A voir également:
- Analyse please de mon petit HiJackThis
- Hijackthis windows 10 - Télécharger - Antivirus & Antimalwares
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Analyse performance pc - Guide
- Analyse composant pc - Guide
- Échec de l'analyse antivirus - Forum Antivirus
10 réponses
cedric241
Messages postés
3367
Date d'inscription
mardi 26 février 2008
Statut
Membre
Dernière intervention
23 avril 2008
119
5 avril 2008 à 17:51
5 avril 2008 à 17:51
supprime ces lignes :
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - Unknown owner - C:\WINDOWS\system32\bgsvcgen.exe (file missing)
pour les supprimer tu les coches ensuite tu clic sur fix checked
apres tu refais un scan et tu poste le nouveau rapport
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - Unknown owner - C:\WINDOWS\system32\bgsvcgen.exe (file missing)
pour les supprimer tu les coches ensuite tu clic sur fix checked
apres tu refais un scan et tu poste le nouveau rapport
cedric241
Messages postés
3367
Date d'inscription
mardi 26 février 2008
Statut
Membre
Dernière intervention
23 avril 2008
119
5 avril 2008 à 18:07
5 avril 2008 à 18:07
fais ça s il te plait :
Fais un scan avec cet antispyware :
Telecharge malwarebytes + tutoriel :
-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
Fais un scan avec cet antispyware :
Telecharge malwarebytes + tutoriel :
-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
cedric241
Messages postés
3367
Date d'inscription
mardi 26 février 2008
Statut
Membre
Dernière intervention
23 avril 2008
119
5 avril 2008 à 18:10
5 avril 2008 à 18:10
erreure désolé j ai mal lu tu as deja cet anti spyware
a la place fais ça :
réalable
• Vider la corbeille
• Fermer toutes les applications
================NAVILOG====================
Télécharge ceci http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Ensuite suit ce tutorial : http://mickael.barroux.free.fr/securite/navilog.php
Et enfin post le rapport du scan navilog
choisi l option 1
a la place fais ça :
réalable
• Vider la corbeille
• Fermer toutes les applications
================NAVILOG====================
Télécharge ceci http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Ensuite suit ce tutorial : http://mickael.barroux.free.fr/securite/navilog.php
Et enfin post le rapport du scan navilog
choisi l option 1
Re salut,
voici ci dessous les résultat sur navilog
Qu'en penses-tu ?
Search Navipromo version 3.5.2 commencé le 05/04/2008 à 18:32:25,43
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "utilisateur"
Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\utilisateur\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\utilisateur\menud+~1\progra~1" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
*** Analyse terminée le 05/04/2008 à 18:36:40,74 ***
voici ci dessous les résultat sur navilog
Qu'en penses-tu ?
Search Navipromo version 3.5.2 commencé le 05/04/2008 à 18:32:25,43
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "utilisateur"
Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\utilisateur\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\utilisateur\menud+~1\progra~1" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
*** Analyse terminée le 05/04/2008 à 18:36:40,74 ***
bibaume pourrais tu m'aider moi aussi pour analyser mon hijackthis sur http://www.commentcamarche.net/forum/affich 5788665 aidez moi svp g un trojan delet impossible stp
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
cedric241
Messages postés
3367
Date d'inscription
mardi 26 février 2008
Statut
Membre
Dernière intervention
23 avril 2008
119
5 avril 2008 à 19:16
5 avril 2008 à 19:16
navilog n a rien trouvé
fais ça
==================== COMBOFIX =======================
</gras>
• Imprimer ou sauvegarder avec le bloc-note cette procédure car la suite va se dérouler sans accès à Internet.
• Installer ComboFix sur le bureau
Note :
Le serveur de téléchargement peut être en surcharge et renvoyer une page d'erreur. Il faut insister.
• Renommer COMBOFIX.EXE en COMBO-FIX.EXE
------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.
• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Désactiver seulement pendant l'utilisation de ComboFix, la protection de l'antivirus et de l'antispyware ceux-ci pouvant entraver le bon fonctionnement de combofix
• Fermer toutes les applications en cours
• Double-click sur l'icône qui s'est installé sur le bureau
• Appuyer sur la touche 1 puis sur entrée:
• Laisser Combofix travailler sans se servir de la machine.
• Si ComboFix a besoin de redémarrer la machine, laisser faire sinon redémarrer en mode normal.
• Copier/Coller le rapport généré dans le bloc-note dans le prochain message
(Ce fichier est automatiquement généré et enregistré sous C:\Combofix.txt) + un rapport HiJackThis974 message(s) posté(s) depuis le mardi 26 février 2008 Hay que roderse
pour telecharger combofix clic sur ce lien:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe974
fais ça
==================== COMBOFIX =======================
</gras>
• Imprimer ou sauvegarder avec le bloc-note cette procédure car la suite va se dérouler sans accès à Internet.
• Installer ComboFix sur le bureau
Note :
Le serveur de téléchargement peut être en surcharge et renvoyer une page d'erreur. Il faut insister.
• Renommer COMBOFIX.EXE en COMBO-FIX.EXE
------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.
• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Désactiver seulement pendant l'utilisation de ComboFix, la protection de l'antivirus et de l'antispyware ceux-ci pouvant entraver le bon fonctionnement de combofix
• Fermer toutes les applications en cours
• Double-click sur l'icône qui s'est installé sur le bureau
• Appuyer sur la touche 1 puis sur entrée:
• Laisser Combofix travailler sans se servir de la machine.
• Si ComboFix a besoin de redémarrer la machine, laisser faire sinon redémarrer en mode normal.
• Copier/Coller le rapport généré dans le bloc-note dans le prochain message
(Ce fichier est automatiquement généré et enregistré sous C:\Combofix.txt) + un rapport HiJackThis974 message(s) posté(s) depuis le mardi 26 février 2008 Hay que roderse
pour telecharger combofix clic sur ce lien:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe974
Salut Cédric,
me revoilà après une longue discussion avec la voisine.
Ci dessous dans l'ordre
- rapport du combo fix (réalisé en mode sans échec)
- un rapport HiJack This (réalisé juste après le combo, mode sans échec - je ne sais pas si cela est intéressant ou pas)
- le rapport HiJack This à l'instant (ordi redémarré en mode normal).
_________________________________________________________________________________________
_________________________________________________________________________________________
ComboFix 08-04-04.1 - utilisateur 2008-04-05 19:42:56.1 - NTFSx86 MINIMAL
Endroit: C:\Documents and Settings\utilisateur\Bureau\Combo-Fix.exe
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
((((((((((((((((((((((((((((( Fichiers créés 2008-03-05 to 2008-04-05 ))))))))))))))))))))))))))))))))))))
.
2008-04-05 18:24 . 2008-04-05 18:37 <REP> d-------- C:\Program Files\Navilog1
2008-04-04 19:50 . 2008-04-04 19:50 <REP> d-------- C:\Documents and Settings\utilisateur\java_plugin_AppletStore
2008-04-02 22:36 . 2008-04-02 23:43 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-04-02 17:14 . 2008-04-02 17:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\VadeRetro
2008-03-26 16:43 . 2008-03-26 16:43 <REP> d-------- C:\Documents and Settings\utilisateur\Application Data\U3
2008-03-20 10:50 . 2008-04-02 12:30 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-03-20 10:50 . 2008-03-20 10:50 <REP> d-------- C:\Documents and Settings\utilisateur\Application Data\Malwarebytes
2008-03-20 10:50 . 2008-03-20 10:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-03-18 22:18 . 2008-03-22 16:25 <REP> d-------- C:\Program Files\Trend Micro
2008-03-18 16:27 . 2008-03-18 16:27 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-18 15:40 . 2008-04-05 19:40 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-04 17:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-04 16:59 --------- d-----w C:\Documents and Settings\utilisateur\Application Data\Skype
2008-04-02 14:56 --------- d-----w C:\Program Files\Synapse Développement
2008-04-02 10:29 --------- d-----w C:\Program Files\SpywareBlaster
2008-03-18 13:39 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2007-04-12 18:41 64,112 ----a-w C:\Documents and Settings\utilisateur\Application Data\GDIPFONTCACHEV1.DAT
2006-06-21 07:47 13,256,293 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2006_06_10_16_52_51_full.dmp.zip
2006-06-11 15:34 48,562 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2006_06_10_16_50_27_small.dmp.zip
2005-08-30 16:13 2,919,160 ----a-w C:\Program Files\WindowsMedia-Q828026-x86-FRA.exe
2005-01-19 09:58 5,212,960 ----a-w C:\Program Files\Firefox Setup 1.0.exe
2003-12-20 23:05 9,878,056 ----a-w C:\Program Files\AdbeRdr60_fra.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MCUpdateExe"="c:\PROGRA~1\mcafee.com\agent\McUpdate.exe" [2006-01-11 13:05 212992]
"MCAgentExe"="c:\PROGRA~1\mcafee.com\agent\McAgent.exe" [2005-09-22 19:29 303104]
"Vade Retro Outlook Express"="C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe" [2006-02-16 16:46 295936]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= pvmjpg21.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
C:\Program Files\Yahoo!\Messenger\ypager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\FileZilla\\FileZilla.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
S1 sdcplh;sdcplh;C:\WINDOWS\system32\drivers\sdcplh.sys [2005-10-26 15:00]
S3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);C:\WINDOWS\system32\DRIVERS\A3AB.sys [2005-03-22 04:17]
S3 b462e08c-f4b0-4611-99f1-2892a1ae53bb;b462e08c-f4b0-4611-99f1-2892a1ae53bb;E:\Player\cds300.dll []
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 19:44]
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 12:35]
S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2005-12-22 14:45]
S3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2002-10-01 18:00]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-08-17 08:43]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ee3113b1-fb42-11dc-a733-00e018068268}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{efa6a7b2-3165-11d8-9b56-806d6172696f}]
\shell\play\Command - "C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:3 /device:AudioCD "%L"
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-04 08:30:01 C:\WINDOWS\Tasks\ActiveShield.job"
- C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe3521 $clsid$:{692E988D-1057-4c57-8078-26CF7AE54263}
"2008-04-04 10:07:48 C:\WINDOWS\Tasks\Analyse McAfee.com - Mon ordinateur (NOM-0PS0JN0FGI6-utilisateur).job"
- c:\program files\mcafee.com\vso\mcmnhdlr.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-05 19:49:05
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-04-05 19:51:14
ComboFix-quarantined-files.txt 2008-04-05 17:51:03
Pre-Run: 8,695,590,912 octets libres
Post-Run: 8,681,567,744 octets libres
.
2008-03-13 13:18:56 --- E O F ---
___________________________________________________________________________________
___________________________________________________________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:55:54, on 05/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\program files\mcafee.com\agent\mcagent.exe
c:\program files\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\loupe&chaporouge\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\McAgent.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - Global Startup: ASUS Hotkey.lnk = C:\Program Files\Asus\Asus Hotkey\Hotkey.exe
O4 - Global Startup: Chrontel TV.lnk = C:\WINDOWS\system32\CH_Utility.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/tw/
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - Unknown owner - C:\WINDOWS\system32\bgsvcgen.exe (file missing)
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
me revoilà après une longue discussion avec la voisine.
Ci dessous dans l'ordre
- rapport du combo fix (réalisé en mode sans échec)
- un rapport HiJack This (réalisé juste après le combo, mode sans échec - je ne sais pas si cela est intéressant ou pas)
- le rapport HiJack This à l'instant (ordi redémarré en mode normal).
_________________________________________________________________________________________
_________________________________________________________________________________________
ComboFix 08-04-04.1 - utilisateur 2008-04-05 19:42:56.1 - NTFSx86 MINIMAL
Endroit: C:\Documents and Settings\utilisateur\Bureau\Combo-Fix.exe
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
((((((((((((((((((((((((((((( Fichiers créés 2008-03-05 to 2008-04-05 ))))))))))))))))))))))))))))))))))))
.
2008-04-05 18:24 . 2008-04-05 18:37 <REP> d-------- C:\Program Files\Navilog1
2008-04-04 19:50 . 2008-04-04 19:50 <REP> d-------- C:\Documents and Settings\utilisateur\java_plugin_AppletStore
2008-04-02 22:36 . 2008-04-02 23:43 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-04-02 17:14 . 2008-04-02 17:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\VadeRetro
2008-03-26 16:43 . 2008-03-26 16:43 <REP> d-------- C:\Documents and Settings\utilisateur\Application Data\U3
2008-03-20 10:50 . 2008-04-02 12:30 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-03-20 10:50 . 2008-03-20 10:50 <REP> d-------- C:\Documents and Settings\utilisateur\Application Data\Malwarebytes
2008-03-20 10:50 . 2008-03-20 10:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-03-18 22:18 . 2008-03-22 16:25 <REP> d-------- C:\Program Files\Trend Micro
2008-03-18 16:27 . 2008-03-18 16:27 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-18 15:40 . 2008-04-05 19:40 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-04 17:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-04 16:59 --------- d-----w C:\Documents and Settings\utilisateur\Application Data\Skype
2008-04-02 14:56 --------- d-----w C:\Program Files\Synapse Développement
2008-04-02 10:29 --------- d-----w C:\Program Files\SpywareBlaster
2008-03-18 13:39 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2007-04-12 18:41 64,112 ----a-w C:\Documents and Settings\utilisateur\Application Data\GDIPFONTCACHEV1.DAT
2006-06-21 07:47 13,256,293 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2006_06_10_16_52_51_full.dmp.zip
2006-06-11 15:34 48,562 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2006_06_10_16_50_27_small.dmp.zip
2005-08-30 16:13 2,919,160 ----a-w C:\Program Files\WindowsMedia-Q828026-x86-FRA.exe
2005-01-19 09:58 5,212,960 ----a-w C:\Program Files\Firefox Setup 1.0.exe
2003-12-20 23:05 9,878,056 ----a-w C:\Program Files\AdbeRdr60_fra.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MCUpdateExe"="c:\PROGRA~1\mcafee.com\agent\McUpdate.exe" [2006-01-11 13:05 212992]
"MCAgentExe"="c:\PROGRA~1\mcafee.com\agent\McAgent.exe" [2005-09-22 19:29 303104]
"Vade Retro Outlook Express"="C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe" [2006-02-16 16:46 295936]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= pvmjpg21.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
C:\Program Files\Yahoo!\Messenger\ypager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\FileZilla\\FileZilla.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
S1 sdcplh;sdcplh;C:\WINDOWS\system32\drivers\sdcplh.sys [2005-10-26 15:00]
S3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);C:\WINDOWS\system32\DRIVERS\A3AB.sys [2005-03-22 04:17]
S3 b462e08c-f4b0-4611-99f1-2892a1ae53bb;b462e08c-f4b0-4611-99f1-2892a1ae53bb;E:\Player\cds300.dll []
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 19:44]
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 12:35]
S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2005-12-22 14:45]
S3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2002-10-01 18:00]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-08-17 08:43]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ee3113b1-fb42-11dc-a733-00e018068268}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{efa6a7b2-3165-11d8-9b56-806d6172696f}]
\shell\play\Command - "C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:3 /device:AudioCD "%L"
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-04 08:30:01 C:\WINDOWS\Tasks\ActiveShield.job"
- C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe3521 $clsid$:{692E988D-1057-4c57-8078-26CF7AE54263}
"2008-04-04 10:07:48 C:\WINDOWS\Tasks\Analyse McAfee.com - Mon ordinateur (NOM-0PS0JN0FGI6-utilisateur).job"
- c:\program files\mcafee.com\vso\mcmnhdlr.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-05 19:49:05
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-04-05 19:51:14
ComboFix-quarantined-files.txt 2008-04-05 17:51:03
Pre-Run: 8,695,590,912 octets libres
Post-Run: 8,681,567,744 octets libres
.
2008-03-13 13:18:56 --- E O F ---
___________________________________________________________________________________
___________________________________________________________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:55:54, on 05/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\program files\mcafee.com\agent\mcagent.exe
c:\program files\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\loupe&chaporouge\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\McAgent.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - Global Startup: ASUS Hotkey.lnk = C:\Program Files\Asus\Asus Hotkey\Hotkey.exe
O4 - Global Startup: Chrontel TV.lnk = C:\WINDOWS\system32\CH_Utility.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/tw/
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - Unknown owner - C:\WINDOWS\system32\bgsvcgen.exe (file missing)
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
cedric241
Messages postés
3367
Date d'inscription
mardi 26 février 2008
Statut
Membre
Dernière intervention
23 avril 2008
119
5 avril 2008 à 21:52
5 avril 2008 à 21:52
ton rapport est propre
l ordi va mieux ??
fais un bilan
l ordi va mieux ??
fais un bilan
salut,
Pour l'instant, je t'avouerai que je ne vois pas la différence !
> il y a tjs 7 svchost
> les boutons ne fonctionnent toujours pas (et je ne vois pas comment ils ont disparus)
> pour ce qui est des spams, ils sont toujours là (25 aujourd'hui, selon Vade Retro), les "undelivery" se sont arrêtés depuis que j'ai supprimé le compte sur OE (que se passera t-il si je recrée le même compte ?)
Je pense charger le McAfee detective. Penses-tu que cela serve à qlq choses ?
bib
Pour l'instant, je t'avouerai que je ne vois pas la différence !
> il y a tjs 7 svchost
> les boutons ne fonctionnent toujours pas (et je ne vois pas comment ils ont disparus)
> pour ce qui est des spams, ils sont toujours là (25 aujourd'hui, selon Vade Retro), les "undelivery" se sont arrêtés depuis que j'ai supprimé le compte sur OE (que se passera t-il si je recrée le même compte ?)
Je pense charger le McAfee detective. Penses-tu que cela serve à qlq choses ?
bib
cedric241
Messages postés
3367
Date d'inscription
mardi 26 février 2008
Statut
Membre
Dernière intervention
23 avril 2008
119
5 avril 2008 à 22:13
5 avril 2008 à 22:13
tu peux toujours essayer pourquoi pas
on va bien voir / detective.
En regardant de plus près mon vade retro, il se trouve qu'il s'est arrêté un jour précis (et je crois que mes soucis viennent de là ???). J'étais en déplacement et :
- je me suis connecté ailleurs (autre réseau peut-être moins sécurisé que ma freebox ??).
- Ce même jour j'ai visionné un nouveau DVD pour le travail et ça a beugué.
- J'avais chargé la dernière version de spybot une semaine avant, avec un truc résident (tea timer de mémoire) qui m'a bloqué des modifications sans que je le demande (genre l'antivirus). Ce même jour donc, le bloqueur s'est affolé et il m'a bloqué une infinité de modifications (l'écran était plein), impossible de répondre oui ou non à chaque message, en même temps d'autres s'affichaient!!! J'ai débranché l'ordi, puis en le rallumant, j'ai supprimé Spybot. J'ai remis l'ancienne version (j'avais gardé l'installateur).
Si ces manipulations t'évoques qlq choses, merci de me faire signe. Je te tiendrais au courant pour le détective.
merci
En regardant de plus près mon vade retro, il se trouve qu'il s'est arrêté un jour précis (et je crois que mes soucis viennent de là ???). J'étais en déplacement et :
- je me suis connecté ailleurs (autre réseau peut-être moins sécurisé que ma freebox ??).
- Ce même jour j'ai visionné un nouveau DVD pour le travail et ça a beugué.
- J'avais chargé la dernière version de spybot une semaine avant, avec un truc résident (tea timer de mémoire) qui m'a bloqué des modifications sans que je le demande (genre l'antivirus). Ce même jour donc, le bloqueur s'est affolé et il m'a bloqué une infinité de modifications (l'écran était plein), impossible de répondre oui ou non à chaque message, en même temps d'autres s'affichaient!!! J'ai débranché l'ordi, puis en le rallumant, j'ai supprimé Spybot. J'ai remis l'ancienne version (j'avais gardé l'installateur).
Si ces manipulations t'évoques qlq choses, merci de me faire signe. Je te tiendrais au courant pour le détective.
merci
Et voici le rapport fais par Mc Afee rootkits detective (en mode normal) :
McAfee(R) Rootkit Detective 1.1 scan report
On 05-04-2008 at 22:37:11
OS-Version 5.1.2600
Service Pack 2.0
====================================
Object-Type: Registry-value
Object-Name: AppInit_DLLs
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: DeviceNotSelectedTimeout
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: GDIProcessHandleQuota
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: Spooler
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: swapdisk
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: TransmissionRetryTimeout
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: USERProcessHandleQuota
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Status: Hidden
Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: McTskshd.exe
Pid: 1364
Object-Path: c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 868
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1148
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible
Object-Type: Process
Object-Name: services.exe
Pid: 436
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible
Object-Type: Process
Object-Name: Hotkey.exe
Pid: 1584
Object-Path: C:\Program Files\Asus\Asus Hotkey\Hotkey.exe
Status: Visible
Object-Type: Process
Object-Name: explorer.exe
Pid: 1120
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible
Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: oasclnt.exe
Pid: 1400
Object-Path: c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1648
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: Mcdetect.exe
Pid: 1308
Object-Path: c:\program files\mcafee.com\agent\mcdetect.exe
Status: Visible
Object-Type: Process
Object-Name: mcvsshld.exe
Pid: 1556
Object-Path: c:\program files\mcafee.com\vso\mcvsshld.exe
Status: Visible
Object-Type: Process
Object-Name: CH_Utility.exe
Pid: 688
Object-Path: C:\WINDOWS\system32\CH_Utility.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1620
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 752
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 660
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: smss.exe
Pid: 320
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible
Object-Type: Process
Object-Name: McShield.exe
Pid: 1344
Object-Path: c:\PROGRA~1\mcafee.com\vso\mcshield.exe
Status: Visible
Object-Type: Process
Object-Name: mcagent.exe
Pid: 724
Object-Path: C:\PROGRA~1\mcafee.com\agent\McAgent.exe
Status: Visible
Object-Type: Process
Object-Name: Vaderetro_oe.ex
Pid: 972
Object-Path: C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
Status: Visible
Object-Type: Process
Object-Name: lsass.exe
Pid: 448
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 696
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 604
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: McVSEscn.exe
Pid: 1692
Object-Path: c:\progra~1\mcafee.com\vso\mcvsescn.exe
Status: Visible
Object-Type: Process
Object-Name: alg.exe
Pid: 3800
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible
Object-Type: Process
Object-Name: winlogon.exe
Pid: 392
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible
Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 2936
Object-Path: C:\Documents and Settings\utilisateur\Bureau\Rootkit_Detective.exe
Status: Visible
Object-Type: Process
Object-Name: csrss.exe
Pid: 368
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible
Scan complete. Hidden registry keys/values: 7
McAfee(R) Rootkit Detective 1.1 scan report
On 05-04-2008 at 22:37:11
OS-Version 5.1.2600
Service Pack 2.0
====================================
Object-Type: Registry-value
Object-Name: AppInit_DLLs
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: DeviceNotSelectedTimeout
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: GDIProcessHandleQuota
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: Spooler
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: swapdisk
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: TransmissionRetryTimeout
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: USERProcessHandleQuota
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Status: Hidden
Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: McTskshd.exe
Pid: 1364
Object-Path: c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 868
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1148
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible
Object-Type: Process
Object-Name: services.exe
Pid: 436
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible
Object-Type: Process
Object-Name: Hotkey.exe
Pid: 1584
Object-Path: C:\Program Files\Asus\Asus Hotkey\Hotkey.exe
Status: Visible
Object-Type: Process
Object-Name: explorer.exe
Pid: 1120
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible
Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible
Object-Type: Process
Object-Name: oasclnt.exe
Pid: 1400
Object-Path: c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1648
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: Mcdetect.exe
Pid: 1308
Object-Path: c:\program files\mcafee.com\agent\mcdetect.exe
Status: Visible
Object-Type: Process
Object-Name: mcvsshld.exe
Pid: 1556
Object-Path: c:\program files\mcafee.com\vso\mcvsshld.exe
Status: Visible
Object-Type: Process
Object-Name: CH_Utility.exe
Pid: 688
Object-Path: C:\WINDOWS\system32\CH_Utility.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 1620
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 752
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 660
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: smss.exe
Pid: 320
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible
Object-Type: Process
Object-Name: McShield.exe
Pid: 1344
Object-Path: c:\PROGRA~1\mcafee.com\vso\mcshield.exe
Status: Visible
Object-Type: Process
Object-Name: mcagent.exe
Pid: 724
Object-Path: C:\PROGRA~1\mcafee.com\agent\McAgent.exe
Status: Visible
Object-Type: Process
Object-Name: Vaderetro_oe.ex
Pid: 972
Object-Path: C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
Status: Visible
Object-Type: Process
Object-Name: lsass.exe
Pid: 448
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 696
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: svchost.exe
Pid: 604
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible
Object-Type: Process
Object-Name: McVSEscn.exe
Pid: 1692
Object-Path: c:\progra~1\mcafee.com\vso\mcvsescn.exe
Status: Visible
Object-Type: Process
Object-Name: alg.exe
Pid: 3800
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible
Object-Type: Process
Object-Name: winlogon.exe
Pid: 392
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible
Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 2936
Object-Path: C:\Documents and Settings\utilisateur\Bureau\Rootkit_Detective.exe
Status: Visible
Object-Type: Process
Object-Name: csrss.exe
Pid: 368
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible
Scan complete. Hidden registry keys/values: 7
5 avril 2008 à 18:03
Merci pour ton coup de main. Voici le nouveau rapport.
On y retrouve la ligne O 23 !!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:02:22, on 05/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\program files\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\mcafee.com\agent\McAgent.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Asus\Asus Hotkey\Hotkey.exe
C:\WINDOWS\system32\CH_Utility.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Trend Micro\loupe&chaporouge\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\McAgent.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - Global Startup: ASUS Hotkey.lnk = C:\Program Files\Asus\Asus Hotkey\Hotkey.exe
O4 - Global Startup: Chrontel TV.lnk = C:\WINDOWS\system32\CH_Utility.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - Unknown owner - C:\WINDOWS\system32\bgsvcgen.exe (file missing)
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe