Idem post Exe n'est pas une application Win32

Résolu/Fermé
zinuf Messages postés 66 Date d'inscription lundi 3 mars 2008 Statut Membre Dernière intervention 19 novembre 2014 - 3 mars 2008 à 22:48
zinuf Messages postés 66 Date d'inscription lundi 3 mars 2008 Statut Membre Dernière intervention 19 novembre 2014 - 16 mars 2008 à 14:54
Bonjour,

Désolé, je vais être très bref car je perd ma connexion au bout de 3 minutes.

Même symptomes que le post auquel je fait réference dans le titre...

Je ne sait plus trop quoi faire...


Désolé, je risque de répondre avec du délai étant donné les contraintes du redémarrage et les contraintes horaires du travail...

Un grand merci d'avance pour votre aide.

CI joint le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:21, on 2008-03-03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Fichiers communs\Seagate\Schedule2\schedhlp.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\BenQ\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {040BB3D2-4DF9-45C5-9B12-859749ED9BFe} - (no file)
O2 - BHO: (no name) - {534E9143-D5B7-4786-88C0-541770C18208} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Seagate\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\BenQ\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: fccywwt - fccywwt.dll (file missing)
O20 - Winlogon Notify: pmkhe - C:\WINDOWS\system32\pmkhe.dll (file missing)
O20 - Winlogon Notify: winrzf32 - winrzf32.dll (file missing)
O23 - Service: 29ADB593 - Unknown owner - C:\WINDOWS\system32\29ADB593.exe (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A voir également:

98 réponses

afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
5 mars 2008 à 22:14
Re

Supprime ta version actuelle de ComboFix.

Essaie de le lancer en "Mode sans echec avec prise en charge réseau" (donc tu redémarres le PC, clic à répétition sur F8, et choisir "Mode sans echec avec prise en charge réseau")


Ensuite, (même si tu dois te contenter du Mode de Démarrage Normal) tu lances ComboFIx comme ceci:
( CF tente maintenant de réparer les clés SafeBoot corrompues)

Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
Puis choisis "Enregistrer sous .." ==> vers le 'bureau" ==> Attention : renomme-le sous le nom Antibagle (très important). Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard.
Puis clic sur [Enregistrer]
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.

Tu copies et colles ce rapport sur le forum


Merci
Je retiens ceci de ton discours : « Je pense à un résidu de logiciel de FBN <color=red>lorsque je bricole le hardware chez moi</color>.

Al.

0
zinuf Messages postés 66 Date d'inscription lundi 3 mars 2008 Statut Membre Dernière intervention 19 novembre 2014
5 mars 2008 à 22:48
qu'est-ce qui vous choque dans "bricoler le hardware"?

J'adore démonter des vieilles bécannes pour en remonter de meilleurs à mes amis et je fait évoluer moi même mes bécannes (ma principale, donc celle-ci, est très stable depuis 3 ans, hormis une autre infection chopée il y a 1 an et désinfecté très rapidement), et en ce sens, je fait parfois des FBN sur les DD douteux. J'ai des compétences en hard, je les mets à dispo! par contre, en soft, c'est déja beaucoup plus light, surtout en cas de virus, c'est pourquoi j'ai besoin de vous.

Je retente de démarrer en MSE avec réseau, rien n’y fait, il reboot et reboot…quelque soit la selection que je fait au 2eme écran ou l’on retrouve windows XP professional ou windows XP sans échec (suite modif boot.ini), suite premier écran (touche F8).

J'ai donc téléchargé malgré tout la nouvelle version combofix, et fait tourner en mode normal. Même blocage mais en fouinant un peu, j'ai trouvé un rapport cette fois, que voici:

ComboFix 08-03-05.1 - Nicolas 2008-03-05 22:39:06.6 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.712 [GMT 1:00]
Endroit: C:\Documents and Settings\Nicolas\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mcrh.tmp

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA
-------\srosa










((((((((((((((((((((((((((((( Fichiers créés 2008-02-05 to 2008-03-05 ))))))))))))))))))))))))))))))))))))
.

2008-03-05 22:07 . 2008-03-05 22:26 3,374,149 --a------ C:\WINDOWS\{00000000-00000000-0000000A-00001102-00000002-80641102}.BAK
2008-03-04 19:26 . 2008-03-04 19:26 <REP> d-------- C:\_OTMoveIt
2008-03-03 22:20 . 2008-03-03 22:20 <REP> d-------- C:\Program Files\Trend Micro
2008-03-03 20:30 . 2008-03-03 20:32 <REP> d-------- C:\Program Files\RegCleaner
2008-03-03 20:16 . 2008-03-03 23:39 <REP> d-------- C:\Muestras
2008-03-03 20:13 . 2008-03-03 20:13 <REP> d-------- C:\Program Files\Panda Security
2008-03-03 20:06 . 2008-03-03 20:08 <REP> d-------- C:\Documents and Settings\Nicolas\.housecall6.6
2008-03-03 19:26 . 2008-03-03 23:53 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2008-03-03 19:26 . 2008-03-03 19:43 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-03-03 19:26 . 2008-03-03 19:43 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-03-03 19:26 . 2008-03-03 19:43 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-03-02 19:04 . 2008-03-02 19:04 <REP> d-------- C:\WINDOWS\system32\drivers\umdf
2008-03-02 19:04 . 2006-05-09 20:00 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-03-02 17:17 . 2008-03-02 17:17 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-02-24 18:09 . 2005-10-21 02:47 30,592 --------- C:\WINDOWS\system32\drivers\rndismpx.sys
2008-02-24 18:09 . 2005-10-21 02:47 12,800 --------- C:\WINDOWS\system32\drivers\usb8023x.sys
2008-02-24 18:08 . 2008-03-03 18:51 <REP> d-------- C:\Program Files\Microsoft ActiveSync
2008-02-19 20:20 . 2008-02-20 14:12 994 --a------ C:\WINDOWS\psmplay.ini
2008-02-19 20:17 . 2008-02-20 14:12 <REP> d-------- C:\Program Files\PSM5

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-05 21:17 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-03-05 19:40 --------- d-----w C:\Program Files\Java
2008-03-03 22:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-03-02 20:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-25 18:36 3,238,400 ----a-w C:\WINDOWS\Internet Logs\xDB1F.tmp
2008-02-25 18:36 2,137,088 ----a-w C:\WINDOWS\Internet Logs\xDB20.tmp
2008-01-22 18:24 7,621,652 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-01-22 18:23 3,432,960 ----a-w C:\WINDOWS\Internet Logs\xDB1D.tmp
2008-01-22 18:23 2,113,024 ----a-w C:\WINDOWS\Internet Logs\xDB1E.tmp
2007-12-30 14:02 3,438,592 ----a-w C:\WINDOWS\Internet Logs\xDB1B.tmp
2007-12-30 14:02 2,101,760 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp
2007-12-09 18:30 2,952,192 ----a-w C:\WINDOWS\Internet Logs\xDB19.tmp
2007-12-09 18:30 2,088,448 ----a-w C:\WINDOWS\Internet Logs\xDB1A.tmp
2007-12-08 14:01 4,003,840 ----a-w C:\WINDOWS\Internet Logs\xDB17.tmp
2007-12-08 14:01 2,064,384 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp
2007-11-07 17:55 3,268,608 ----a-w C:\WINDOWS\Internet Logs\xDB15.tmp
2007-11-07 17:55 2,053,120 ----a-w C:\WINDOWS\Internet Logs\xDB16.tmp
2007-10-24 18:55 3,465,728 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2007-10-16 21:20 3,116,544 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2007-09-16 10:50 3,429,376 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2007-09-16 10:50 2,023,936 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2007-09-15 13:50 3,372,544 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2007-09-02 15:25 3,633,664 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2007-09-02 15:25 1,988,096 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2007-08-12 19:01 3,057,664 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2007-07-14 14:45 30,552,064 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2007-06-02 16:16 2,756,096 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2007-06-02 16:16 1,924,608 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2007-05-29 22:02 2,997,760 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2007-05-29 22:02 1,926,144 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2007-05-28 09:40 2,980,352 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2007-05-21 20:26 1,489,408 -c--a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2007-05-21 20:25 2,941,952 -c--a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2007-04-28 12:53 3,414,016 -c--a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-04-28 12:53 1,477,632 -c--a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2007-03-25 16:24 3,184,640 -c--a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-03-23 09:57 3,484,672 -c--a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2007-05-31 18:05 658,103 --sh--w C:\WINDOWS\system32\ehkmp.bak1
2007-06-03 18:11 700,664 --sh--w C:\WINDOWS\system32\ehkmp.bak2
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [2007-01-19 12:49 4670968]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 01:07 1667584]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 14:07 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-02-18 16:41 185896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 17:28 49152]
"EPSON Stylus DX4800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.exe" [2005-02-02 05:00 98304]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 17:56 24576 C:\WINDOWS\system32\CTHELPER.EXE]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00 90112]
"Jet Detection"="C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 01:00 28672]
"Acronis Scheduler2 Service"="C:\Program Files\Fichiers communs\Seagate\Schedule2\schedhlp.exe" [2007-04-19 20:29 149024]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-03 22:08 249896]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 22:08 919280]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 05:19:24 237568]
InterVideo WinCinema Manager.lnk - C:\Program Files\BenQ\Common\Bin\WinCinemaMgr.exe [2007-02-18 17:18:38 184320]
Microsoft Windows XP [version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.



J’ai la tête comme une pastèque pour ce soir et déprimé de passer mes soirées depuis le début de la semaine à tenter de le remettre en état…merci d’être toujours là pour moi.

Si vous avez d’autres idées ou si le rapport vous parle, je réalise demain à midi si possible mais surtout demain soir.

Bonne nuit

Nicolas
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
5 mars 2008 à 22:53
SVP Nicolas,
Essaie de faire la même chose en mode normal avec ComboFix renommé; comme je l'ai édité dans le post précédent.
Merci
Al.
0
zinuf Messages postés 66 Date d'inscription lundi 3 mars 2008 Statut Membre Dernière intervention 19 novembre 2014
6 mars 2008 à 12:14
Bonjour Al,

Le précédent rapport est déja un rapport effectué en mode normal puisque le mode sans échec ne fonctionne toujours pas...
En revanche, j'avais oublié hiers soir de le renomer en antibagle, je l'ai donc téléchargé à nouveau, renomé et exécuté (au passage, à aucun moment il me demande de taper 1 puis enter durant l'exécution).

Ci joint le rapport:

ComboFix 08-03-05.3 - Nicolas 2008-03-06 12:04:24.7 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.752 [GMT 1:00]
Endroit: C:\Documents and Settings\Nicolas\Bureau\Antibagle.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mcrh.tmp

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA
-------\srosa












((((((((((((((((((((((((((((( Fichiers créés 2008-02-06 to 2008-03-06 ))))))))))))))))))))))))))))))))))))
.

2008-03-05 22:39 . 2008-03-05 22:40 <REP> d-------- C:\ComboFix
2008-03-05 22:07 . 2008-03-06 11:57 3,374,149 --a------ C:\WINDOWS\{00000000-00000000-0000000A-00001102-00000002-80641102}.BAK
2008-03-04 19:26 . 2008-03-04 19:26 <REP> d-------- C:\_OTMoveIt
2008-03-03 22:20 . 2008-03-03 22:20 <REP> d-------- C:\Program Files\Trend Micro
2008-03-03 20:30 . 2008-03-03 20:32 <REP> d-------- C:\Program Files\RegCleaner
2008-03-03 20:16 . 2008-03-03 23:39 <REP> d-------- C:\Muestras
2008-03-03 20:13 . 2008-03-03 20:13 <REP> d-------- C:\Program Files\Panda Security
2008-03-03 20:06 . 2008-03-03 20:08 <REP> d-------- C:\Documents and Settings\Nicolas\.housecall6.6
2008-03-03 19:26 . 2008-03-03 23:53 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2008-03-03 19:26 . 2008-03-03 19:43 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-03-03 19:26 . 2008-03-03 19:43 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-03-03 19:26 . 2008-03-03 19:43 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-03-02 19:04 . 2008-03-02 19:04 <REP> d-------- C:\WINDOWS\system32\drivers\umdf
2008-03-02 19:04 . 2006-05-09 20:00 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-03-02 17:17 . 2008-03-02 17:17 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-02-24 18:09 . 2005-10-21 02:47 30,592 --------- C:\WINDOWS\system32\drivers\rndismpx.sys
2008-02-24 18:09 . 2005-10-21 02:47 12,800 --------- C:\WINDOWS\system32\drivers\usb8023x.sys
2008-02-24 18:08 . 2008-03-03 18:51 <REP> d-------- C:\Program Files\Microsoft ActiveSync
2008-02-19 20:20 . 2008-02-20 14:12 994 --a------ C:\WINDOWS\psmplay.ini
2008-02-19 20:17 . 2008-02-20 14:12 <REP> d-------- C:\Program Files\PSM5

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-05 21:17 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-03-05 19:40 --------- d-----w C:\Program Files\Java
2008-03-03 22:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-03-02 20:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-25 18:36 3,238,400 ----a-w C:\WINDOWS\Internet Logs\xDB1F.tmp
2008-02-25 18:36 2,137,088 ----a-w C:\WINDOWS\Internet Logs\xDB20.tmp
2008-01-22 18:24 7,621,652 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-01-22 18:23 3,432,960 ----a-w C:\WINDOWS\Internet Logs\xDB1D.tmp
2008-01-22 18:23 2,113,024 ----a-w C:\WINDOWS\Internet Logs\xDB1E.tmp
2007-12-30 14:02 3,438,592 ----a-w C:\WINDOWS\Internet Logs\xDB1B.tmp
2007-12-30 14:02 2,101,760 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp
2007-12-09 18:30 2,952,192 ----a-w C:\WINDOWS\Internet Logs\xDB19.tmp
2007-12-09 18:30 2,088,448 ----a-w C:\WINDOWS\Internet Logs\xDB1A.tmp
2007-12-08 14:01 4,003,840 ----a-w C:\WINDOWS\Internet Logs\xDB17.tmp
2007-12-08 14:01 2,064,384 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp
2007-11-07 17:55 3,268,608 ----a-w C:\WINDOWS\Internet Logs\xDB15.tmp
2007-11-07 17:55 2,053,120 ----a-w C:\WINDOWS\Internet Logs\xDB16.tmp
2007-10-24 18:55 3,465,728 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2007-10-16 21:20 3,116,544 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2007-09-16 10:50 3,429,376 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2007-09-16 10:50 2,023,936 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2007-09-15 13:50 3,372,544 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2007-09-02 15:25 3,633,664 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2007-09-02 15:25 1,988,096 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2007-08-12 19:01 3,057,664 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2007-07-14 14:45 30,552,064 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2007-06-02 16:16 2,756,096 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2007-06-02 16:16 1,924,608 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2007-05-29 22:02 2,997,760 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2007-05-29 22:02 1,926,144 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2007-05-28 09:40 2,980,352 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2007-05-21 20:26 1,489,408 -c--a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2007-05-21 20:25 2,941,952 -c--a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2007-04-28 12:53 3,414,016 -c--a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-04-28 12:53 1,477,632 -c--a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2007-03-25 16:24 3,184,640 -c--a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-03-23 09:57 3,484,672 -c--a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2007-05-31 18:05 658,103 --sh--w C:\WINDOWS\system32\ehkmp.bak1
2007-06-03 18:11 700,664 --sh--w C:\WINDOWS\system32\ehkmp.bak2
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [2007-01-19 12:49 4670968]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 01:07 1667584]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 14:07 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-02-18 16:41 185896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 17:28 49152]
"EPSON Stylus DX4800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.exe" [2005-02-02 05:00 98304]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 17:56 24576 C:\WINDOWS\system32\CTHELPER.EXE]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00 90112]
"Jet Detection"="C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 01:00 28672]
"Acronis Scheduler2 Service"="C:\Program Files\Fichiers communs\Seagate\Schedule2\schedhlp.exe" [2007-04-19 20:29 149024]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-03 22:08 249896]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 22:08 919280]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 05:19:24 237568]
InterVideo WinCinema Manager.lnk - C:\Program Files\BenQ\Common\Bin\WinCinemaMgr.exe [2007-02-18 17:18:38 184320]
Microsoft Windows XP [version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

Nicolas
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
6 mars 2008 à 12:25
Bonjour Nicolas
C'est parfait, merci.
C'est quoi ce truc C:\Documents and Settings\Nicolas\.housecall6.6 ?




1°- Attention : Vérifie les dates et heures à ton horloge ==> apporte correction si nécessaire (29 jours en FEVRIER 2008)

2°- À quoi te sert ceci C:\WINDOWS\Internet Logs\tvDebug.zip ?
Et où l’as-tu téléchargé ? (crack ?)

3°- Idem pour ceci : C:\WINDOWS\system32\drivers\umdf
Les pilotes qui utilisent l’UMDF sont exécutés en espace d’adressage utilisateur.
S’ils viennent à planter, ils sont tout simplement fermés et redémarrés, sans que le système s’en trouve pour autant affecté.
Quoique : lire ceci : User-Mode Driver Framework ==> https://support.microsoft.com/fr-fr/help/933607

4°- Mais n’entreprends rien des § 2° et 3° supra, pour le moment.
Il faut avancer dans la désinfection.





A)- Commence par ceci, pour cette ligne O23:
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe
Et pour exclure service inutile AcrSch2Svc , il suffit de faire ainsi:
Clic sur « Démarrer » > « Exécuter » ; ensuite, dans la lucarne de saisie, coller (recommencer pour chacune des trois commandes suivantes) :
1°- sc stop AcrSch2Svc > valider par [OK]
2°- sc config AcrSch2Svc start= disabled > valider par [OK]
3°- sc delete AcrSch2Svc > valider par [OK]




B)- Désinfection:
Sers-toi du ComboFix renommé.

1°- Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]


2°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :

File::
C:\Muestras\SROSA.SYS
C:\Muestras\HLDRRR.EXE
c:\windows\system32\mdelk.exe
C:\WINDOWS\system32\anti_troj.exe
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
C:\WINDOWS\system32\german.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
c:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\SROSA.SYS
C:\WINDOWS\{00000000-00000000-0000000A-00001102-00000002-8064110­2}.BAK
C:\WINDOWS\Internet Logs\xDB1F.tmp
C:\WINDOWS\Internet Logs\xDB20.tmp
C:\WINDOWS\Internet Logs\xDB1D.tmp
C:\WINDOWS\Internet Logs\xDB1E.tmp
C:\WINDOWS\Internet Logs\xDB1B.tmp
C:\WINDOWS\Internet Logs\xDB1C.tmp
C:\WINDOWS\Internet Logs\xDB19.tmp
C:\WINDOWS\Internet Logs\xDB1A.tmp
C:\WINDOWS\Internet Logs\xDB17.tmp
C:\WINDOWS\Internet Logs\xDB18.tmp
C:\WINDOWS\Internet Logs\xDB15.tmp
C:\WINDOWS\Internet Logs\xDB16.tmp
C:\WINDOWS\Internet Logs\xDB14.tmp
C:\WINDOWS\Internet Logs\xDB13.tmp
C:\WINDOWS\Internet Logs\xDB11.tmp
C:\WINDOWS\Internet Logs\xDB12.tmp
C:\WINDOWS\Internet Logs\xDB10.tmp
C:\WINDOWS\Internet Logs\xDBE.tmp
C:\WINDOWS\Internet Logs\xDBF.tmp
C:\WINDOWS\Internet Logs\xDBD.tmp
C:\WINDOWS\Internet Logs\xDBC.tmp
C:\WINDOWS\Internet Logs\xDBA.tmp
C:\WINDOWS\Internet Logs\xDBB.tmp
C:\WINDOWS\Internet Logs\xDB8.tmp
C:\WINDOWS\Internet Logs\xDB9.tmp
C:\WINDOWS\Internet Logs\xDB5.tmp
C:\WINDOWS\Internet Logs\xDB7.tmp
C:\WINDOWS\Internet Logs\xDB6.tmp
C:\WINDOWS\Internet Logs\xDB3.tmp
C:\WINDOWS\Internet Logs\xDB4.tmp
C:\WINDOWS\Internet Logs\xDB2.tmp
C:\WINDOWS\Internet Logs\xDB1.tmp
C:\WINDOWS\system32\ehkmp.bak1
C:\WINDOWS\system32\ehkmp.bak2
C:\WINDOWS\system32\filenames.php
C:\WINDOWS\system32\mxd.jpg
C:\WINDOWS\system32\servernames.php

Folder::
C:\Muestras
C:\WINDOWS\system32\drivers\down
c:\Documents and Settings\Nicolas\Application Data\m
c:\windows\system32\mdelk.exe
C:\QooBox\Quarantine\Registry_backups
C:\Program Files\m

Driver::
drvsyskit
srosa
hldrrr
hidr

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"=-
"german.exe"=-
"mule_st_key"=-
"C:\Documents and Settings\Nicolas\Application Data\m\flec006.exe"=-
[-HKEY_CURRENT_USER\Software\FirstRRRun]
[-HKEY_CURRENT_USER\SOFTWARE\DateTime4]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]
"start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]
"start"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acronis Scheduler2 Service"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"=-
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\m_hook]
[-HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_M_HOOK]


3°- Copie le texte sélectionné (CTRL+C).
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V).
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript.txt
En english ==> Save this as ComboFix-Do.txt and change the "Save as type" to "All Files" and place it on your desktop (= bureau). Regarde ici < http://img225.imageshack.us/img225/6237/screenshot169qy8.png >

4°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript.txt ” sur le fichier “ComboFix.exe” comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif >

5°- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
NOTE : je crois qu'il n'y a plus à taper 1 ou 2, maintenant il y a une fenêtre qui s'ouvre avec des explications et des boutons OUI et NON )

Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!

(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt

7°- Arrêter puis redémarrer le PC

8°- Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

9°- Poste un nouveau rapport ComboFix.txt comme ceci :
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum.

10°- Poste un rapport d'analyse complète avec HijackThis, SVP.


Merci
Al.
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
6 mars 2008 à 15:46
Nicolas,

Pour ton info ==> Vu que je ne suis pas une hotline et de surcroît à mon bureau ! ,
je suis complètement désolé de ne pas répondre en moins de 3 minutes ... j'ai honte !

Les gens sont bénévoles, et non pas employés attitrés au service clientèle de CCM!
Ils prennent sur leur temps libre pour répondre aux inquiétudes des internautes dans le besoin.

Ce midi (au rendez-vous que tu avais fixé unilatéralement):
==> j'avais posté la procédure à suivre à 12:25:16 (?)
==> en réponse à ton rapport Combofix (renommé) poster à 12:14:25
Si vous voulez un service plus rapide, ...


Toi, où en es-tu ?
Merci
Al


PS: Que tu tripatouilles dans le Hardware, ne me choque pas. Loin de là!
Quel jugement portes-tu là sur les autres ?
Serait-ce un procès d'intention?
Non, tout simplement, quand j'écris que "je le retiens", cela signifie que je ne l'oublie pas en cas de besoin; si tu es disponible, évidemment.
Merci d'avance.
0
zinuf Messages postés 66 Date d'inscription lundi 3 mars 2008 Statut Membre Dernière intervention 19 novembre 2014
6 mars 2008 à 19:24
Al,

J'ai vraiment du mal à comprendre ce qui déclenche le fait que tu sente que je t'agresse, le post 51 est très parlant. A aucun moment je ne me suit plain de ne pas avoir de réponses assez rapide, je suis bien conscient que vous n'êtes pas payés pour ce que vous faites, je vous remerci beaucoup depuis le début et vous remercirai encore!!!

si c'est référence à la "réflexion" d'hiers sur le j'arrête la pour se soir, c'est juste que je pert le moral et me décourage un peu...

Mais bon, je ne comprend pas ce qui déclenche des tentions depuis quelques messages, j'essai juste de suivre au mieux ce que tu me dit pour essayer de ne pas te faire perdre plus de temps que tu n'en investi déja...je ne fait de procès à personne, je ne t'en veut pas le moins du monde pour quoi que ce soit, au contraire, l'avenir de mon PC tient un peu grace à toi ces derniers jours!

J'éspère avoir dissipé tout malentendu et çe sera avec plaisir que j'accèpte de filer un coup de main en retour sur la partie hardware si tu a un bleme à l'avenir.

Pour en revenir au mouton, pour housecall, je pense qu'il s'agit d'un logiciel de scan antivirus en ligne il me semble que j'ai installé au tout début quand j'ai eût le problème, avant de venir sur CCM.
Niveau date et heure, ça a l'air tout bon, qu'est-ce qui a attiré ton attention?
tvdebug.zip ne me dit absolument rien...mais j'ai téléchargé recement pas mal de petits programmes sur la mule pour un smartphone que je me suis offert (d'ailleurs, je pense que l'infection vient de ces manip, c'est à dire des fichiers que j'ai choppé avec la mule...)
le drivers umdf ne me dit rien non plus, je vais aller voir ton lien.

Bon, je vais attaquer la désinfection.

Nicolas
0
zinuf Messages postés 66 Date d'inscription lundi 3 mars 2008 Statut Membre Dernière intervention 19 novembre 2014
6 mars 2008 à 20:03
bon alors, j'ai regardé l'umdf, il y a apparement un patch par windows? (mais je doit avouer que je n'ai pas trop compris ce qu'est l'umdf mais bon...)

j'ai arrêté acrsch2svc, mais j'ai fait une boulette lors du combofix (enfin antibagle puisque renommé)...je n'ai pas saugegardé mon post avant de lancer le deuxième combofix...du coup, j'ai perdu le premier rapport...bref, j'ai repris la procédure à 0.
Ce qui me surprend, c'est que la première fois (lors de cette nouvelle manip), au 1er combofix, j'ai perdu totalement le bureau à la fin, sans pouvoir le retrouver...j'ai donc été obligé de redémarrer à la barbare en hard reset...au redémarrage, la restauration système était déja réactivée?!?! je ne comprend pas...au passage, je suis à chaque combofix obligé de le fermer manuellement mais ça n'a pas l'air de gêner le déroulement.

Donc, je vient de tout recommencer, ci joint le premier rapport (avec restauration système désactivée):

ComboFix 08-03-05.3 - Nicolas 2008-03-06 19:46:14.10 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.689 [GMT 1:00]
Endroit: C:\Documents and Settings\Nicolas\Bureau\Antibagle.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Muestras
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.09
C:\WINDOWS\Internet Logs\xDB1.tmp
C:\WINDOWS\Internet Logs\xDB10.tmp
C:\WINDOWS\Internet Logs\xDB11.tmp
C:\WINDOWS\Internet Logs\xDB12.tmp
C:\WINDOWS\Internet Logs\xDB13.tmp
C:\WINDOWS\Internet Logs\xDB14.tmp
C:\WINDOWS\Internet Logs\xDB15.tmp
C:\WINDOWS\Internet Logs\xDB16.tmp
C:\WINDOWS\Internet Logs\xDB17.tmp
C:\WINDOWS\Internet Logs\xDB18.tmp
C:\WINDOWS\Internet Logs\xDB19.tmp
C:\WINDOWS\Internet Logs\xDB1A.tmp
C:\WINDOWS\Internet Logs\xDB1B.tmp
C:\WINDOWS\Internet Logs\xDB1C.tmp
C:\WINDOWS\Internet Logs\xDB1D.tmp
C:\WINDOWS\Internet Logs\xDB1E.tmp
C:\WINDOWS\Internet Logs\xDB1F.tmp
C:\WINDOWS\Internet Logs\xDB2.tmp
C:\WINDOWS\Internet Logs\xDB20.tmp
C:\WINDOWS\Internet Logs\xDB3.tmp
C:\WINDOWS\Internet Logs\xDB4.tmp
C:\WINDOWS\Internet Logs\xDB5.tmp
C:\WINDOWS\Internet Logs\xDB6.tmp
C:\WINDOWS\Internet Logs\xDB7.tmp
C:\WINDOWS\Internet Logs\xDB8.tmp
C:\WINDOWS\Internet Logs\xDB9.tmp
C:\WINDOWS\Internet Logs\xDBA.tmp
C:\WINDOWS\Internet Logs\xDBB.tmp
C:\WINDOWS\Internet Logs\xDBC.tmp
C:\WINDOWS\Internet Logs\xDBD.tmp
C:\WINDOWS\Internet Logs\xDBE.tmp
C:\WINDOWS\Internet Logs\xDBF.tmp
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\ehkmp.bak1
C:\WINDOWS\system32\ehkmp.bak2
C:\WINDOWS\system32\mcrh.tmp

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA
-------\srosa


















((((((((((((((((((((((((((((( Fichiers créés 2008-02-06 to 2008-03-06 ))))))))))))))))))))))))))))))))))))
.

2008-03-05 22:39 . 2008-03-05 22:40 <REP> d-------- C:\ComboFix
2008-03-05 22:07 . 2008-03-06 19:35 3,374,149 --a------ C:\WINDOWS\{00000000-00000000-0000000A-00001102-00000002-80641102}.BAK
2008-03-04 19:26 . 2008-03-04 19:26 <REP> d-------- C:\_OTMoveIt
2008-03-03 22:20 . 2008-03-03 22:20 <REP> d-------- C:\Program Files\Trend Micro
2008-03-03 20:30 . 2008-03-03 20:32 <REP> d-------- C:\Program Files\RegCleaner
2008-03-03 20:13 . 2008-03-03 20:13 <REP> d-------- C:\Program Files\Panda Security
2008-03-03 20:06 . 2008-03-03 20:08 <REP> d-------- C:\Documents and Settings\Nicolas\.housecall6.6
2008-03-03 19:26 . 2008-03-03 23:53 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2008-03-03 19:26 . 2008-03-03 19:43 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-03-03 19:26 . 2008-03-03 19:43 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-03-03 19:26 . 2008-03-03 19:43 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-03-02 19:04 . 2008-03-02 19:04 <REP> d-------- C:\WINDOWS\system32\drivers\umdf
2008-03-02 19:04 . 2006-05-09 20:00 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-03-02 17:17 . 2008-03-02 17:17 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-02-24 18:09 . 2005-10-21 02:47 30,592 --------- C:\WINDOWS\system32\drivers\rndismpx.sys
2008-02-24 18:09 . 2005-10-21 02:47 12,800 --------- C:\WINDOWS\system32\drivers\usb8023x.sys
2008-02-24 18:08 . 2008-03-03 18:51 <REP> d-------- C:\Program Files\Microsoft ActiveSync
2008-02-19 20:20 . 2008-02-20 14:12 994 --a------ C:\WINDOWS\psmplay.ini
2008-02-19 20:17 . 2008-02-20 14:12 <REP> d-------- C:\Program Files\PSM5

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-06 11:22 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-03-05 19:40 --------- d-----w C:\Program Files\Java
2008-03-03 22:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-03-02 20:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-22 18:24 7,621,652 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 01:07 1667584]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 14:07 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-02-18 16:41 185896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 17:28 49152]
"EPSON Stylus DX4800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.exe" [2005-02-02 05:00 98304]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 17:56 24576 C:\WINDOWS\system32\CTHELPER.EXE]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00 90112]
"Jet Detection"="C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 01:00 28672]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-03 22:08 249896]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 22:08 919280]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 05:19:24 237568]
InterVideo WinCinema Manager.lnk - C:\Program Files\BenQ\Common\Bin\WinCinemaMgr.exe [2007-02-18 17:18:38 184320]
Microsoft Windows XP [version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

Au redémarrage, restauration système a nouveau réactivée…

Le deuxième combofix :

ComboFix 08-03-05.3 - Nicolas 2008-03-06 19:56:56.11 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.714 [GMT 1:00]
Endroit: C:\Documents and Settings\Nicolas\Bureau\Antibagle.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Muestras
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.09
C:\WINDOWS\Internet Logs\xDB1.tmp
C:\WINDOWS\Internet Logs\xDB10.tmp
C:\WINDOWS\Internet Logs\xDB11.tmp
C:\WINDOWS\Internet Logs\xDB12.tmp
C:\WINDOWS\Internet Logs\xDB13.tmp
C:\WINDOWS\Internet Logs\xDB14.tmp
C:\WINDOWS\Internet Logs\xDB15.tmp
C:\WINDOWS\Internet Logs\xDB16.tmp
C:\WINDOWS\Internet Logs\xDB17.tmp
C:\WINDOWS\Internet Logs\xDB18.tmp
C:\WINDOWS\Internet Logs\xDB19.tmp
C:\WINDOWS\Internet Logs\xDB1A.tmp
C:\WINDOWS\Internet Logs\xDB1B.tmp
C:\WINDOWS\Internet Logs\xDB1C.tmp
C:\WINDOWS\Internet Logs\xDB1D.tmp
C:\WINDOWS\Internet Logs\xDB1E.tmp
C:\WINDOWS\Internet Logs\xDB1F.tmp
C:\WINDOWS\Internet Logs\xDB2.tmp
C:\WINDOWS\Internet Logs\xDB20.tmp
C:\WINDOWS\Internet Logs\xDB3.tmp
C:\WINDOWS\Internet Logs\xDB4.tmp
C:\WINDOWS\Internet Logs\xDB5.tmp
C:\WINDOWS\Internet Logs\xDB6.tmp
C:\WINDOWS\Internet Logs\xDB7.tmp
C:\WINDOWS\Internet Logs\xDB8.tmp
C:\WINDOWS\Internet Logs\xDB9.tmp
C:\WINDOWS\Internet Logs\xDBA.tmp
C:\WINDOWS\Internet Logs\xDBB.tmp
C:\WINDOWS\Internet Logs\xDBC.tmp
C:\WINDOWS\Internet Logs\xDBD.tmp
C:\WINDOWS\Internet Logs\xDBE.tmp
C:\WINDOWS\Internet Logs\xDBF.tmp
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\ehkmp.bak1
C:\WINDOWS\system32\ehkmp.bak2
C:\WINDOWS\system32\mcrh.tmp

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA
-------\srosa




















((((((((((((((((((((((((((((( Fichiers créés 2008-02-06 to 2008-03-06 ))))))))))))))))))))))))))))))))))))
.

2008-03-05 22:39 . 2008-03-05 22:40 <REP> d-------- C:\ComboFix
2008-03-05 22:07 . 2008-03-06 19:48 3,374,149 --a------ C:\WINDOWS\{00000000-00000000-0000000A-00001102-00000002-80641102}.BAK
2008-03-04 19:26 . 2008-03-04 19:26 <REP> d-------- C:\_OTMoveIt
2008-03-03 22:20 . 2008-03-03 22:20 <REP> d-------- C:\Program Files\Trend Micro
2008-03-03 20:30 . 2008-03-03 20:32 <REP> d-------- C:\Program Files\RegCleaner
2008-03-03 20:13 . 2008-03-03 20:13 <REP> d-------- C:\Program Files\Panda Security
2008-03-03 20:06 . 2008-03-03 20:08 <REP> d-------- C:\Documents and Settings\Nicolas\.housecall6.6
2008-03-03 19:26 . 2008-03-03 23:53 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2008-03-03 19:26 . 2008-03-03 19:43 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-03-03 19:26 . 2008-03-03 19:43 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-03-03 19:26 . 2008-03-03 19:43 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-03-02 19:04 . 2008-03-02 19:04 <REP> d-------- C:\WINDOWS\system32\drivers\umdf
2008-03-02 19:04 . 2006-05-09 20:00 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-03-02 17:17 . 2008-03-02 17:17 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-02-24 18:09 . 2005-10-21 02:47 30,592 --------- C:\WINDOWS\system32\drivers\rndismpx.sys
2008-02-24 18:09 . 2005-10-21 02:47 12,800 --------- C:\WINDOWS\system32\drivers\usb8023x.sys
2008-02-24 18:08 . 2008-03-03 18:51 <REP> d-------- C:\Program Files\Microsoft ActiveSync
2008-02-19 20:20 . 2008-02-20 14:12 994 --a------ C:\WINDOWS\psmplay.ini
2008-02-19 20:17 . 2008-02-20 14:12 <REP> d-------- C:\Program Files\PSM5

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-06 11:22 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-03-05 19:40 --------- d-----w C:\Program Files\Java
2008-03-03 22:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-03-02 20:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-22 18:24 7,621,652 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 01:07 1667584]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 14:07 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-02-18 16:41 185896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 17:28 49152]
"EPSON Stylus DX4800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.exe" [2005-02-02 05:00 98304]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 17:56 24576 C:\WINDOWS\system32\CTHELPER.EXE]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00 90112]
"Jet Detection"="C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 01:00 28672]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-03 22:08 249896]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 22:08 919280]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 05:19:24 237568]
InterVideo WinCinema Manager.lnk - C:\Program Files\BenQ\Common\Bin\WinCinemaMgr.exe [2007-02-18 17:18:38 184320]
Microsoft Windows XP [version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

Et enfin, le hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:01, on 2008-03-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\BenQ\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\BenQ\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
zinuf Messages postés 66 Date d'inscription lundi 3 mars 2008 Statut Membre Dernière intervention 19 novembre 2014
6 mars 2008 à 20:21
pour info, suite à une petite recherche, le tvdebug est lié à zonealarm apparement, housecall est lié à trend (donc antivirus), je ne sait en revanche pas pour acrsch2svc…je ne voit pas de quoi il s’agit…
0
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
6 mars 2008 à 20:53
Re AL', Zinuf...

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe
Acronis Scheduler2 par contre la version qui etait installée sur le pc doit " dater ".. ils en sont a la 11 !
schedul2.exe
http://www.castlecops.com/o23list-24.html

apres avoir fouiné un peu, j'ai trouvé ceci !
https://www.zdnet.fr/telecharger/logiciel/acronis-true-image-40337766s.htm

issu de PC Hotline http://www.hotline-pc.org/services.htm

Supprimer un service obsolète :
Il arrive très souvent que même après la désinstallation d'un programme, le service correspondant soit encore mentionné dans le Gestionnaire de services. Par ailleurs, si un ou plusieurs autres services sont dépendants de celui qui normalement aurait dû être désinstallé ils ne pourront à leur tour démarrer correctement. Nous allons prendre un exemple simple. Après la désinstallation d'Acronis True Image un service nommé Acronis Scheduler2 Service est toujours mentionné. Par ailleurs, nous avons aussi le même problème après la désinstallation d'une imprimante "Brother". Cette fois-ci, ce service est mentionné : BrSplService.
1) Nous double-cliquons sur chacun des services afin d'accéder à leurs propriétés respectives.
2) En cliquant sur l'onglet Dépendance nous allons vérifier si d'autres composants système ne dépendent pas de ce service.
Dans le cas d'un service installé par le logiciel d'impression, le service nommé Spouler d'impression est indiqué comme étant dépendant. Le nom ce ce service étant "Spooler", nous retrouverons cette même information dans cette entrée du Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler\DependOnService.
3) Cliquons maintenant sur l'onglet Général puis dans la liste déroulante Type de démarrage:, sélectionnons le choix Désactivé.
Nous pouvons remarquer que le nom du service est celui-ci : AcrSch2Svc
4) Redémarrons l'ordinateur afin de vérifier que tout fonctionne normalement.
5) Ouvrons enfin le Registre Windows puis cette arborescence : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
Une sous-clé nommée AcrSch2Svc sera présente…
6) Avec le bouton droit de la souris cliquons sur cette clé puis sur la commande Supprimer.
La même opération est à recommencer pour cette autre clé : Brother XP Spl Service. Il nous reste plus maintenant qu'à modifier les paramètres du service Spouler d'impression afin qu'il ne soit plus indiqué comme dépendant du service que nous avons supprimé.
7) Ouvrons HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler.
8) Éditons une valeur de chaînes multiples nommée DependOnService.
9) Supprimons la mention Brother XP Spl Service afin de ne laisser que cette indication de service : RPCSS (Appel de procédure distante (RPC)).
Notez qu'une manière plus sûre de supprimer un service est de lancer la commande Sc. En reprenant notre exemple :
net stop "Brother XP Spl Service"
sc delete "Brother XP Spl Service"
Vous aurez ce message : "[SC] DeleteService SUCCESS".



Désolé pour le pavé...et pour l'intrusion, juste pour enlever le doute a ZINUF !

je ne sait en revanche pas pour acrsch2svc…je ne voit pas de quoi il s’agit…
0
zinuf Messages postés 66 Date d'inscription lundi 3 mars 2008 Statut Membre Dernière intervention 19 novembre 2014
6 mars 2008 à 20:57
Bonsoir jorg,

Auncun problème, je suis ravis de voir que vous êtes toujours là.

Nicolas
0
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
6 mars 2008 à 21:14
Suite au dernier Hijackthis, ça ne devrait plus etre long... ( le log me semble propre ) mais on va laisser la suite a Al'...
C'est lui qui a fait tout le boulot ;-)

@+
0
zinuf Messages postés 66 Date d'inscription lundi 3 mars 2008 Statut Membre Dernière intervention 19 novembre 2014
6 mars 2008 à 22:15
Merci jorg,

ca me remonte un peu le moral, même si le PC fonctionne toujours de manière identique...mais je veut garder espoir!

Je pense qu'al n'est pas là ce soir malheureusement...bon, tans pis, je vais passer un peu de temps avec ma femme qui me fait une scène à cause du PC...

Merci à vous deux et à demain (midi ou soir comme d'hab...).

Nicolas
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
6 mars 2008 à 22:23
Bonsoir vous deux
Désolé, problème de santé.

Il faudrait en terminer avec C:\WINDOWS\{00000000-00000000-0000000A-00001102-00000002-8064110­2}.BAK

Je ne sais plus si tu as encore _OTMoveIt sur le bureau.
Si NON:
1°- Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

2°- Désactiver la restauration système.
( Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] )

3°- Redémarrer le PC

4°- Double-cliquer sur OTMoveIt.exe pour le lancer.

-copier/coller le chemin complet du fichier que tu veux supprimer :

C:\WINDOWS\{00000000-00000000-0000000A-00001102-00000002-8064110­2}.BAK

... et colle-le dans le cadre supérieur gauche de OTMoveIt2 : "Paste standard List of Files/Folders to be moved"

5°- -clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur "Exit" pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.
Poste-le SVP, merci

6°- Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
Si c'est le cas accepte par Yes.
•- Le rapport se trouve en C:\_OTMoveIt\MovedFiles; tu ouvres le dossier et tu trouveras le rapport.

7°- Réactiver la restauration système
( Clic droit sur poste de travail puis,
propriétés, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et [appliquer]. )



Merci
Al.
0
zinuf Messages postés 66 Date d'inscription lundi 3 mars 2008 Statut Membre Dernière intervention 19 novembre 2014
7 mars 2008 à 13:00
Bonjour à vous deux,

Ci joint le rapport:

File/Folder C:\WINDOWS\{00000000-00000000-0000000A-00001102-00000002-8064110­2}.BAK not found.

OTMoveIt2 v1.0.20 log created on 03072008_125744

Ca n'a pas marché apparement...

J'ai effectué en revanche tout le reste, et pour cette fois, le système ne s'est pas restauré tout seul au redémarrage.

Nicolas

je ne comprend pas qu'il ne le trouve pas puisqu'il je le trouve dans l'explorateur de fichier?!?!
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
7 mars 2008 à 13:11
Bonjour

Fais-le analyser chez VirusTotal comme ceci:
Tutoriel ici http://bibou0007.com/tutos-f45/tutorial-sur-virustotal-t190.htm
Vas là </souligne>:< https://www.virustotal.com/gui/ >
•- sur la page qui s'affiche tu cliques sur [Parcourir]
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier {00000000-00000000-0000000A-00001102-00000002-8064110­2}.BAK
c'est-à-dire via "Poste de travail" > C:\WINDOWS\
•- quand tu as trouvé le premier fichier {00000000-00000000-0000000A-00001102-00000002-8064110­2}.BAK , tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier {00000000-00000000-0000000A-00001102-00000002-8064110­2}.BAK se retrouve alors ainsi dans la fenêtre de VirusTotal, pour l'analyse
•- là, tu cliques sur "send file" = « Envoyer » ( de la page de VirusTotal )
•- et tu attends le résultat (il faut parfois patienter)
•- Dans l'encadré: "Situation actuelle: terminé" ==> cliquer sur "Formaté"
•- Une nouvelle fenêtre de votre navigateur apparaîtra...
•- Dans la nouvelle fenêtre, cliquer sur cette image : < http://img215.imageshack.us/img215/6039/virustotalpourcopierip3.jpg >
•- Faire un clic-droit sur la page, choisir => "Sélectionner tout" > puis encore clic-droit => Copier...
Enfin , clic-droit => Coller le(s) résultat(s) dans le WordPad ou Bloc-Notes ==> et le poster sur forum ici.


Merci
Al.
0
zinuf Messages postés 66 Date d'inscription lundi 3 mars 2008 Statut Membre Dernière intervention 19 novembre 2014
7 mars 2008 à 15:41
Bonjour Al,

Si c'est une analyse en ligne qui dure plus de 5 minutes, je risque de rencontrer le même problème que d'habitude (coupure de l'internet au bout de 5 minutes environ). Je t'écrit du boulot donc je ne peut pas tester, je tente de m'en occuper ce soir, mais j'ai encore un repas de famille...belle famille italienne oblige!!! ;)

Nicolas
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
7 mars 2008 à 16:09
OK

Si tu vois que tu es en 25 ème position d'attente (queued), tu peux aller tenter plus rapide là:
- https://virusscan.jotti.org/ = Virusscan.jotti-maxi 15mb
- ou là http://scanner.virus.org/ = Virus.Org
0
zinuf Messages postés 66 Date d'inscription lundi 3 mars 2008 Statut Membre Dernière intervention 19 novembre 2014
7 mars 2008 à 19:14
Bonsoir,

Ouf, juste à temps, à 4 secondes près...

Fichier _00000000-00000000-0000000A-00001 reçu le 2008.03.07 19:02:00 (CET)Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.3.4.0 2008.03.07 -
AntiVir 7.6.0.73 2008.03.07 -
Authentium 4.93.8 2008.03.07 -
Avast 4.7.1098.0 2008.03.07 -
AVG 7.5.0.516 2008.03.07 -
BitDefender 7.2 2008.03.07 -
CAT-QuickHeal 9.50 2008.03.07 -
ClamAV 0.92.1 2008.03.07 -
DrWeb 4.44.0.09170 2008.03.07 -
eSafe 7.0.15.0 2008.03.06 -
eTrust-Vet 31.3.5595 2008.03.07 -
Ewido 4.0 2008.03.07 -
FileAdvisor 1 2008.03.07 -
Fortinet 3.14.0.0 2008.03.07 -
F-Prot 4.4.2.54 2008.03.07 -
F-Secure 6.70.13260.0 2008.03.07 -
Ikarus T3.1.1.20 2008.03.07 -
Kaspersky 7.0.0.125 2008.03.07 -
McAfee 5247 2008.03.07 -
Microsoft 1.3301 2008.03.07 -
NOD32v2 2930 2008.03.07 -
Norman 5.80.02 2008.03.07 -
Panda 9.0.0.4 2008.03.06 -
Prevx1 V2 2008.03.07 -
Rising 20.34.42.00 2008.03.07 -
Sophos 4.27.0 2008.03.07 -
Sunbelt 3.0.930.0 2008.03.05 -
Symantec 10 2008.03.07 -
TheHacker 6.2.92.236 2008.03.07 -
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.07 -
Webwasher-Gateway 6.6.2 2008.03.07 -

Information additionnelle
File size: 3374149 bytes
MD5: d00b41f5b39a8b26c168e8f383b82ee5
SHA1: f9ae6c5cc879c1d4a6042136bbfdd36179d363ff
PEiD: -

apparement, rien non plus si je ne m'abuse?
0
zinuf Messages postés 66 Date d'inscription lundi 3 mars 2008 Statut Membre Dernière intervention 19 novembre 2014
7 mars 2008 à 19:23
une confirmation sur le 3eme site:

Results from the virus scan of uploaded sample

Return to the Virus.Org Scanning Service

The following represents the test results from the virus scanners used by the Virus.Org scanning service when it performed the scan on the file '_00000000-00000000-0000000A-00001102-00000002-80641102_.BAK'.



File: _00000000-00000000-0000000A-00001102-00000002-80641102_.BAK
SHA-1 Digest: f9ae6c5cc879c1d4a6042136bbfdd36179d363ff
Size: 3374149 bytes
Detected Packer: None
Status: Potentially Clean (Confidence 100.00%)
Date Scanned: Fri Mar 07 18:16:33 +0000 2008

Scanner Scanner Version Scanner Engine Scanner Signatures Result Scan Time
A-Squared 3.0.0.126 N/A 20080307 Clean 102.76 secs
Arcavir 1.0.5 N/A 11:18 07-03-2008 Clean 15.07 secs
avast! 3.0.1 N/A 080307-0 Clean 0.07 secs
AVG Anti Virus 7.5.51 442 269.21.6/1318 Clean 21.98 secs
Avira AntiVir 2.1.11-68 7.6.0.73 7.0.3.5 Clean 21.93 secs
BitDefender 7.60825 7.16154 986104 Clean 46.11 secs
CA eTrust N/A 31.03.00 31.03.5595 Clean 1.77 secs
CAT QuickHeal 9.50 N/A 07 March, 2008 Clean 106.03 secs
ClamAV 0.91.2 N/A 6166 Clean 0.51 secs
CPSecure 1.14 1.1.0.695 07/03/2008 07:35AM Clean 93.90 secs
Dr. Web 4.44.0.10150 4.44.0.9170 316444 Clean 48.60 secs
F-PROT 4.6.8 3.16.16 4 March 2008 Clean 5.03 secs
F-PROT 6 6.2.1 4.4.1.52 200803062128 Clean 16.22 secs
F-Secure 1.10 6392 2008-03-07_03 Clean 76.64 secs
Kaspersky 5.7.13 557517 07-03-2008 Clean 87.15 secs
McAfee Virusscan 5.20.0 5.2.00 v5247 Clean 14.74 secs
Norman Virus Control 5.70.01 5.91.10 5.90 Clean 81.18 secs
Panda 9.04.03.0001 1273358 01/03/2008 Clean 15.39 secs
Sophos Sweep 4.25.0 2.53.1 4.25 Clean 34.13 secs
Trend Micro N/A 8.500-1001 146 Clean 7.22 secs
VBA32 3.12.6.2 N/A 2008.03.07 Clean 8.93 secs
VirusBuster 2005 1.3.4 4.3.23:9 9.123.3/11.0 Clean 14.05 secs

PC toujours dans le même état, mais ça me parraît normal sur le coup.
0