De l'aide pour un rapport hijack this... Fermé

Question

Bonjour,
J'ai des problèmes récurrents avec ma machine (XP2): lenteur, impossibilité de me connecter à internet, instabilité de la connexion,...  Je me suis rendu compte récemment que Bitdefender ne passait jamais à l'étape 2 de l'analyse. Il ne m'a jamais détecté le moindre virus depuis 6 mois (et je passe une 20aine d'heures par semaine sur internet).

Utilisateur anonyme · Answer

Bonsoir,

télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html


Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
http://www.tutoriaux-excalibur.com/hijackthis.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html


------------------------------


1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse. (effectue une mise a jour avant chaque scan )

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAN en cliquant sur Quitter. 


-----------------------------


Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

¤ Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche. Décoche Avancé. Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage
(n'hésite pas à le lancer plusieurs fois)

Suppression des incohérence du registre

• Clique sur l'icône Erreurs situés dans la marge à gauche.
• Puis clique sur Analyser les erreurs
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur Corriger les erreurs.

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement

fize · Answer

....
mauvaise manip, désolé
SUITE
J'ai fait un scan hier avec spybot s&d, qui m'a trouvé win32.VB.tr. J'en ai refait deux puis une analyse bitdefender qui me dit (toujours dans l'étape 1 de l'analyse) que 316 objets n'ont pu être analysés à cause d'un mot de passe. Ils se trouvent dans les dossiers spybot, je suppose que c'est normal. Hier soir tout allait super-bien (téléchargement itunes super rapide et connexion excellente); sauf BD qui me demandait tout le temps d'accepter les cookies, contenus active X, (normal je crois)... et puis ce matin, de nouveau des lenteurs ! (et plus de demande de BD sur les cookies,...). 
Je n'y comprends rien !
Voici le log de Hijack this, j'espère que qq'1 pourra m'aider à y faire qq chose.
Merci beaucoup 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:41:24, on 2/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-21-1715567821-688789844-1060284298-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'fize')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

Utilisateur anonyme · Answer

Bonsoir,
peux tu faire la suite des instructions que je t'ai donné ?


sinon désinstalle la console java on en est a la version 1.6

http://www.tech-faq.com/lang/fr/uninstall-java.shtml

Ensuite réinstalle java : 

https://www.01net.com/telecharger/windows/Programmation/java/fiches/8138.html


En ce qui concerne la taille de ton log je pense que c'est normal.


J'attends le rapport de MBAM.

fize · Answer

Merci pour la réponse.
Voila ou j'en suis: 
- rien à signaler du côté de malwarebytes (le rapport plus bas)
- J'ai corrigé plus de 300 incohérences CCleaner (surtout des programmes désinstallés).
Par contredans le panneau de gauche, étaient décochés et grisés les éléments suivants:  Windows : IE: "historique des saisies automatiques" ; Système : "Raccourci menu démarrer" + "raccourci bureau" ; Avancé : tous les 8.
Et pour les applications : Mozilla : est grisé "info saisies dans les formulaires".
Après nettoyage complet, il me met que 0 bytes ont été supprimés ... bizarre non ?
- Sinon, j'ai vu un dossier, vide, portant le nom de VundoFix backups (c'est pas la trace de qq chose de mauvais ça ,?)
- en cours d'analyse, dans le gestionnaire de fichiers, je vois qu'il y a entre 46  et 60 % de process pour svchost.exe. J'en ai souvent plusieurs en cours de ce nom et c'est de ce côté que ça a l'air souvent de "prendre de l'espace";
- En cours d'analyse, j'ai mon icône bitdefender d'analyse des fichiers qui a l'air de tourner à fond, en tout cas bcp bcp + qu'en temps normal, comme si l'analyse MBAM activait BD. est-ce normal ? 
- Mon analyse BD pose problème: en cas de fichiers suspect, je paramètre "réparer", puis "placer en quarantaine", mais cela n'apparaît jamais comme cela dans le rapport (il me met "ne rien faire", en cas de fichier suspect). Encore bizarre, non ?
- Une dernière chose P/R BD: le dernier fichier qu'il analyse est "default_pif", il est à 480.000 fichiers analysés, bloque un peu sur celui là puis passe directement à 495.000 ! Ca doit pas etre normal !

Voilà, le rapport MBAM suit, le temps de repasser sur ma session admin.
PS: 
Pas possible de télécharger CCleaner depuis 01net, je l'ai fait sur Ccleaner.com.
Pour CCleaner, tu me dis de cliquer sur l'icône Erreurs, sur la marge de gauche, or je n'ai rien de tel, j'ai dû faire autrement.
Et au fait, que dit le rapport hijack this ? (en gros) Des problèmes identifiés ?

fize · Answer

Tenshi, 
Voila le rapport MBAM,
Je déésinstalle java. Je refais un rapport hijack this ? Autre Chose ?
Et Merci.

Malwarebytes' Anti-Malware 1.14
Version de la base de données: 800

8:16:41 3/06/2008
mbam-log-6-3-2008 (08-16-41).txt

Type de recherche: Examen rapide
Eléments examinés: 574461
Temps écoulé: 2 hour(s), 4 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

Bonjour fize,

Oui tu as raison pour Ccleaner ;) on peut le télécharger n'importe ou en fait ^^
En ce qui concerne le bouton Erreur, depuis la nouvelle version de ccleaner ce bouton a été remplacé par Registre. Dsl pour l'oubli ^^
Donc en fait il faut cliquer sur le bouton Registre, effectuer une analyse et réparer les erreurs (sauvegardé quand il le demande)



Ensuite peux tu refaire un scan MBAM mais en mode sans echec pour voir ?

https://www.malekal.com/demarrer-windows-mode-sans-echec/

/!\ ta version de MBAM n'est pas à jour nous en sommes à la 817 !!


------------------------------


effectue un scan en ligne : 

Va sur ce site , /!\ Internet Explorer obligatoire /!\ (https://www.bitdefender.com/toolbox/ Clique sur ' J'accepte ' , Installe les ActiveX si necessaire ,et vérifie si ils sont bien configurés(http://www.inoculer.com/activex.php3 Clique sur ' installer ' puis ' click here to scan '( ou : cliquez ici pour scanner ).
Et poste moi le rapport. ( qui se trouve ici -> C:\windows\bdoscan8\scanres.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Tutorial : http://pageperso.aol.fr/loraline60/bitdefender_scan.htm

Utilisateur anonyme · Answer

effectue un scan avec MBAM en mode sans echec deja

ensuite
peux tu téléchargé GenProc : 

http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

Ensuite dézippe le dossier puis double-clique sur le fichier GenProc.bat

Une fois qu'il a finit son analyse post le log qui vient de s'ouvrir dans Bloc note et reviens poster le log ici.
(Suit les instructions une fois que tu m'auras posté le log)


Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

FIZE · Answer

Bonjour Tenshi, 
Un truc bizarre, e chez moi, je n’ai accès à aucune de mes adresses mail, mais de chez mon papa, pas de problème ! Qu’est ce que ça peut vouloir dire ? C’est très récent.
J’ai retiré  MBAM, l’ai réinstallé puis MAJ. Voici les rapports de log MBAM (avant élimination des fichiers et après, … au cas où ! - 2 trucs trouvés-
Sinon, spybot s&d me remet tjs la même chose : 
« spybot s&d a décelé qu’un elt de la base de registre a été modifié :
Catégorie : winlogon
Modification : valeur modifiée
Element : default user name
Ancienne valeur : propriétaire
Nouvelle valeur : fize »
Fize, c’est le nom d’utilisateur « limité ». Cette fois-ci, j’ai mis refusé.
Cette demande est-elle normale ? Elle est venue avant et après avoir scanné avec MBAM.
Que dois-je répondre ?
Que répondre en général à ces avis de spybot ?

Autres questions : l’accumulation d’antispywares n’est-il pas problématique –conflits- ? (spybot, MBAM ; CCleaner, Bit defender et un autre aussi, que je ne trouve plus et que j’avais installé il y a qq temps.. au fait, comment le retrouver s’il ne se trouve pas dans mon panne	au de configuration ?
Ne dois-je pas désinstaller BD (ou les autres) pour faire le scan BD en ligne ?
Et une dernière question : qu’est-ce qui te motive à  aider les novices comme moi sur ce forum ?
Maintenant, je suis encore les procédures que tu m’as indiqué et je t’envoie les rapports.

Malwarebytes' Anti-Malware 1.14
Database version: 827

19:37:36 5/06/2008
mbam-log-6-5-2008 (19-37-28).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 348136
Time elapsed: 59 minute(s), 37 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Program Files\WinRAR\Default.SFX (Rogue.Installer) -> No action taken.
C:\WINDOWS\system32\Process.exe (Trojan.Agent) -> No action taken.


 Et le rapport après analyse



Malwarebytes' Anti-Malware 1.14
Database version: 827

19:38:06 5/06/2008
mbam-log-6-5-2008 (19-38-06).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 348136
Time elapsed: 59 minute(s), 37 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Program Files\WinRAR\Default.SFX (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Process.exe (Trojan.Agent) -> Quarantined and deleted successfully.

fize · Answer

Bitdefender ne veut pas s'ouvrir,
genproc donne ceci:

Initialisation GenProc 1.970 [jeu. 05/06/2008] à [20:40:41,05] 
 
 *** Liste des composants GenProc *** 
 
C:\Documents and Settings\fize\Bureau\GenProc\Arguments
C:\Documents and Settings\fize\Bureau\GenProc\Canned
C:\Documents and Settings\fize\Bureau\GenProc\ChangeLog
C:\Documents and Settings\fize\Bureau\GenProc\GenProc.bat
C:\Documents and Settings\fize\Bureau\GenProc\outil
C:\Documents and Settings\fize\Bureau\GenProc\Arguments\Argument.txt
C:\Documents and Settings\fize\Bureau\GenProc\Arguments\Debug.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Bagle_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\bfu_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\BTFix_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\BTFix_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\CCleaner_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\FixWareOut_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\FixWebHancer_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\FixWebHancer_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Flash_Disinfector_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Flash_Disinfector_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\FxNdotN_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\FxNdotN_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Haxfix_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Look2me_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Look2me_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Lop_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Lop_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\MSNfix_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\MSNfix_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Navilog1_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Navilog1_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Purity_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Purity_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\RemGAIN_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\RemGAIN_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\rustock_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\SDfix_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\SDfix_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\SmitfraudFix_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\SmitfraudFix_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Toolbar_bfu_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Toolbar_bfu_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Vundo_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Vundo_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Winsoftware_bfu_Dl.txt
C:\Documents and Settings\fize\Bureau\GenProc\Canned\Winsoftware_bfu_Exec.txt
C:\Documents and Settings\fize\Bureau\GenProc\ChangeLog\BagleLog.txt
C:\Documents and Settings\fize\Bureau\GenProc\ChangeLog\BTFixLog.txt
C:\Documents and Settings\fize\Bureau\GenProc\ChangeLog\FlashLog.txt
C:\Documents and Settings\fize\Bureau\GenProc\ChangeLog\HaxfixLog.txt
C:\Documents and Settings\fize\Bureau\GenProc\ChangeLog\LopLog.txt
C:\Documents and Settings\fize\Bureau\GenProc\ChangeLog\MSNFixLog.txt
C:\Documents and Settings\fize\Bureau\GenProc\ChangeLog\NaviLog.txt
C:\Documents and Settings\fize\Bureau\GenProc\ChangeLog\PurityLog.txt
C:\Documents and Settings\fize\Bureau\GenProc\ChangeLog\RemGainLog.txt
C:\Documents and Settings\fize\Bureau\GenProc\ChangeLog\SDfixLog.txt
C:\Documents and Settings\fize\Bureau\GenProc\ChangeLog\SmitLog.txt
C:\Documents and Settings\fize\Bureau\GenProc\ChangeLog\VundoLog.txt
C:\Documents and Settings\fize\Bureau\GenProc\ChangeLog\WinSoftware.txt
C:\Documents and Settings\fize\Bureau\GenProc\outil\Lancements.bat
C:\Documents and Settings\fize\Bureau\GenProc\outil\OSVers.bat
C:\Documents and Settings\fize\Bureau\GenProc\outil\sed-3.59.exe
C:\Documents and Settings\fize\Bureau\GenProc\outil\sed.bat
C:\Documents and Settings\fize\Bureau\GenProc\outil\supprime.bat
C:\Documents and Settings\fize\Bureau\GenProc\outil\swreg.exe
C:\Documents and Settings\fize\Bureau\GenProc\outil\Uninstall.bat
C:\Documents and Settings\fize\Bureau\GenProc\outil\Var.bat
C:\Documents and Settings\fize\Bureau\GenProc\outil\[0].txt
 
*** Liste des étapes franchies avec succès *** 
 
Tests infections 
Notepad 
 
================================= 
Et puis…



~~ Arguments ~~

# Détections GenProc 1.970 jeu. 05/06/2008 20:41:27,71 - C:\Documents and Settings\fize\Bureau\GenProc\outil 

Rustok: le jeu. 05/06/2008 à 20:41:28,57  pe386 present!




Que faire ? (je réessaie BD en coupant le ppare-feu -BD lui aussi)

Utilisateur anonyme · Answer

Bonsoir, 
alors j'aurai besoin d'un résumé de tout tes problèmes actuels parsque je commence à m'y perdre avec toute les nouvelles que tu me donnes ^^

Sinon pour Spybot c'est normal car tu effectues des actions à partir d'un utilisateur dont les droits sont limités. Si tu sais connait l'origine de la modification tu peux accepter dans le cas contraire refuse.

Ensuite ton rapport genproc ne doit pas être le bon. Le rapport devrait te donner des indications sur des logiciels à installer éventuellement pour des désinfections.

Repost moi un log Hijackthis

fize · Answer

Re-bonsoir,
Merci pour les réponses.
Moi aussi, je m'y perds. 
Je n'ai pas d'autre rapport pour genproc. Je ne sais pas pq il ne s'est pas installé sur le bureau comme je e lui ai demandé. ces deux rapports se trouvaient dans le dossier genproc et j'ai supposé qu'ils s'y étaient mis seuls.
Par contre pe386 présent, c'est un bon début non? c'est la première fois qu'il me découvre un rootkit. 
Avant de lire ta réponse, j'ai fait un rapport smitfraudfix, conseillé à d'autres endroits sur le forum. Il suit. Dois-je faire un nettoyage ? j'attends ta réponse sur ce point.
Pour résumer les problèmes:
1. Jamais rien détecté, ni virus, ni rien avec BD IS 2008, depuis 7 mois. Bizarre, sachant que je passe en général plusieurrs heures par jour sur internet.
2. machine très lente par moment (jusque 7_8 minutes pour démarrer par exemple.
3. Depuis 2 jours, pas moyen d'accéder à mes mails depuis chez moi, chez mon papa, pas de problème (mais c'était arrivé à l'occasion auparavant).
4. Pour Java, comme impossible de le remettre sur la machine après l'avoir retiré (depuis panneau de config, pas comme tu me l'avais indiqué, ça ne fonctionnait pas)
5. BD qui parfois me demande 10 fois d'accepter cookies, contenu activeX,... et puis reste qq jours sans rien me demander. Les icônes de son activité (contrôle réseau et scan en continu) indiquent parfois qu'il est au repos, parfois qu'il tourne, parfois qu'il tourne super-fort, comme lorsque je fais une analyse avec un autre anti-spyware.
6. je ne sais pas ce que ca veut dire mais c'est souvent svchost.exe qui prend des % de process (ds gestionnaire de tâches).
7 Je te parlais de BD bloqué de lg minutes sur default_pif, je crois que cest lié à un virus: voir http://jackieho.net/?p=31

Sinon, on a réparé ma ligne avec un jour d'avance. Génial. on se console comme on peut.

voici les rapports
merci encore;

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:01:01, on 5/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32	askmgr.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-21-1715567821-688789844-1060284298-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'fize')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

Utilisateur anonyme · Answer

Bonsoir, 

1. Jamais rien détecté, ni virus, ni rien avec BD IS 2008, depuis 7 mois. Bizarre, sachant que je passe en général plusieurrs heures par jour sur internet.

Oui effectivement cela peut paraitre etrange mais si pendant les 7mois tu n'a rien téléchargé de suspect, BD n'avais peut être aucune raison de te le signaler. Au pire désinstalle le puis réinstalle.


2. machine très lente par moment (jusque 7_8 minutes pour démarrer par exemple.

Ton démarrage est peut être dû à un chargement de trop de logiciel au démarrage de ton ordi

Pour y remedier, lance Ccleaner.
Dans outil  clique sur Démarrage. Cela te montrera tout les logiciels qui sont chargé au démarrage de l'ordinateur. Supprime les clés de démarrage dont tu ne te sers pas. 

/!\ Ne supprime QUE ce que tu es sûr de supprimer, n'hésite pas à aller te renseigner sur google pour savoir ce que tu supprimes.


3. Depuis 2 jours, pas moyen d'accéder à mes mails depuis chez moi, chez mon papa, pas de problème (mais c'était arrivé à l'occasion auparavant).

Quel logiciel utilises tu ? Outlook ?


4. Pour Java, comme impossible de le remettre sur la machine après l'avoir retiré (depuis panneau de config, pas comme tu me l'avais indiqué, ça ne fonctionnait pas)

En regardant ton rapport HiJackThis j'ai remarqué que ton Java était encore présent : 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll 


Ceci peut expliquer pourquoi tu ne peut réinstaller sun java.

Essaye la méthode suivante : 

http://www.java.com/fr/download/help/uninstall_msvm.xml
et ensuite à réinstaller une version à jour  : 

https://www.java.com/fr/download/manual.jsp

puis redonne des nouvelles :) 


5. BD qui parfois me demande 10 fois d'accepter cookies, contenu activeX,... et puis reste qq jours sans rien me demander. Les icônes de son activité (contrôle réseau et scan en continu) indiquent parfois qu'il est au repos, parfois qu'il tourne, parfois qu'il tourne super-fort, comme lorsque je fais une analyse avec un autre anti-spyware.

Euh la faut que je me renseigne mais en ce qui concerne son activité il me semble que ce soit normal


6. je ne sais pas ce que ca veut dire mais c'est souvent svchost.exe qui prend des % de process (ds gestionnaire de tâches).

Ne t'inquiète pas pour le processus svchost.exe, voila un lien qui te renseignera :)

http://www.commentcamarche.net/processus/svchost exe.php3


7. Je te parlais de BD bloqué de lg minutes sur default_pif, je crois que cest lié à un virus: voir http://jackieho.net/?p=31 


La j'avoue je l'avais oublié lui :s je lis ton liens et te donne de mes nouvelles.

Si tu possèdes le chemin complet ou se trouve ce fichier fais ceci : 

*******
Rend toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html
Clik sur parcourir
Recherche ceci :

"Met le chemin du fichier ou tu as un doutes"   <- ici tu chercheras le chemin ou se situe le fichier default_pif

Clik send et colle le rapport stp
**************** 


-----------------------------


D'après smitfraudfix ton fichier host est atteint, télécharge le logiciel suivant. Une fois lancé clique sur Restaurer et repost un log smitfraudfix.

http://siri.urz.free.fr/RHosts.php


---------------------------


En ce qui concerne Genproc

Suit ce tuto : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

le log que tu m'a envoyé n'est pas le bon en réalité ;)

Fize · Answer

Salut Tenshi,
Sur tes 8 réponses :
1. OK, je vais le faire. Mais je l'ai déja fait plusieurs fois, sans aucun résultat.
2. J'ai configuré via msconfig les programmes lancés au démarrage, ils sont  peu nombreux donc ça ne doit pas être cela.
3. Je n'utilise jms outlook, j'ai 3 adresses mail, sur yahoo.fr, sur tele2.be et sur skynet.be (avec aussi une adresse avec un nom de domaine propre). Aucun de 3 ne fonctionne sur cette machine, mais OK sur d'autres machines. Je me demandais si ce n'était pas lié à Java, que je n'ai pas su désinstaller correctement (j'ai réessayé ce w-e et retéléchargé une version plus récente, mais je ne sais pas si ça s'est installé).
4.Bon je suis tes conseils pour java.
5. Ce  qu'il y a d'étrange, c'est que parfois il semble activé  et parfois pas. Il demande les autorisations puis non, puis oui,...
6.Oui, j'avais déja vu ce commentaire, mais je me demandais quand même... si c'était pas lié  à l'ouverture de ports que je ne sollicite pas moi, mais éventuellement un hacker. 
7. je cherche ce fichier.

Sinon qq autres choses: 
- je n'ai pas su faire l'analyse en ligne bitdefender. Parce que explorer ne fonctionne pas. (note que j'ai en géénéral un processus explorer.exe dans mon gestionnaire de windows (en ce moment, est entre 2 et 10%).
- J'ai fait une analyse avec bitdefender antirootkit qui ne donne jamais rien.

Merci pour ton aide.
A plus tard.

Fize · Answer

Ah oui...
Voila, explorer entre 40 et 90 %.
Si je reformate mon DD, est-ce que ça peut aider ? ou alors les problèmes sont plus profonds ?
Si je partitionne mon disque et installe ubuntu, est-ce que c'est une parade ou ça ne servira à rien ? (sachant que je dois garder windows pour une utilisation future-très proche- de windows mobile 6).
Je suis tes indications et je t'informe.

Salut

Utilisateur anonyme · Answer

bonjour fize,

Ouvre ce lien :

http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe

pour télécharger lopxp de moe.

Enregistre le fichier Lopxpsetup.exe sur ton bureau.

Double clic sur son icône pour lancer l'installation

Sur ton bureau, une nouvelle icône est apparue : lopxp (avec une petite roue dentée).

Double clique sur lopxp.

Au menu, choisir l'option 1

Patiente jusqu'à que l'on demande d'appuyer sur une touche. Appuye !

Le bloc-notes s'ouvre. Copie/colle le contenu dans ta réponse.


------------------------


télécharge ce logiciel pour restaurer ton fichier host : 

http://siri.urz.free.fr/RHosts.php

lance le puis clique sur Restaurer


---------------------------


Post moi un nouveau log hijack

Fize · Answer

Rebonjour Tenshi, 

je viens de voir ton dernier message. J'ai écrit ce qui suit avant. (en cours de manipulations).
Je vais faire ce soir  ce que tu indiques ici en dernier.



Pour java : ca a marché après différentes manoeuves. Je te mets ce que j’ai fait au cas ou ca peut servir.
En fonction du site 
http://www.java.com/fr/download/help/uninstall_msvm.xml
je devrais voir si j’ai java dans l’onglet avancé (de option internet explorer), mais il n’y a rien. Par contre je vois que dans  les paramètres http , les 2 case sont cochées (donc le serveur proxy, or, je n’ai pas de lien avec un serveur), mais pop3. (excuses-moi si ça n’a rien à voir et si je me goure complètement, pour moi, tout ça est un ppeu difficile ! je fais avec mes bribes de connaissances). Je l’ai décoché mais je ne sais pas plus me connecter.
https://www.java.com/fr/download/manual.jsp
Rien non plus :
- lsq je sur clique (et reclique) sur le lien « vérifier maintenant », j’arrive au lien « vérifier la version de java » mais rien ne se passe quand je clique dessus.
- lsq je sur clique sur « install en ligne » et que j’exécute le lien, un fenêtre me dit que c’est impossible avec les paramètres de la connexion actuels
Mais ca a marché en cliquant sur « install hors ligne » et que j’exécute le lien, il commence l’installation (accepter le contrat, .. ) ;


Sinon, Pas moyen d’executer le fichier de Rhostos.exe ! (j’ai essayé de le renommer mais ça ne donne rien de plus). 
Un autre programme qui permettrait de restaurer les fichiers host ? Une manipulation supplémentaire ?
Un détail, j’ai, il y a qq mois reformaté le DD et par après lancé une restauration de système. Si il restaure, il restaurera le fichier host à quand ? parce que si il restaure à un moment ou il était déjà infecté … ???
Est-ce que si j’insère mon cd windowset que je clique sur réparer, ça sert à qq chose ?
J’ai accepté 1 modification de registre de spybot avant de le lancer, est-ce que ça a un lien ? si oui, commment éventuellement annuler cette autorisation dans spybot ?

Dans les outils de spybot, « fichiers hosts », j’ai « local host » et destination 127.0.0.1 est-ce que ça peut te servir ?


PS :
-	j’essaie de mettre un max de détail, dis moi si je t’innonde et si je dois limiter ca, mais il me semble que tellement de choses entrent en ligne de compte.
-	Dois-je faire le nettoyage des trucs bizarres trouvés par smitfraudfix ? 
-	Ce soir, J’essaie smitfraudfix, shosts et l’autre pour default_pif si je le trouve.

Merci

Utilisateur anonyme · Answer

et bien apparement j'ai oublié de te demander de lancer l'option de nettoyage avec smitfraudfix >> (honte à moi)

donc relance smitfraudfix et choisi l'option nettoyage :)

en attendant je vais relire ton post à tête reposé parsque la je suis un peu pressé :)

Fize · Answer

Bonjour Tenshi,

Diverses analyses, dans l'ordre, Voici où j'en suis : 
1. Lopxp:  voir rapport plus bas.
2. Siri :  pas de rapport (?); lsq je clique sur restaurer, j'ai une icône qui demande de confirmer ("cliquer sur OK"), je le fais et je reviens à restaurer, puis cliqque sur OK .... et ainsi de suite.
Je ne sais donc pas s'il fait qq chose (mais j'en vois des traces dans le rapport smitfraudfix)
3. Smitfraudfix: j'ai deux rapports: un avant et un après la correction des problèmes qu'il a détecté.
4. Malwarebytes : MAJ prend bcp de tps. Examen complet ne peut se faire ("Runtime error '9', subscript out of range"). je clique et ça se ferme sans proposer de rapport. Idem pour l'examen rapide (même error '9') mais là je vois en arrière plan qu'il a détecté un élément infecté.
5. Ccleaner : voir rapport plus bas.
6. Spybot : voir rapport plus bas. Je n'ai pas  corrigé les erreurs, de peur d'endommager certains truc s, comme il mme met en garde.
7. Questions: 
a. Ne devrais-je pas désinstaller explorer pour qq jours du moins ?
b. Puis-je essayer une réparation partielle avec mon CD windows (j'ai vu les étapes à suivre pour  ça sur le forum) ?
c. Pour la 1e  fois, mon écran est apparu en bleu lors d'un démarrage et est revenu au fond d'écran habituel ce matin (???)

Voici ts ces rapports. 
Merci encore pour ton aide.

# Rapport Lopxp fait le lun. 09/06/2008 à 23:18:07
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.10 - Maj du 11/04/2008


========== Listing des dossiers Application Data

+- C:\Documents and Settings\Administrateur\Application Data

 2008-06-06 à 12:34:21 - BitDefender 
 2008-06-04 à 11:29:13 - Malwarebytes 
 2008-04-10 à 10:39:20 - Microsoft 
 2008-01-29 à 09:14:29 - Sun 

+- C:\Documents and Settings\Administrateur\Local Settings\Application Data

 2008-04-10 à 10:39:38 - Microsoft 
 2008-01-29 à 09:14:12 - {7148F0A6-6813-11D6-A77B-00B0D0142050} 

+- C:\Documents and Settings\All Users\Application Data

 2008-01-29 à 16:46:01 - Adobe 
 2008-02-12 à 12:55:12 - Apple 
 2008-02-12 à 12:58:44 - Apple Computer
 2008-01-29 à 11:44:15 - BitDefender 
 2008-01-29 à 16:42:18 - Google 
 2008-02-07 à 16:10:29 - HP 
 2008-02-06 à 14:40:19 - InstallShield 
 2008-06-05 à 16:04:23 - Malwarebytes 
 2008-03-26 à 19:34:29 - Microsoft 
 2008-05-29 à 13:10:10 - Spybot - Search & Destroy
 2008-01-29 à 10:26:03 - Windows Genuine Advantage

+- C:\Documents and Settings\fize\Application Data

 2008-02-06 à 17:23:14 - Adobe 
 2008-03-17 à 20:55:46 - Ahead 
 2008-02-12 à 13:03:47 - Apple Computer
 2008-01-29 à 12:18:17 - BitDefender 
 2008-01-30 à 12:24:30 - Google 
 2008-03-31 à 11:51:43 - HP 
 2008-01-29 à 09:24:59 - Identities 
 2008-05-20 à 11:23:56 - Image Zone Express
 2008-02-18 à 19:40:43 - Jasc Software Inc
 2008-02-12 à 15:11:03 - KompoZer 
 2008-02-05 à 09:57:53 - Macromedia 
 2008-05-28 à 14:34:54 - Microsoft 
 2008-03-24 à 10:27:14 - Mozilla 
 2008-03-17 à 20:53:56 - Real 
 2008-01-29 à 09:14:29 - Sun 

+- C:\Documents and Settings\fize\Local Settings\Application Data

 2008-02-16 à 10:54:59 - Adobe 
 2008-02-06 à 17:15:43 - Ahead 
 2008-02-19 à 08:19:13 - Apple 
 2008-02-12 à 13:03:48 - Apple Computer
 2008-01-29 à 16:48:24 - Google 
 2008-03-19 à 15:14:06 - Identities 
 2008-05-04 à 16:11:45 - Microsoft 
 2008-03-24 à 10:27:14 - Mozilla 
 2008-01-29 à 09:14:12 - {7148F0A6-6813-11D6-A77B-00B0D0142050} 

+- C:\Documents and Settings\Propri‚taire\Application Data

 2008-02-06 à 17:12:32 - Adobe 
 2008-02-06 à 14:31:42 - Ahead 
 2008-02-12 à 12:59:41 - Apple Computer
 2008-01-29 à 11:43:18 - Bitdefender 
 2008-01-30 à 21:21:58 - Google 
 2008-03-25 à 19:32:09 - HP 
 2008-01-29 à 09:21:08 - Identities 
 2008-03-31 à 13:08:53 - Image Zone Express
 2008-02-12 à 11:26:21 - KompoZer 
 2008-02-06 à 17:12:32 - Macromedia 
 2008-06-02 à 21:02:25 - Malwarebytes 
 2008-05-20 à 07:04:16 - Microsoft 
 2008-03-24 à 10:21:07 - Mozilla 
 2008-05-29 à 21:45:38 - Ready 
 2008-02-07 à 14:39:44 - Real 
 2008-01-29 à 09:14:29 - Sun 
 2008-03-25 à 11:42:06 - Uniblue 

+- C:\Documents and Settings\Propri‚taire\Local Settings\Application Data

 2008-06-09 à 09:23:05 - Adobe 
 2008-02-06 à 14:36:05 - Ahead 
 2008-02-12 à 12:56:43 - Apple 
 2008-02-12 à 12:59:41 - Apple Computer
 2008-01-29 à 11:19:04 - ApplicationHistory 
 2008-01-30 à 21:21:28 - Google 
 2008-02-07 à 19:32:15 - Microsoft 
 2008-03-24 à 10:21:07 - Mozilla 
 2008-01-29 à 09:14:12 - {7148F0A6-6813-11D6-A77B-00B0D0142050} 

========== Listing du dossier Program Files

+- C:\Program Files

 2008-01-29 à 16:43:11 - Adobe 
 2008-02-12 à 12:56:38 - Apple Software Update
 2008-01-29 à 10:05:02 - ATI Technologies
 2008-01-29 à 11:43:04 - BitDefender 
 2008-02-12 à 12:58:22 - Bonjour 
 2008-01-29 à 09:10:35 - ComPlus Applications
 2008-06-09 à 08:29:06 - Fichiers communs
 2008-01-29 à 16:42:16 - Google 
 2008-02-07 à 16:08:37 - Hewlett-Packard 
 2008-02-07 à 16:10:30 - HP 
 2008-01-29 à 10:08:08 - InstallShield Installation Information
 2008-01-29 à 10:02:39 - Intel 
 2008-04-09 à 16:21:11 - Internet Explorer
 2008-02-12 à 12:58:54 - iPod 
 2008-02-12 à 12:59:25 - iTunes 
 2008-02-06 à 14:38:56 - Jasc Software Inc
 2008-06-09 à 08:30:45 - Java 
 2008-02-12 à 11:27:02 - KompoZer 
 2008-06-06 à 20:05:56 - LaBoiteACouleurs 
 2008-06-09 à 21:18:19 - Lopxp 
 2008-05-09 à 13:46:30 - Messenger 
 2008-01-29 à 09:14:48 - microsoft frontpage
 2008-02-06 à 13:56:42 - Microsoft Office
 2008-02-06 à 13:56:00 - Microsoft Visual Studio
 2008-02-06 à 13:56:27 - Microsoft Works
 2008-02-06 à 13:52:16 - Microsoft.NET 
 2008-01-29 à 09:11:02 - Movie Maker
 2008-06-09 à 20:16:42 - Mozilla Firefox
 2008-01-29 à 09:09:05 - MSN 
 2008-01-29 à 09:09:18 - MSN Gaming Zone
 2008-02-10 à 07:48:31 - MSXML 4.0
 2008-02-06 à 14:28:14 - Nero 
 2008-01-29 à 09:11:08 - NetMeeting 
 2008-01-29 à 09:09:30 - Online Services
 2008-01-29 à 10:59:26 - Outlook Express
 2008-02-12 à 12:58:04 - QuickTime 
 2008-05-20 à 06:49:14 - ReadyCatalogCA 
 2008-02-07 à 14:32:37 - Real 
 2008-01-29 à 09:11:35 - Services en ligne
 2008-04-10 à 10:59:12 - SmitfraudFix 
 2008-06-09 à 20:25:21 - Softwin 
 2008-05-29 à 09:32:40 - Spybot - Search & Destroy
 2008-01-29 à 10:07:41 - Synaptics 
 2008-06-02 à 19:27:37 - Trend Micro
 2008-01-29 à 09:21:05 - Uninstall Information
 2008-01-29 à 10:06:50 - VIAudioi 
 2008-01-29 à 10:54:27 - Windows Media Player
 2008-01-29 à 09:09:15 - Windows NT
 2008-01-29 à 09:11:41 - WindowsUpdate 
 2008-02-06 à 14:43:10 - WinRAR 
 2008-01-29 à 09:14:48 - xerox 
 2008-03-26 à 19:35:28 - Yahoo! 

========== Tâches planifiées

AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -task
Spybot - Search & Destroy -  Scheduled Task.job: C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe /AUTOCHECK 

========== Clés registre


========== Bloqueur popups Internet Explorer


==========    Suggestion ( /!\ Nécessite une interprétation.)    ==========

C:\Program Files\Softwin

+- Registre : Aucune suggestion.


- Fin du rapport -




RAPPORT SMITFRAUDFIX 1
SmitFraudFix v2.323

Rapport fait à 22:47:43,05, lun. 09/06/2008
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D3F924AA-2764-44E1-B283-C1881D01EBB5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D3F924AA-2764-44E1-B283-C1881D01EBB5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin




  rAPPORT SMITFRAUDFIX 2 (APRES CORRECTION DES PROBLEMES):

SmitFraudFix v2.323

Rapport fait à 22:53:34,63, lun. 09/06/2008
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D3F924AA-2764-44E1-B283-C1881D01EBB5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D3F924AA-2764-44E1-B283-C1881D01EBB5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



RAPPORT CCLEANER/ 

JE NE LE TROUVE PLUS ! A SUIVRE;

 RAPPORT HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:40:09, on 10/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

Utilisateur anonyme · Answer

Bonjour fize,
alors je commence doucement ^^

Connais tu le dossier softwin ?si non, peux tu effectuer ceci : 

Démarrer -> Executer  copie/colle cette ligne : 

"%programfiles%\Lopxp\Lopxp.bat" /Fixme

Puis poste le rapport qui s'affichera.


-----------------------------------


En ce qui concerne Rhost il a fait son travail.

Ton tout premier smitfraudfix te donner ceci dans le host : 

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

Et maintenant tu n'as plus que le 127.0.0.1 donc c'est bon :)


-----------------------------------


Pour MBAM j'ai lu sur un des postes (rubrique bureau CCMiste) que l'erreur que tu rencontres serait dû à une de leur mise à jour. Tu n'es pas le seul à rencontrer ce problème :s


------------------------------------


Pour spybot tout à l'air bon mais je vérifierai encore.


-----------------------------------


Désinstaller explorer ? tu veux dire désinstaller Internet Explorer ? si oui, il ne vaudrai mieux pas le supprimer car c'est un composant important pour windows. Si je me souviens bien quelqu'un l'avait supprimé et son système arrêté pas de buguer. Je chercherai le lien :)


Pour la réparation windows tu peux tenter cela n'affectera en rien tes données. Et puis qui ne tente rien à rien ;)


Sinon pour l'écran bleu, c'était un écran comment ? l'écran s'affiché une fois que tu étais sur le bureau ou pendant le démarrage ? Sinon c'est peut etre dû à lopxp qui a détecté uelque chose :)

Utilisateur anonyme · Answer

on va aussi désactiver la restauration systeme on la remettra plus tard.


http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

Utilisateur anonyme · Answer

oui désactive la restauration pour le rapport spybot je m'en était douté lol pas besoin de le mettre ^^

Fize · Answer

Slt, 
pour softwin, c'est lié à bitdefender (c'est le nom de l'entreprise je crois), donc je préfère ne pas toucher, sauf si tu vois des trucs louches. Auquel cas, je corrige, je désinstalle puis réinstalle.
Pour l'écran bleu, il est appparu sur le bureau à un redémarrage après analyse, je ne sais plus avec quoi (mbam, ccleaner ou smitfraudfix). C'est le blleu "traditionnel" windows. Mais mon bureau a retrouvé son apparence habituelle ce matin (après spybot).
Merci

Utilisateur anonyme · Answer

toujours les mêmes problèmes sinon ?

Utilisateur anonyme · Answer

c'est bon ton ordi est sain ^^

en ce qui concerne java oui il faut la mettre à jour ;)


http://www.java.com/fr/download/help/uninstall_msvm.xml
et ensuite à réinstaller une version à jour :

https://www.java.com/fr/download/manual.jsp 


il te faut aussi un antivirus, en gratuit je peux te conseiller antivir, léger et aussi efficace que avg : 

https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html



Tu peux aussi garder MBAM et l'utiliser toute les 2semaines : https://www.malwarebytes.com/

En passant Ccleaner est un bon outil pour le nettoyage : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

Et enfin un parfeux : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

avec son tuto : https://www.malekal.com/tutorial-online-armor-free/

voila n'oublions pas que même avec tout ça tu n'es pas à l'abri d'une infection car tout dépend de comment tu utilises l'ordi ;) il faut aussi faire attention à tout ce que l'on visite. La protection infaillible n'existe pas mais avec ça et en faisant tu es bien protégé :)

fize · Answer

Rebonjour Tenshi,

Je vais suivre tes instructions du précédent log.
Pour ce qui est du pare feu et de l'antivirus, je me pose de questions sur bitdefender (que j'ai aacheté, notamment pour avoir vu pas mal de bonnes notes sur cee forum). Je vais continuer à me renseigner et voir ce qui est le plus efficace.

Tout a l'air de bien fonctionner ce matin, mais je crains tjs des infections plus pprofondes. 
Et j'aimerais être certain de disposer maintenant d'une machine saine.
(au dernier reformattage, il y a qq mois, certains trucs bizarre avaient continué, 
notamment les problèmes liés à bitdefender (se désactive, ne tourne pas, ne suit pas toutes les étapes des analyses, 
ne respecte pas les parammètres que je lui mettais,...).
C'est donc là la raison de mon insistance.

Concrètement, voici les résultats des analyses:
- smitfraudfix (mode sans échec)
- malwarebytes (mode sans échec)
- spybot (mode normal)
Note:
Dans spybot > règalges > intérieur du système, 
j'ai ces éléments qui étaient exclus juste après le téléchargement et avant de faire l'analyse:
(je les ai ré-inclus pourl'analyse). 

Element                         Catégorie

%JavaDir%\QTJava.zip            Missing shared DLL
install.exe                     Wrong app path
MsoHtmEd.exe                    Wrong app path
winnt32.exe                     Wrong app path

Est-ce normal qu'ils aient été exclus ?

Une dernière chose: 
lsq j'étaignais la machine, il me mettait pfs
"d'autres utilisateurs ont ouvert une session, êtes vous certain de ..." > normal je crois, c'était moi.
MAIS parfois, un message qui ressemblait à "...ouvert une session sur un ordinateur distant, êtes vous certain de ..."
Et je me rends compte que j'aurais dû  t'n parler avant 
(mon cerveau et mes recherches allaient dans toutes les directions, en pleine confusion...) ! 
C'est pas un hacker ça ? En fait, j'y ai repensé en essayant de réparer avec le CD windows, 
il me demandait le CD xp pro, comme si le contrôle sur ma machine se faisait de xp pro ! 
Ce qui m'a fait penser à du piratage. 
J'interpréte peut-être mal ces événements et Je suis peut-être trop parano, mais j'ai pperdu 
un temps dingue à cause de tout ça, 


Les rapports:

SmitFraudFix v2.323

Rapport fait à  8:18:45,44, mer. 11/06/2008
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS2\Services\Tcpip\..\{15A212F0-7334-47C8-B9B5-01EF6BABB9D3}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin




Malwarebytes' Anti-Malware 1.17
Version de la base de données: 846

8:54:17 11/06/2008
mbam-log-6-11-2008 (08-54-16).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 45263
Temps écoulé: 15 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


et enfin, ...
--- Search result list ---
DoubleClick: Cookie traceur (Internet Explorer: Propriétaire) (Cookie, fixed)
  

WebTrends live: Cookie traceur (Internet Explorer: Propriétaire) (Cookie, fixed)
  

MediaPlex: Cookie traceur (Internet Explorer: Propriétaire) (Cookie, fixed)
  

BlueStreak: Cookie traceur (Internet Explorer: Propriétaire) (Cookie, fixed)
  

Adviva: Cookie traceur (Firefox: default) (Cookie, fixed)
  

DoubleClick: Cookie traceur (Firefox: default) (Cookie, fixed)
  

Statcounter: Cookie traceur (Firefox: default) (Cookie, fixed)
  

Tradedoubler: Cookie traceur (Firefox: default) (Cookie, fixed)
  

Tradedoubler: Cookie traceur (Firefox: default) (Cookie, fixed)
  


--- Spybot - Search & Destroy version: 1.5.2  (build: 20080128) ---

2008-01-28 blindman.exe (1.0.0.7)
2008-01-28 SDDelFile.exe (1.0.2.4)
2008-01-28 SDMain.exe (1.0.0.5)
2007-10-07 SDShred.exe (1.0.1.2)
2008-01-28 SDUpdate.exe (1.0.8.8)
2008-01-28 SDWinSec.exe (1.0.0.11)
2008-01-28 SpybotSD.exe (1.5.2.20)
2008-01-28 TeaTimer.exe (1.5.2.16)
2008-06-11 unins000.exe (51.49.0.0)
2008-01-28 Update.exe (1.4.0.6)
2008-01-28 advcheck.dll (1.5.4.5)
2007-04-02 aports.dll (2.1.0.0)
2007-11-17 DelZip179.dll (1.79.7.4)
2008-01-28 SDFiles.dll (1.5.1.19)
2008-01-28 SDHelper.dll (1.5.0.11)
2008-01-28 Tools.dll (2.1.3.3)
2008-06-03 Includes\Adware.sbi (*)
2008-06-03 Includes\AdwareC.sbi (*)
2008-06-03 Includes\Cookies.sbi (*)
2008-06-03 Includes\Dialer.sbi (*)
2008-06-03 Includes\DialerC.sbi (*)
2008-06-03 Includes\HeavyDuty.sbi (*)
2008-06-04 Includes\Hijackers.sbi (*)
2008-06-03 Includes\HijackersC.sbi (*)
2008-06-03 Includes\Keyloggers.sbi (*)
2008-06-03 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-06-03 Includes\Malware.sbi (*)
2008-06-03 Includes\MalwareC.sbi (*)
2008-06-03 Includes\PUPS.sbi (*)
2008-06-03 Includes\PUPSC.sbi (*)
2007-11-07 Includes\Revision.sbi (*)
2008-06-03 Includes\Security.sbi (*)
2008-06-03 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2008-06-03 Includes\Spyware.sbi (*)
2008-06-03 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti
2008-06-03 Includes\Trojans.sbi (*)
2008-06-03 Includes\TrojansC.sbi (*)
2007-12-24 Plugins\TCPIPAddress.dll



--- System information ---
Windows XP (Build: 2600) Service Pack 2 (5.1.2600)
 / Windows XP / SP10: Microsoft Compression Client Pack 1.0 for Windows XP
 / Windows XP / SP3: Correctif Windows XP - KB883667
 / Windows XP / SP3: Windows Installer 3.1 (KB893803)
 / Windows XP / SP3: Mise à jour pour Windows XP (KB898461)
 / Windows XP / SP3: Hotfix for Windows XP (KB926239)
 / Windows XP OOB / SP10: High Definition Audio Driver Package - KB835221


--- Startup entries list ---
Located: HK_LM:Run, ATIPTA
command: C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
   file: C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
   size: 339968
    MD5: C4708C52AC71338B49334C972DE96682

Located: HK_LM:Run, BDAgent
command: "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
   file: C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
   size: 360448
    MD5: 7624F60BC48976C72419D82244AB4C22

Located: HK_LM:Run, BitDefender Antiphishing Helper
command: "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
   file: C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe
   size: 61440
    MD5: 2E3B46B0A00F17DA31776664D0F2FFF3

Located: HK_LM:Run, SunJavaUpdateSched
command: C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
   file: C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
   size: 32881
    MD5: BED6EDDBF28DB980AA8D3A42D4A05586

Located: HK_LM:Run, SynTPEnh
command: C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
   file: C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
   size: 536576
    MD5: B5DEDA5D8FA66B09A94B0E34F91C9330

Located: HK_LM:Run, SynTPLpr
command: C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
   file: C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
   size: 98304
    MD5: 6C0F0C4B7F53194E3C765CD89C0F4F30

Located: HK_CU:Run, CTFMON.EXE
  where: .DEFAULT...
command: C:\WINDOWS\system32\CTFMON.EXE
   file: C:\WINDOWS\system32\CTFMON.EXE
   size: 15360
    MD5: 5584247B568C2E53934873F4B655FE6A

Located: HK_CU:Run, CTFMON.EXE
  where: S-1-5-19...
command: C:\WINDOWS\system32\CTFMON.EXE
   file: C:\WINDOWS\system32\CTFMON.EXE
   size: 15360
    MD5: 5584247B568C2E53934873F4B655FE6A

Located: HK_CU:Run, CTFMON.EXE
  where: S-1-5-20...
command: C:\WINDOWS\system32\CTFMON.EXE
   file: C:\WINDOWS\system32\CTFMON.EXE
   size: 15360
    MD5: 5584247B568C2E53934873F4B655FE6A

Located: HK_CU:Run, CTFMON.EXE
  where: S-1-5-21-527237240-1580818891-1060284298-1003...
command: C:\WINDOWS\system32\ctfmon.exe
   file: C:\WINDOWS\system32\ctfmon.exe
   size: 15360
    MD5: 5584247B568C2E53934873F4B655FE6A

Located: HK_CU:Run, SpybotSD TeaTimer
  where: S-1-5-21-527237240-1580818891-1060284298-1003...
command: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
   file: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
   size: 2097488
    MD5: A9A5DB6AC3721BE698B996913693D73F

Located: HK_CU:Run, CTFMON.EXE
  where: S-1-5-18...
command: C:\WINDOWS\system32\CTFMON.EXE
   file: C:\WINDOWS\system32\CTFMON.EXE
   size: 15360
    MD5: 5584247B568C2E53934873F4B655FE6A

Located: WinLogon, AtiExtEvent
command: Ati2evxx.dll
   file: Ati2evxx.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, crypt32chain
command: crypt32.dll
   file: crypt32.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, cryptnet
command: cryptnet.dll
   file: cryptnet.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, cscdll
command: cscdll.dll
   file: cscdll.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, ScCertProp
command: wlnotify.dll
   file: wlnotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, Schedule
command: wlnotify.dll
   file: wlnotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, sclgntfy
command: sclgntfy.dll
   file: sclgntfy.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, SensLogn
command: WlNotify.dll
   file: WlNotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, termsrv
command: wlnotify.dll
   file: wlnotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, wlballoon
command: wlnotify.dll
   file: wlnotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!



--- Browser helper object list ---
{53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
          location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
          BHO name: 
        CLSID name: Spybot-S&D IE Protection
       description: Spybot-S&D IE Browser plugin
    classification: Legitimate
    known filename: SDhelper.dll
         info link: http://spybot.eon.net.au/
       info source: Patrick M. Kolla
              Path: C:\PROGRA~1\SPYBOT~1\
         Long name:       SDHelper.dll
        Short name:                   
    Date (created): 11/06/2008 9:07:36
Date (last access): 11/06/2008 10:13:16
 Date (last write): 28/01/2008 11:43:28
          Filesize:            1554256
        Attributes:           archive 
               MD5: 5248E02EFBCB64D328647CD00E384B85
             CRC32:           C1B426A9
           Version:           1.5.0.11



--- ActiveX list ---
{6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)
          DPF name: 
        CLSID name: WUWebControl Class
         Installer: C:\WINDOWS\Downloaded Program Files\wuweb.inf
          Codebase: http://www.update.microsoft.com/...
              Path: C:\WINDOWS\system32\
         Long name:          wuweb.dll
        Short name:                   
    Date (created): 10/06/2008 15:32:18
Date (last access): 11/06/2008 9:39:24
 Date (last write): 30/07/2007 19:19:46
          Filesize:             203096
        Attributes:           archive 
               MD5: FD984F9BFC9C62BD6546BD183CE5ADE7
             CRC32:           8092F837
           Version:       7.0.6000.381

{8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2)
          DPF name: Java Runtime Environment 1.4.2
        CLSID name: Java Plug-in 1.4.2_05
         Installer: 
          Codebase: https://www.oracle.com/java/technologies/
       description: Sun Java
    classification: Legitimate
    known filename: %PROGRAM FILES%\JabaSoft\JRE\*\Bin
pjava131.dll
         info link: 
       info source: Patrick M. Kolla
              Path: C:\Program Files\Java\j2re1.4.2_05\bin\
         Long name:    NPJPI142_05.dll
        Short name:       NPJPI1~1.DLL
    Date (created): 10/06/2008 15:35:32
Date (last access): 11/06/2008 8:41:18
 Date (last write): 10/06/2008 15:35:32
          Filesize:              65650
        Attributes:           archive 
               MD5: 174488C8877FA852448D1937C322AABB
             CRC32:           62C2460D
           Version:           1.4.2.50

{CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} (Java Runtime Environment 1.4.2)
          DPF name: Java Runtime Environment 1.4.2
        CLSID name: Java Plug-in 1.4.2_05
         Installer: 
          Codebase: https://www.oracle.com/java/technologies/
              Path: C:\Program Files\Java\j2re1.4.2_05\bin\
         Long name:    NPJPI142_05.dll
        Short name:       NPJPI1~1.DLL
    Date (created): 10/06/2008 15:35:32
Date (last access): 11/06/2008 10:17:18
 Date (last write): 10/06/2008 15:35:32
          Filesize:              65650
        Attributes:           archive 
               MD5: 174488C8877FA852448D1937C322AABB
             CRC32:           62C2460D
           Version:           1.4.2.50



--- Process list ---
PID:    0 (   0) [System]
PID: 1088 (   4) \SystemRoot\System32\smss.exe
 size: 50688
PID: 1228 (1088) \??\C:\WINDOWS\system32\csrss.exe
 size: 6144
PID: 1252 (1088) \??\C:\WINDOWS\system32\winlogon.exe
 size: 506368
PID: 1296 (1252) C:\WINDOWS\system32\services.exe
 size: 108544
  MD5: 732E0B1ABAACE15D80EC19056B0A2AF9
PID: 1308 (1252) C:\WINDOWS\system32\lsass.exe
 size: 13312
  MD5: 9F3744A5C6F49291A7A685040A013399
PID: 1452 (1296) C:\WINDOWS\system32\Ati2evxx.exe
 size: 376832
  MD5: 5CCA7DF290D82D1048F217E3C6272384
PID: 1464 (1296) C:\WINDOWS\system32\svchost.exe
 size: 14336
  MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA
PID: 1540 (1296) C:\WINDOWS\system32\svchost.exe
 size: 14336
  MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA
PID: 1576 (1296) C:\WINDOWS\System32\svchost.exe
 size: 14336
  MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA
PID: 1628 (1296) C:\WINDOWS\system32\svchost.exe
 size: 14336
  MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA
PID: 1680 (1296) C:\WINDOWS\system32\svchost.exe
 size: 14336
  MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA
PID:  400 (1296) C:\WINDOWS\system32\spoolsv.exe
 size: 57856
  MD5: B4EF928E4FAD79364A80ACBA6D999934
PID:  420 (1252) C:\WINDOWS\system32\Ati2evxx.exe
 size: 376832
  MD5: 5CCA7DF290D82D1048F217E3C6272384
PID:  512 ( 452) C:\WINDOWS\Explorer.EXE
 size: 1036288
  MD5: 4C33E5B9A6197B6ED215F6CFBA0A2DAA
PID:  716 (1296) C:\WINDOWS\system32\slserv.exe
 size: 45056
  MD5: 495B6A1F09E2390D0B5D718CD260E541
PID:  792 (1296) C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
 size: 86016
  MD5: 979F6C6A2A1E31E7BCC6D5D527C98927
PID:  836 (1296) C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
 size: 1155072
  MD5: 0B5A48FC05B3753E9C4B8ADCE134173F
PID:  852 (1296) C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
 size: 1216512
  MD5: E87761FB3062DA38D06F5D9DADF539BB
PID: 1128 ( 512) C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
 size: 32881
  MD5: BED6EDDBF28DB980AA8D3A42D4A05586
PID: 1136 ( 512) C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
 size: 339968
  MD5: C4708C52AC71338B49334C972DE96682
PID: 1152 ( 512) C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
 size: 98304
  MD5: 6C0F0C4B7F53194E3C765CD89C0F4F30
PID: 1156 ( 512) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
 size: 536576
  MD5: B5DEDA5D8FA66B09A94B0E34F91C9330
PID: 1172 ( 512) C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
 size: 360448
  MD5: 7624F60BC48976C72419D82244AB4C22
PID: 1188 ( 512) C:\WINDOWS\system32\ctfmon.exe
 size: 15360
  MD5: 5584247B568C2E53934873F4B655FE6A
PID: 1812 (1296) C:\WINDOWS\System32\svchost.exe
 size: 14336
  MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA
PID: 1912 (1296) C:\WINDOWS\System32\alg.exe
 size: 44544
  MD5: 2FE681D10C5FC343DBBC0610B8DD4D24
PID:  696 ( 512) C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
 size: 7660656
  MD5: B366BB8334CDCFB5C2A58DCF5121B6BC
PID: 1856 (1296) C:\WINDOWS\System32\svchost.exe
 size: 14336
  MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA
PID: 3404 (2848) C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
 size: 5146448
  MD5: 2ECA8CDEED7C82F879E766DA92A3561A
PID: 3420 (2848) C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
 size: 2097488
  MD5: A9A5DB6AC3721BE698B996913693D73F
PID: 3040 ( 512) C:\WINDOWS\system32\mspaint.exe
 size: 347648
  MD5: 7E76AC910A9E49AFF0943CEE887161F7
PID: 3060 (1296) C:\WINDOWS\system32\svchost.exe
 size: 14336
  MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA
PID: 3012 ( 512) C:\WINDOWS\system32
otepad.exe
 size: 70656
  MD5: 16F769BC1D37CC14E3093B9881CF1691
PID:    4 (   0) System


--- Browser start & search pages list ---
Spybot - Search & Destroy browser pages report, 11/06/2008 10:17:18

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
  C:\WINDOWS\system32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
  http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
  http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page
  %SystemRoot%\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
  http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
  http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
  http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
  http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
  https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
  https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm


--- Winsock Layered Service Provider list ---
Protocol  0: MSAFD Tcpip [TCP/IP]
        GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP IP protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD Tcpip [*]

Protocol  1: MSAFD Tcpip [UDP/IP]
        GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP IP protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD Tcpip [*]

Protocol  2: MSAFD Tcpip [RAW/IP]
        GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP IP protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD Tcpip [*]

Protocol  3: RSVP UDP Service Provider
        GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
    Filename: %SystemRoot%\system32svpsp.dll
 Description: Microsoft Windows NT/2k/XP RVSP
 DB filename: %SystemRoot%\system32svpsp.dll
 DB protocol: RSVP * Service Provider

Protocol  4: RSVP TCP Service Provider
        GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
    Filename: %SystemRoot%\system32svpsp.dll
 Description: Microsoft Windows NT/2k/XP RVSP
 DB filename: %SystemRoot%\system32svpsp.dll
 DB protocol: RSVP * Service Provider

Protocol  5: MSAFD NetBIOS [\Device\NetBT_Tcpip_{16FC7D90-0B9D-482F-B476-84186FA431E7}] SEQPACKET 5
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol  6: MSAFD NetBIOS [\Device\NetBT_Tcpip_{16FC7D90-0B9D-482F-B476-84186FA431E7}] DATAGRAM 5
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol  7: MSAFD NetBIOS [\Device\NetBT_Tcpip_{15A212F0-7334-47C8-B9B5-01EF6BABB9D3}] SEQPACKET 4
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol  8: MSAFD NetBIOS [\Device\NetBT_Tcpip_{15A212F0-7334-47C8-B9B5-01EF6BABB9D3}] DATAGRAM 4
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol  9: MSAFD NetBIOS [\Device\NetBT_Tcpip_{08934337-5818-4E81-BAB2-BBCCBEDBA46D}] SEQPACKET 0
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol 10: MSAFD NetBIOS [\Device\NetBT_Tcpip_{08934337-5818-4E81-BAB2-BBCCBEDBA46D}] DATAGRAM 0
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol 11: MSAFD NetBIOS [\Device\NetBT_Tcpip_{09A648A2-4AFC-4305-BE1A-11147B889575}] SEQPACKET 1
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol 12: MSAFD NetBIOS [\Device\NetBT_Tcpip_{09A648A2-4AFC-4305-BE1A-11147B889575}] DATAGRAM 1
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol 13: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4D40D1BF-68B7-4D33-AAE5-9EAA87B94800}] SEQPACKET 2
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol 14: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4D40D1BF-68B7-4D33-AAE5-9EAA87B94800}] DATAGRAM 2
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol 15: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2A66C20F-4F1C-4704-9C0B-5FE6CCCE7CDA}] SEQPACKET 3
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Protocol 16: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2A66C20F-4F1C-4704-9C0B-5FE6CCCE7CDA}] DATAGRAM 3
        GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
    Filename: %SystemRoot%\system32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP NetBios protocol
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: MSAFD NetBIOS *

Namespace Provider  0: TCP/IP
        GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B}
    Filename: %SystemRoot%\System32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP TCP/IP name space provider
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: TCP/IP

Namespace Provider  1: NTDS
        GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC}
    Filename: %SystemRoot%\System32\winrnr.dll
 Description: Microsoft Windows NT/2k/XP name space provider
 DB filename: %SystemRoot%\system32\winrnr.dll
 DB protocol: NTDS

Namespace Provider  2: Espace de noms NLA (Network Location Awareness)
        GUID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83}
    Filename: %SystemRoot%\System32\mswsock.dll
 Description: Microsoft Windows NT/2k/XP name space provider
 DB filename: %SystemRoot%\system32\mswsock.dll
 DB protocol: NLA-Namespace



Voila, est-ce que qq chose ne va pas ?
encore merci pour ton attention.
Et dis-moi, qu'est-ce qui te motive à donner un coup de main à des inconnus sur ce forum ?

Allez, à la prochaine.

Utilisateur anonyme · Answer

alors dans les rapports que tu m'as posté rien ne signale des infections donc c'est clean.

Pour bitdefender tu peux le garder j'avais oublié que tu le possedais (ne l'ayant pas vu dans le dernier rapport hijack ^^ mais c'est bon ;) )

Sinon pour les ouvertures de sessions c'est un peu bizarre. ton premier message ne s'affiche que si tu as une autre session d'ouvert. 
Je m'explique, quand tu fais démarrer fermer la session tu as un choix pour changer d'utilisateur sans fermer la session actuelle pour en ouvrir une autre et c'est dans ce cas la ou ton 1er message s'affiche.

Sinon la connection d'un bureau à distance on peux vérifié si ton bureau peut accepter une aide à distance. Pour cela va dans propriété du poste de travail. Ensuite clique sur l'onglet Utilisation à distance vérifie que toutes les cases sont décoché. Cela bloquera tout les demandes pour ce connecter à ton ordi à distance.

Sinon pou le cd xp pro euh j'ai pas vraiment d'explication :s

Pour ce qui est de ma motivation , c'est parsque j'aime l'informatique et c'est un plaisir que de partager mes connaissances avec d'autres ou d'aider les personnes en difficulté :)


Voila voila :)

yesil08 · Answer

essai

De l'aide pour un rapport hijack this...

27 réponses

Discussions similaires