A voir également:
- AGOBOT-KU/system32.exe - Faux positif ou ver
- Svchost exe - Guide
- .Exe - Télécharger - Divers Utilitaires
- Frst64.exe - Télécharger - Sécurité
- Bat to exe converter - Télécharger - Édition & Programmation
- Trojan b901 system32 win config 34 ✓ - Forum Virus
7 réponses
Utilisateur anonyme
25 nov. 2008 à 07:47
25 nov. 2008 à 07:47
Salut,
pour les NODxxx...ce sont tous simplement les fichier comportant les signature de Nod32
C'est donc possible que Antivir les détecte comme "virus" si ils ont des bases de détection similaires.
Ton rapport est clean.
pour les NODxxx...ce sont tous simplement les fichier comportant les signature de Nod32
C'est donc possible que Antivir les détecte comme "virus" si ils ont des bases de détection similaires.
Ton rapport est clean.
Utilisateur anonyme
27 nov. 2008 à 21:18
27 nov. 2008 à 21:18
Cela est du surment au application installer sur ton pc qui l'allourdisse...
ps : mince j'i pas vu mais ta 2 antivirus !
Onecare (payant) et antivir !
désinstalle oncare qui est vraiment nul et te fera économiser !
On va nettoyer :
1-CCleaner
je t'en nes parler au dessus, nettoye, va dans les option avancée et coche la case pour le nettoyage au demarrage.
2-fix ca, inutile detre au demarrage ca fera gagner quelque seconde :
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [BigFix] c:\program files\Bigfix\bigfix.exe /atstartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
3-tu as :
antivir
microsoft oncare
spybot
avg
ad-aware
zone alarme
...
ps : moi j'ai que 2 et je suis pas plus infecter...
ca m'étonne pas que ca ralentisse...ce sont des application qui tourne en font prenne des MO de ram, de la puissance pour analyser et de la connection pour ce mettre à jour...
on reprend :
antivir ->garde
microsoft oncare -> résilie et désinstalle
spybot -> désactive le tea time au minimum ou deesinstalle le
avg -> désinstalle
ad-aware -> désinstalle
zone alarme ->garde
Garde malwarebyte si tu la encore sinon
telecharge a la place de tout ca :
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
4-Met à jour ca, qui peut etre facteur d'infection :
https://www.java.com/fr/download/
5-Defragmente :
https://www.generation-nt.com/windows-vista-planifier-programmer-defragmentation-windows-vista-defaut-astuce-41678-1.html
Voila ca devrai aller bien mieu
ps : mince j'i pas vu mais ta 2 antivirus !
Onecare (payant) et antivir !
désinstalle oncare qui est vraiment nul et te fera économiser !
On va nettoyer :
1-CCleaner
je t'en nes parler au dessus, nettoye, va dans les option avancée et coche la case pour le nettoyage au demarrage.
2-fix ca, inutile detre au demarrage ca fera gagner quelque seconde :
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [BigFix] c:\program files\Bigfix\bigfix.exe /atstartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
3-tu as :
antivir
microsoft oncare
spybot
avg
ad-aware
zone alarme
...
ps : moi j'ai que 2 et je suis pas plus infecter...
ca m'étonne pas que ca ralentisse...ce sont des application qui tourne en font prenne des MO de ram, de la puissance pour analyser et de la connection pour ce mettre à jour...
on reprend :
antivir ->garde
microsoft oncare -> résilie et désinstalle
spybot -> désactive le tea time au minimum ou deesinstalle le
avg -> désinstalle
ad-aware -> désinstalle
zone alarme ->garde
Garde malwarebyte si tu la encore sinon
telecharge a la place de tout ca :
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
4-Met à jour ca, qui peut etre facteur d'infection :
https://www.java.com/fr/download/
5-Defragmente :
https://www.generation-nt.com/windows-vista-planifier-programmer-defragmentation-windows-vista-defaut-astuce-41678-1.html
Voila ca devrai aller bien mieu
Bonjour,
c'est vrai, j'ai beaucoup d'antivirus, mais je ne crois que cela est le facteur qui ralentisse la fermeture de Windows. Je les avais bien avant ce problème excepté Malwarebyte. Je suis sûr que c'est quelque chose d'autre. Concernant OneCare, tu as raison, cela fait deux mois que mon contrat est expiré, je dois le désinstaller. De tout manière, son pare-feu est totalement nul puisqu'il n'arrête pas les données sortantes, et de plus ne m'avise de pratiquement rien. Je sais maintenant que c'était une anarque de Microsoft.
Pardi! C'est vrai, j'ai complètement oublié la défrag!
Le démarrage n'est pas le problème. Aussi rapide que le premier jour que j'ai eu mon ordi. Toutefois, bonne idée, je vais fixer quelques registres.
Je répète, c'est seulement la fermeture qui pose un problème et les antivirus ne sont en cause.
c'est vrai, j'ai beaucoup d'antivirus, mais je ne crois que cela est le facteur qui ralentisse la fermeture de Windows. Je les avais bien avant ce problème excepté Malwarebyte. Je suis sûr que c'est quelque chose d'autre. Concernant OneCare, tu as raison, cela fait deux mois que mon contrat est expiré, je dois le désinstaller. De tout manière, son pare-feu est totalement nul puisqu'il n'arrête pas les données sortantes, et de plus ne m'avise de pratiquement rien. Je sais maintenant que c'était une anarque de Microsoft.
Pardi! C'est vrai, j'ai complètement oublié la défrag!
Le démarrage n'est pas le problème. Aussi rapide que le premier jour que j'ai eu mon ordi. Toutefois, bonne idée, je vais fixer quelques registres.
Je répète, c'est seulement la fermeture qui pose un problème et les antivirus ne sont en cause.
Utilisateur anonyme
24 nov. 2008 à 13:33
24 nov. 2008 à 13:33
Salut,
1/
Télécharger CCleaner (installe pas la barre de Yahoo ) :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
lance le, dans nettoyeur clique sur lancer le nettoyage puis dans Registre fait chercher et répare les erreurs autant de fois qu'il y en n'a.
2/
On enlève le plus gros :
fait un scan en ligne avec internet explore, si tu as firefox fait:
démarrer -> executer -> tape : iexplore (puis valide)
BRANCHE TA OU TES CLE USB / LECTEUR EXTERNE ...
(coche toutes les cases à chaque fois) :
https://www.eset.com/
à la fin colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt
si ta besoin d'aide tu as un tutoriel ici : http://bibou0007.com/tutos-et-lexique-f45/tutorial-nod32-online-scanner-t128.htm
3/ Fait un scan avec malwarebyte :
telechargement et aide ici :
http://www.pcinfo-web.com/...
une fois fini le rapport s'ouvre copie le et supprime toute la selection.
4/
Ensuite une fois fini fait un rapport hijackthis :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
tu le télécharges, tu le lances et tu cliquera sur le premier bouton en haut "Do a system scan and save a logfile"
tu colleras le fichier texte ici ;).
PS : Ne fermes pas le programme
1/
Télécharger CCleaner (installe pas la barre de Yahoo ) :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
lance le, dans nettoyeur clique sur lancer le nettoyage puis dans Registre fait chercher et répare les erreurs autant de fois qu'il y en n'a.
2/
On enlève le plus gros :
fait un scan en ligne avec internet explore, si tu as firefox fait:
démarrer -> executer -> tape : iexplore (puis valide)
BRANCHE TA OU TES CLE USB / LECTEUR EXTERNE ...
(coche toutes les cases à chaque fois) :
https://www.eset.com/
à la fin colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt
si ta besoin d'aide tu as un tutoriel ici : http://bibou0007.com/tutos-et-lexique-f45/tutorial-nod32-online-scanner-t128.htm
3/ Fait un scan avec malwarebyte :
telechargement et aide ici :
http://www.pcinfo-web.com/...
une fois fini le rapport s'ouvre copie le et supprime toute la selection.
4/
Ensuite une fois fini fait un rapport hijackthis :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
tu le télécharges, tu le lances et tu cliquera sur le premier bouton en haut "Do a system scan and save a logfile"
tu colleras le fichier texte ici ;).
PS : Ne fermes pas le programme
Salutation,
voilà j'ai suivi ton protocole. Sais-tu que le NOD32 de ESET est terrible en matière de temps d'analyse.
Observe:
https://imageshack.com/
De surcroît, mon ordinateur a subi un assaut de troyens pendant le online scan. C'est ce que dit le fameux Antivir, maître des faux positifs.
https://imageshack.com/
Par une coïncidence épatante, les troyens résidaient dans des fichiers temporaires nommés généralement NODXXXX (où les X étaient des lettres et chiffres générés aléatoirement). NODXXXX et NOD32, quelle coïncidence...
En tout cas, crois-tu que c'étaient des faux positifs?
Voilà mon log NOD32:
----------------------------------------------------------------------------------------------------------------------------------------------------
# version=4
# OnlineScanner.ocx=1.0.0.56
# OnlineScannerDLLA.dll=1, 0, 0, 51
# OnlineScannerDLLW.dll=1, 0, 0, 51
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3636 (20081124)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.066 (20070917)
# EOSSerial=750978f8dbe60f45b5ae627c9d50135f
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2008-11-25 03:44:39
# local_time=2008-11-24 10:44:39 (-0500, Est)
# country="France"
# osver=6.0.6001 NT Service Pack 1
# scanned=759159
# found=0
# scan_time=20927
-------------------------------------------------------------------------------------------------------------------------------------------------
Pour MalwareByte, est-ce que cela peut attendre: je suis éreinté du scan de ESET.
Voici mon log HiJackThis...pour la seconde fois:
-------------------------------------------------------------------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:35:26, on 2008-11-24
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\BigFix\bigfix.exe
C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
C:\Program Files\ScanSoft\OmniPageSE4\OpWareSE4.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Windows\System32\rundll32.exe (HEIN? 2 fois!)
C:\Windows\ehome\ehmsas.exe
C:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.gateway.com/g/startpage.html?Ch=Retail&SubCH=nofound&Br=GTW&Loc=FRN_CA&Sys=DTP&M=GT5634H
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.gateway.com/g/startpage.html?Ch=Retail&SubCH=nofound&Br=GTW&Loc=FRN_CA&Sys=DTP&M=GT5634H
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.gateway.com/g/sidepanel.html?Ch=Retail&SubCH=nofound&Br=GTW&Loc=FRN_CA&Sys=DTP&M=GT5634H
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - c:\windows\system32\BAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [BigFix] c:\program files\Bigfix\bigfix.exe /atstartup
O4 - HKLM\..\Run: [OneCareUI] "C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\Windows\System32\LEXBCES.EXE
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
voilà j'ai suivi ton protocole. Sais-tu que le NOD32 de ESET est terrible en matière de temps d'analyse.
Observe:
https://imageshack.com/
De surcroît, mon ordinateur a subi un assaut de troyens pendant le online scan. C'est ce que dit le fameux Antivir, maître des faux positifs.
https://imageshack.com/
Par une coïncidence épatante, les troyens résidaient dans des fichiers temporaires nommés généralement NODXXXX (où les X étaient des lettres et chiffres générés aléatoirement). NODXXXX et NOD32, quelle coïncidence...
En tout cas, crois-tu que c'étaient des faux positifs?
Voilà mon log NOD32:
----------------------------------------------------------------------------------------------------------------------------------------------------
# version=4
# OnlineScanner.ocx=1.0.0.56
# OnlineScannerDLLA.dll=1, 0, 0, 51
# OnlineScannerDLLW.dll=1, 0, 0, 51
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3636 (20081124)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.066 (20070917)
# EOSSerial=750978f8dbe60f45b5ae627c9d50135f
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2008-11-25 03:44:39
# local_time=2008-11-24 10:44:39 (-0500, Est)
# country="France"
# osver=6.0.6001 NT Service Pack 1
# scanned=759159
# found=0
# scan_time=20927
-------------------------------------------------------------------------------------------------------------------------------------------------
Pour MalwareByte, est-ce que cela peut attendre: je suis éreinté du scan de ESET.
Voici mon log HiJackThis...pour la seconde fois:
-------------------------------------------------------------------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:35:26, on 2008-11-24
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\BigFix\bigfix.exe
C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
C:\Program Files\ScanSoft\OmniPageSE4\OpWareSE4.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Windows\System32\rundll32.exe (HEIN? 2 fois!)
C:\Windows\ehome\ehmsas.exe
C:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.gateway.com/g/startpage.html?Ch=Retail&SubCH=nofound&Br=GTW&Loc=FRN_CA&Sys=DTP&M=GT5634H
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.gateway.com/g/startpage.html?Ch=Retail&SubCH=nofound&Br=GTW&Loc=FRN_CA&Sys=DTP&M=GT5634H
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.gateway.com/g/sidepanel.html?Ch=Retail&SubCH=nofound&Br=GTW&Loc=FRN_CA&Sys=DTP&M=GT5634H
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - c:\windows\system32\BAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [BigFix] c:\program files\Bigfix\bigfix.exe /atstartup
O4 - HKLM\..\Run: [OneCareUI] "C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\Windows\System32\LEXBCES.EXE
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
25 nov. 2008 à 14:44
25 nov. 2008 à 14:44
Pour la 1er question, il peux s'agir d'un problème de mémoire, sa te le fait que avec spybot?
j'ai trouver plusieur message d'autre personne qui ont soucis mais pas de réponse, essaye de réinstaller spybots à la limite voir qsi sa le fait tjr...
Pour la 2eme question pas mieux je ne sais pas quoi te dire, oui les faux dispositif ca existe aussi c'est spybot mais bon si les scan donne rien et un hijackthis ok...
Malwarebyte ta fait le scan ta eu quoi ? et un scan spybot ta quelque chose?
ligoquement si té infecter parce bot :
http://www.sophos.com/security/analyses/viruses-and-spyware/w32agobotku.html
on voie en descritption que tu pourrit plus te connecter a ces sites :
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
j'ai trouver plusieur message d'autre personne qui ont soucis mais pas de réponse, essaye de réinstaller spybots à la limite voir qsi sa le fait tjr...
Pour la 2eme question pas mieux je ne sais pas quoi te dire, oui les faux dispositif ca existe aussi c'est spybot mais bon si les scan donne rien et un hijackthis ok...
Malwarebyte ta fait le scan ta eu quoi ? et un scan spybot ta quelque chose?
ligoquement si té infecter parce bot :
http://www.sophos.com/security/analyses/viruses-and-spyware/w32agobotku.html
on voie en descritption que tu pourrit plus te connecter a ces sites :
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
Salut,
voilà un bon point que tu soulignes: j'aurais dû lire plus exhaustivement la page de Sophos.
En ce qui concerne malwarebyte, le rapport est négatif. Mon ordi est clean.
Enfin, j'ai fait une analyse VirusTotal pour un des fichiers temporaires NODXXXX (de NOD32) et le résultat est positif pour trois antivirus. Soit Antivir, Panda et Ikarus.
Voici le rapport:
http://www.virustotal.com/fr/reanalisis.html?0bcc8e01c0ba5a85d590cabd7a3cfa03
En passant, malgré que mon ordi est sain, il y a quand même un comportement qui me taraude: la lenteur de la fermeture de session. Cela peut durer de 5 min à 10 min. Avant, c'était au max 30 seconde. Pourtant, le CPU est utilisé au minimum et l'ordinateur n'est absolument pas au ralenti lorsque je l'utilise. Je sais que l'info manque à ce propos, mais est-il possible que tu m'orientes de manière générale sur ce comportement étrange qui a commencé naguère. En tout cas, de mon bord, je passe l'ordi au peigne fin dans le but de déterminer les processus suspects.
voilà un bon point que tu soulignes: j'aurais dû lire plus exhaustivement la page de Sophos.
En ce qui concerne malwarebyte, le rapport est négatif. Mon ordi est clean.
Enfin, j'ai fait une analyse VirusTotal pour un des fichiers temporaires NODXXXX (de NOD32) et le résultat est positif pour trois antivirus. Soit Antivir, Panda et Ikarus.
Voici le rapport:
http://www.virustotal.com/fr/reanalisis.html?0bcc8e01c0ba5a85d590cabd7a3cfa03
En passant, malgré que mon ordi est sain, il y a quand même un comportement qui me taraude: la lenteur de la fermeture de session. Cela peut durer de 5 min à 10 min. Avant, c'était au max 30 seconde. Pourtant, le CPU est utilisé au minimum et l'ordinateur n'est absolument pas au ralenti lorsque je l'utilise. Je sais que l'info manque à ce propos, mais est-il possible que tu m'orientes de manière générale sur ce comportement étrange qui a commencé naguère. En tout cas, de mon bord, je passe l'ordi au peigne fin dans le but de déterminer les processus suspects.
Utilisateur anonyme
27 nov. 2008 à 23:06
27 nov. 2008 à 23:06
ba si la fermeture de windows comprend la fermeture des programme et donc aussi des antivirus...
pour NODXXXX je suis quasiment convaincu que sa doit etre la base de signature du scanner en ligne de Nod32
voir : https://www.wilderssecurity.com/threads/nodxxxx-tmp-files.107892/
pour NODXXXX je suis quasiment convaincu que sa doit etre la base de signature du scanner en ligne de Nod32
voir : https://www.wilderssecurity.com/threads/nodxxxx-tmp-files.107892/
Allô,
ah! Tu as tombé sur un des sites que j'ai consulté avant de poser ma question sur ce forum.
Néanmoins, même si le lien entre l'antivirus d'Eset et les fichiers NODXXXX est probant, il reste que TOTALVIRUS nous indique que 3 antivirus les considèrent comme nuisibles. Pk?
Trois antivirus signifie-il un faux positif nécessairement?
Ouf? Finalement, je digresse beaucoup du AGOBOT-KU, mais au moins j'apprend des choses au moyen de ce fil. ^_^
Merci pour ta patience.
Un badaud
ah! Tu as tombé sur un des sites que j'ai consulté avant de poser ma question sur ce forum.
Néanmoins, même si le lien entre l'antivirus d'Eset et les fichiers NODXXXX est probant, il reste que TOTALVIRUS nous indique que 3 antivirus les considèrent comme nuisibles. Pk?
Trois antivirus signifie-il un faux positif nécessairement?
Ouf? Finalement, je digresse beaucoup du AGOBOT-KU, mais au moins j'apprend des choses au moyen de ce fil. ^_^
Merci pour ta patience.
Un badaud
Utilisateur anonyme
28 nov. 2008 à 12:14
28 nov. 2008 à 12:14
je tes dis que les NODXXX est la base de signature de l'antivirus Nod32 qui contient les signature de virus, c'est logique que d'autre puisse les détecté aussi !
c'est le même principe quand on dit de pas mettre 2 antivirus qu'ils peuvent ce détecter entre eux !
c'est le même principe quand on dit de pas mettre 2 antivirus qu'ils peuvent ce détecter entre eux !
25 nov. 2008 à 12:59
encore une info supplémentaire parce que je veux en avoir le coeur net:
ces «Acces Violation at address ********. Read for address --------» de Teatimer.exe à la fermeture de Windows, cela représente quoi exactement(de manière claire s.v.p.) Qu'est ce qui provoquerait ces violations d'accès, d'après toi?
J'ai un Windows Vista Familial.
Seconde question:
Crois-tu réellement que AGOBOT-KU est un faux positif? Alors, pk la fenêtre qui me faisait remarquer que la modification était «blank» revenait sans cesse? Spybot a-t-il beaucoup d'autres cas de faux positifs.?
Par contre, pour Antivir, je le sais maintenant.
Désolé pour toutes ces questions mais je déteste une situation où je suis mal informé.
Prends le temps pour répondre,
Bye et merci!