . 2008-01-31 23:13 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
    2008-01-31 23:13 . 2008-01-31 23:13 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-01-11 05:53 44,544 ------w C:\WINDOWS\system32\dllcache\pngfilt.dll
    2007-12-19 23:01 347,136 ------w C:\WINDOWS\system32\dllcache\dxtmsft.dll
    2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\dllcache\mrxdav.sys
    2007-12-08 02:51 3,592,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
    2007-12-06 11:01 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
    2007-12-06 11:00 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
    2007-12-06 04:59 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
    2007-12-04 18:38 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
    2007-12-04 18:38 550,912 ----a-w C:\WINDOWS\system32\dllcache\oleaut32.dll
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 12:00 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-05-08 21:38 860160]
    "StormCodec_Helper"="C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" [2005-02-06 19:04 94037]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 21:00 79224]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
    "QuickTime Task"="C:\Program Files\Ringz Studio\Storm Codec\qttask.exe" [2008-01-31 23:13 385024]
    "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-02-04 14:18 267048]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
    --a------ 2005-05-03 03:43 69632 C:\WINDOWS\Alcmtr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]
    --------- 2005-06-11 04:51 53248 C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
    --a------ 2004-08-04 12:00 15360 C:\WINDOWS\system32\CTFMON.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
    -ra------ 2006-10-05 20:13 114688 C:\WINDOWS\system32\hkcmd.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
    -ra------ 2006-10-05 20:11 98304 C:\WINDOWS\system32\igfxtray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
    --a------ 2004-08-04 04:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
    --a------ 2004-08-04 04:00 59392 C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
    -ra------ 2006-10-05 20:10 94208 C:\WINDOWS\system32\igfxpers.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
    --a------ 2004-08-04 04:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
    --a------ 2004-08-04 04:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
    --a------ 2007-05-28 01:32 16132608 C:\WINDOWS\RTHDCPL.exe

    R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2007-04-03 10:04]
    R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2007-04-02 16:11]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
    \Shell\AutoRun\command - G:\LaunchU3.exe -a

    .
    Contents of the 'Scheduled Tasks' folder
    "2008-02-14 13:17:44 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-19 19:48:38
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2008-02-19 19:48:57
    .
    2008-02-19 01:01:30 --- E O F ---
    0
  12. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,
    Bien
    Merci
    Supprime ComboFix.

    Vas voir, via "poste de travail", ce que contient ce dossier C:\WINDOWS\$hf_mig$ <-- le dossier

    Je ne vois rien de bien grave.

    Par contre, ton Système de fichiers est en FAT32 .
    Ce qui empêche certains outils d'être efficaces, notamment.
    Explication http://www.infoprat.net/astuces/windows2k_xp/astuces/disquedur_002.php
    Il y a une façon de convertir; comme ceci:
    [1°- Sauvegarde tes données (sur un CD ou une disquette) parce qu'on peut planter le système..
    2°- Fais ça : Menu Démarrer / executer et tape : cmd
    - dans la nouvelle fenêtre faire un copier/coller de: convert c: /fs:ntfs
    - valide par Entrée, laisse-toi guider, ça va te demander une confirmation et te dire qu'il faut redémarrer l'ordinateur.
    3°- Redémarre, il va travailler.
    ] ==> Ce n'est pas vital. Mais je le recommande.

    A)- Accepte de faire ce ScanOnline chez Bitdefender :
    < http://www.bitdefender.fr/bd/site/page.php > ou < https://www.bitdefender.fr/ >
    ( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)

    Tuto Morgane < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm >

    * En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
    * Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
    Accepter et installer le contrôle des ActivesX
    * La fenêtre change encore, clique sur "Click here to scan"
    * Les signatures se chargent, etc.

    (sauvegarder le rapport au format TEXTE svp. merci)
    Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.

    B)- Il faudra songer à remplacer Avast par Antivir; comme ceci:
    1)- Télécharger ANTIVIR sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp: < https://www.avira.com/en/free-antivirus-windows >
    et qui prend en compte la case Rootkit.
    - En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] (cocher la case « mode expert »).

    TUTORIELS :
    < https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement.
    - ou < http://www.malekal.com/tutorial_antivir.html >
    - ou < http://www.libellules.ch/tuto_antivir.php >

    2)- Désinstaller AVAST: <
    https://www.avast.com/fr-fr/uninstall-utility >

    3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.

    - Attention :
    Sers-toi du tutoriel pour installer ANTIVIR,

    4)- Procédure d'utilisation:

    a- Après l'installation du programme et avant de lancer l'analyse, ...
    ...il faut redémarrer le PC en mode sans échec, comme ceci:
    < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

    b- L'analyse:
    - Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir »
    - Cliquer sur l’onglet « scanner »
    - Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés (si tu as une clé USB, branche-la), puis cliquer sur la loupe (en dessous de statut)
    - Une fenêtre va s’ouvrir « Luke Filewalker »
    - Le scan va démarrer.
    - Mettre tout ce qu il trouve en "quarantine"

    c- Le rapport:
    Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître.

    d- Redémarrer en mode normal, puis poster le rapport d'Antivir (qui est sur le bureau).

    Merci
    Bonne chance
    Al.

    0