Sujet Précédent Sujet Suivant

Bug bizarres, virus? or not

ludo -  
 seb -
Bonjour à tout les pro du forum,
depuis qq temps j'ai des pbs avec mon pc qui agit très bizarrement.
Petites précisions : j'ai win2000, j'ai norton qui ne trouve pas de virus, j'ai essayé ravantivirus et secuser et rien non plus...
Alors voilà : qd je démarre mon pc norton est désactivé...je le réactive et pas de pb...mon pc tourne qq heures...10,20maxi et d'un coup j'ai plein de ptits bugs comme les liens http qui ne marche plus, ou encore le media player qui se met en abandon et se ferme instantanement après son lancement...
Seule solution, le reboot qui fait repartir le pc nickel pr 10,20h...

voici le log HijackThis au cas ou : 
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Symantec\Ghost\ngserver.exe
C:\WINNT\System32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Symantec\Ghost\bin\dbserv.exe
C:\Program Files\Symantec\Ghost\bin\rteng6.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\Logitech\iTouch\kbdtray.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\\NVCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NGServer] C:\Program Files\Symantec\Ghost\ngserver.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2B872BE-1D0D-480E-9DEA-71589119A72C}: NameServer = 212.27.32.5,213.228.0.168


voilà j'attend vos conseils avec impatience.
merci d'avance

22 réponses

  • 1
  • 2
Réponse 1 / 22
bernie61
 
Salut
alors essaies ce logiciel ci, quand tu le lances tu cliques sur FIX
http://209.133.47.200/~merijn/files/CWShredder.exe
puis essaies celui-là: scan en ligne
http://www.pestscan.com/ScanOrTrial.asp
Voilà a+
0
ludo
 
je viens d'essayer et le premier n'a rien trouvé...
en ce qui concerne le scan du second il me met des cookies(spyware+tracking) et un truc qui s'apelle : "Alexa - Exploit"
rien ne me parait très louche, mais bon suis pas un pro.
je dois en déduire qq chose de tt ça?
d'autres idées?
merci
0
Réponse 2 / 22
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
a tu bien clicker sur fix pour le premier
install et utilise ces 2 log ils sont complementaires
et vire tous ce qu il trouve
Supprimer les mouchards avec AdAware ou Spybot:
http://www.ordi-netfr.org/tutorialadaware.html
spyboot
http://www.safer-networking.org/index.php?page=download&lang=fr
pense a les mettres a jour avant de scan ton pc
0
ludo
 
slt,
j'ai bien fait fix pr le premier, mais rien...
spybot me trouve ca : 
Alexa Related: What's related link (Remplacer le fichier, nothing done)
  C:\WINNT\Web\RELATED.HTM

DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-21-796845957-823518204-682003330-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Modification du registre, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

Windows Media Player: Anonymous ID (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-21-796845957-823518204-682003330-500\Software\Microsoft\MediaPlayer\Preferences\SendUserGUID=B=0

Windows Media Player: Client ID (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-21-796845957-823518204-682003330-500\Software\Microsoft\MediaPlayer\Player\Settings\Client ID=

Windows Media Player: Client ID (Modification du registre, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\MediaPlayer\Player\Settings\Client ID=


est ce qu'il faut que je les corrige? (tout ce qui touche au registre je me mefie...)
merci.

PS:je vous redit ce soir si ca a changer qq chose...
0
Réponse 3 / 22
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
tous se que spy trouve tu corrige et tu click sur vaccinner
de toute facon il fait une sauvegarde
0
ludo
 
c fait...mais tjrs pareil...
par contre je viens de voir justement que qd ca plante il met que svchost.exe a rencontré des erreurs et ferme...
et en regardant bien j'ai vu que mon firewall qui bloc tt tout seul a bloqué svchost...donc c ptet ca?
de même vous pourriez me dire si il faut que j'authorise les applications : lsass.exe,systemmstask.exe,winmgmt.exe.
pcque actuellement elles sont ttes bloquées par le firewall...
merci de m'apporter qq précisions.
++
0
Réponse 4 / 22
bill
 
j'ai le meme probleme, malgré de multiples recherches antivirus, mise à jour etc ça déconne encore. Ne serait ce pas un tout nouveau virus virulent?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
émile
 
Bonsoir

Suite au même problème avec 98

Et il faut faire un scanne en ligne pour un troijan

Le résulta devrais être

Alexa exploit et double clik

Donc j ai fait démarrer rechercher sur c : et les ai supprimer manuellement

Et le problème est résolu

Bonne soirée
0
Réponse 6 / 22
bill
 
Alexa?c'est quoi?
0
Réponse 7 / 22
normand
 
Salut a tous, j'ai mon PC qui n'arrète pas de me faire des soucis ce qui me fait perdre un temps considérable. Son dernier truc est de ne plus arriver à faire fonctionner Windows media player qui plante chaque fois que je lui demande de lire un film...
Je suis plutot un débutant et tous conseils me seraient vraiment utiles...
merci enomerment d'avance...
precisions: windows 98, probleme avec wmp series9: lorsque il plante chaque fois que je lui demande de lire un film, je fais Ctrl Alt Suppr et il me trouve wmp9 et <inconnu> qui sont sans réponse...
voici le log HijackThis au cas ou:
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\NIKON\NKVIEW4\NKVWMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\BUREAU\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.fr.netscape.com/fr/home/winsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.fr.netscape.com/fr/home/winsearch200.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F0 - system.ini: Shell=
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TridTray] c:\windows\SYSTEM\tridtray.exe
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Multimedia Keyboard] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Onscreen Display] C:\Program Files\Netropa\Onscreen Display\OSD.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ICSDCLT] c:\windows\rundll32.exe c:\windows\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [SSDPSRV] c:\windows\SYSTEM\ssdpsrv.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: NkVwMon.exe.lnk = C:\Program Files\Nikon\NkView4\NkVwMon.exe
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38083.2527662037
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

Merci encore pour tout conseil...
0
Réponse 8 / 22
normand
 
alors svp un coup de main,
mon ordi c'est mon outil de travail,
en gros je suis dans la merde,
que faire???merci
0
Réponse 9 / 22
bernie61
 
Salut
Je ne vois rien à fixer pour le moment mais
A lire ceci pour tridtray.exe
http://www.answersthatwork.com/Tasklist_pages/tasklist_t.htm
je le retire des taches à exécuter: regarde si ça marche mieux simplement en faisant Gestionnaire des tâches/tridtray.exe et terminer processus; si tu n'as pas tridtray c'est peut être alors systray.exe à terminer processus;
0
Réponse 10 / 22
normand
 
merci je regarde,
a+
0
Réponse 11 / 22
bernie61
 
Re salut,
Va faire un scan antivirus en ligne
http://security.symantec.com/sscv6/home.asp?j=1&langid=ie&venid=sym&plfid=23&pkj=NKRXYNBRFNJSVSTIVVB
ou refais une MAJ de ton antivirus et scan pcq systray.exe peut être un ver:
http://www.sophos.fr/virusinfo/analyses/w32cheapcama.html
A+
0
Réponse 12 / 22
normand
 
systray a bien l'air d'etre en trop
merci bien
je vais voir ce que je peux faire
0
Réponse 13 / 22
normand
 
Bon c'est pas fini ce serait trop facile
maintenant wmp serie9 plante toujours et me dit:
<INCONNU> a causé une défaillance de page dans
le module <inconnu> à 0000:bff80ec8.
Registres :
EAX=00007e41 CS=017f EIP=bff80ec8 EFLGS=00010246
EBX=00000000 SS=0187 ESP=83924cb4 EBP=83924cc4
ECX=81853364 DS=0187 ESI=8182c244 FS=19ef
EDX=817f901c ES=0187 EDI=00000001 GS=0000
Octets à CS : EIP :
8b 14 81 8b 42 0c 89 45 f8 eb 3b 8b 40 38 66 89
État de la pile :
00000001 81855224 00000000 817f9000 81857f74 bff89c45 8182d4a0 81855224 83924f14 8185ffff 00000000 81857f74 bff7e7ab 83924e04 83924cfc 8185786c

je vous cache pas que je ne comprends pas tout a ce dialecte,
un grand merci a tous ceux qui me répondent
merci a +
0
Réponse 14 / 22
ludo
 
Salut à tous,
je commence à desespérer de redemarrer à chaque fois mon pc...
tjrs rien avec spybot et les divers antivirus...
je récapitule les differents symptome au cas ou:
-desactivation de norton au demarrage.
Au bout de qq minutes,heures (ca depend) :
-svchost en erreur et se ferme
-lien http désactivés
-norton met tout les status en actualisation et ne veut plus rien savoir
-wmp se met en abandon dès son demarrage (se ferme donc)
-impossible de faire des recherches de fichiers
-repertoires systemes invisibles (winnt vide !)
-raccourci clavier (ctrl+c,ctrl+v,...) ne fonctionne plus.

voilà ce que j'ai relevé pr l'instant.
merci de m'aider.
++ :'(
0
Réponse 15 / 22
bernie61
 
Salut
As-tu fais un scan comme j'avais demandé avant de virer systray.exe car ce fichier est bien indispensable; sinon tu es bon pour une restauration antérieure;
A+
0
Réponse 16 / 22
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
alors action numero 1
telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser

ftp://www.renonce.com/pub/renonce/Rimouveur.exe

Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC
et si ca ne marche pas utiliser la touche f5 a la place
Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus

Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc

ensuite effectue celui ci
http://209.133.47.200/~merijn/files/CWShredder.exe

il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire next - next
0
Réponse 17 / 22
ludo
 
slt tous,
je desespere un peu de voir le message :"svchost a généré des erreurs et est en cours de fermeture..."
puisque c'est à partir de là que tout commence à partir en ...

le rimouver me donne ca : 
Elément(s) supprimé(s) :
Fichier C:\WINNT\*.tmp supprimé (Fichiers Temporaire, peut cacher des virus)

Fichier(s) avec demande de suppression manuelle :
C:\
arcldr.exe
arcsetup.exe
C:\WINNT\System\
WOWPOST.EXE
C:\WINNT\System32\Wins\

Correctif Microsoft KB824146 n'est pas installé
Correctif Microsoft KB835732 déjà installé


mais pourquoi ce svchost se plante???
merci à vous.
0
Réponse 18 / 22
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
tu la bien fait en mode sans echec sinon ca marche pas
et celui la tu la fait
ensuite effectue celui ci
http://209.133.47.200/~merijn/files/CWShredder.exe

il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire next - next
0
Réponse 19 / 22
ludo
 
re,
oui j'ai tout fait...
exactement comme vous l'aviez dit, mais rien...
est ce que ca ne pourrait pas venir d'une mauvaise config de qq chose ou un prog qui fou la merde plutot qu'un virus?
pcque là au niveau antivirus et autres j'ai fait le tour...
++
0
Réponse 20 / 22
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
a tu la derniere version de spyboot la 1;3
si non telecharge la et avant de l install il faut supprimer l an cienne version a l aide d ajout suppression de prog et ensuite supprimmer le dossier spyboot dans programme files
et la tu instal la nouvelle
spyboot
http://www.safer-networking.org/index.php?page=mirrors
0

Discussions similaires

Iptv beug
leogauthier15 -
bazfile -

1 réponse
Problème IPTV SMARTER
eneleh49 -
glandu -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Problème iptv boîtier
Joaurep -
Joaurep -

2 réponses
La lecture des vidéos ne fonctionne pas sur mon iptv smarter
Gi -
glandu -

1 réponse