Ralentissement à cause de certain processus [Résolu]

Réponse 1 / 19

Utilisateur anonyme

bonsoir

Commence par poster un rapport HijackThis stp,
>Télécharge HiJackThis : http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
- Lance le programme, puis sélectionne < do a system scan and save a logfile >
- Enregistre le rapport sur ton bureau.
Et envoie, par copier/coller, ton log Hijackthis sur le forum,

A+

Tuto : si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Re,

Merci pour votre réactivité.

Voilà le rapport.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:12:39, on 29/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Réponse 2 / 19

kevin05 Messages postés 3636 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

Salut

Commence par poster un rapport HijackThis stp,
>Télécharge hijackthis
- Lance le programme, puis sélectionne < do a system scan and save a logfile >
- Enregistre le rapport sur ton bureau.
Et envoie, par copier/coller, ton log Hijackthis sur le forum,

A+

si problème tuto

Utilisateur anonyme

j ai qques secondes d avance mais...
je suis fatigué...

prends le topic......
a + kevin 05..

Utilisateur anonyme > Utilisateur anonyme

oups de retard...
a+

Réponse 3 / 19

kevin05 Messages postés 3636 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

Télécharges MalwareByte's :
ici
ou ici

Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le : ici

Potasses le tuto pour te familiariser avec le prg :
tuto ici
ou ici
( cela dis, il est très simple d'utilisation ).

! Déconnectes toi et fermes toutes applications en cours !

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

--> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Réponse 4 / 19

kevin05 Messages postés 3636 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

et merci achert9 A+

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Re,

Voilà le rapport demandé

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1434
Windows 5.1.2600 Service Pack 3

30/11/2008 00:32:53
mbam-log-2008-11-30 (00-32-53).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 97613
Temps écoulé: 1 hour(s), 1 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\InternetGameBox (Adware.EGDAccess) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\InternetGameBox\uninst.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.

J'attends la suite.

Prêt à poster.

@+

Réponse 5 / 19

kevin05 Messages postés 3636 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

Telecharge UsbFix sur ton bureau
--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Voila le rapport

J'ai choisit le mode 1 nettoyage et le pc a redémarrer.

Il m'a demandé deux fois d'insérer un disque de windows mais j'ai annulé et ensuite le rapport est apparu.

-------------- UsbFix V2.413.2 ---------------

* User : Nico - NICOLAS-MCU1TQA
* Outils mis a jours le 29/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 1:28:20 le 30/11/2008
* Windows Xp - Internet Explorer 7.0.5730.13

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\DOCUME~1\Nico\LOCALS~1\Temp\1.tmp\b2e.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\V0350Mon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur de CD-ROM

G: - Lecteur fixe

+- Contenu de l'autorun : D:\autorun.inf

[autorun]
open=OblivionLauncher.exe
icon=Oblivion.ico

--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe

+- Listing des fichiers présents :

[09/10/2008 14:45][--a------] C:\AUTOEXEC.BAT
[01/01/2008 17:14][-rahs----] C:\NTDETECT.COM
[04/10/2008 22:34][--ahs----] C:\boot.ini
[30/11/2008 01:28][--a------] C:\UsbFix.txt
[01/01/2008 15:30][--a------] C:\CONFIG.SYS
[01/01/2008 15:30][--a------] C:\IO.SYS
[01/01/2008 15:30][--a------] C:\MSDOS.SYS
[01/01/2008 15:30][--a------] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur de CD-ROM

+- Listing des fichiers présents :

[27/02/2006 15:18][-r-------] D:\OblivionLauncher.exe
[27/02/2006 15:18][-r-------] D:\setup.exe
[28/02/2006 18:53][-r-------] D:\setup.ini
[21/11/2005 18:26][-r-------] D:\autorun.inf

--------------- [ Lecteur G ] ----------------

G: - Lecteur fixe

+- Listing des fichiers présents :

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Secondary Start Pages"=hex(7):00,00
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ZoneAlarm Client="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz=nwiz.exe /install
egui="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
V0350Mon.exe=C:\WINDOWS\V0350Mon.exe
NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

--------------- [ Registre / Mountpoint2 ] ----------------

-> Recherche négative.

--------------- [ Nettoyage des disques ] ----------------

Echec de la supression !! - [21/11/2005 18:26] D:\autorun.inf
Echec de la supression !! - [21/11/2005 18:26] D:\autorun.inf
Echec de la supression !! - [21/11/2005 18:26] D:\autorun.inf

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[09/10/2008 14:45][--a------] C:\AUTOEXEC.BAT
[01/01/2008 17:14][-rahs----] C:\NTDETECT.COM
[04/10/2008 22:34][--ahs----] C:\boot.ini
[27/02/2006 15:18][-r-------] D:\OblivionLauncher.exe
[27/02/2006 15:18][-r-------] D:\setup.exe
[28/02/2006 18:53][-r-------] D:\setup.ini
[21/11/2005 18:26][-r-------] D:\autorun.inf

--------------- ! Fin du rapport ! ----------------

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention > Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Re,

Pourrais tu me donner une première analyse de la santé de mon pc ?

Réponse 6 / 19

kevin05 Messages postés 3636 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

Télécharges SDFix sur ton bureau :
ou ici

--> Double-cliques sur SDFix.exe et choisis "Install" .

tuto ici

Puis une fois l'installe faite ,

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script.
--->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Re, Kevin05

Voilà le rapport SDFix suivit du rapport Hijackthiis

[b]SDFix: Version 1.240 [/b]
Run by Nico on 30/11/2008 at 19:17

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\bpk.exe - Deleted
C:\WINDOWS\system32\bpk.dat - Deleted
C:\WINDOWS\system32\bpkhk.dll - Deleted
C:\WINDOWS\system32\bpkr.exe - Deleted
C:\WINDOWS\system32\inst.dat - Deleted
C:\WINDOWS\system32\pk.bin - Deleted
C:\WINDOWS\system32\web.dat - Deleted

Removing Temp Files

[b]ADS Check [/b]:

[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 19:23:26
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:b5,cd,cc,42,c9,06,0e,87,3b,c9,ae,92,a0,00,67,40,70,5f,13,0f,2d,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5d,f3,4b,1d,fb,ea,1b,ca,2d,5c,17,26,4b,88,91,72,a3,..
"khjeh"=hex:24,13,60,5a,0f,4b,43,75,df,29,49,7d,18,a6,4f,95,e9,ca,a3,eb,c9,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:fc,6f,7d,cc,40,72,10,d9,08,f5,76,75,1d,f1,1a,69,3c,e0,49,f9,60,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:65,5a,a1,21,68,d0,70,fa,6b,85,b4,61,6e,36,29,78,d8,ef,5b,17,7a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:b5,cd,cc,42,c9,06,0e,87,3b,c9,ae,92,a0,00,67,40,70,5f,13,0f,2d,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5d,f3,4b,1d,fb,ea,1b,ca,2d,5c,17,26,4b,88,91,72,a3,..
"khjeh"=hex:24,13,60,5a,0f,4b,43,75,df,29,49,7d,18,a6,4f,95,e9,ca,a3,eb,c9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:fc,6f,7d,cc,40,72,10,d9,08,f5,76,75,1d,f1,1a,69,3c,e0,49,f9,60,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:65,5a,a1,21,68,d0,70,fa,6b,85,b4,61,6e,36,29,78,d8,ef,5b,17,7a,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

[b]Remaining Services [/b]:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Jeux PC\\Warhammer 40000\\W40kWA.exe"="C:\\Program Files\\Jeux PC\\Warhammer 40000\\W40kWA.exe:*:Enabled:W40kWA"
"C:\\Program Files\\Jeux PC\\Warhammer 40000\\W40k.exe"="C:\\Program Files\\Jeux PC\\Warhammer 40000\\W40k.exe:*:Enabled:W40k"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Program Files\\Call of Duty\\CoDMP.exe"="C:\\Program Files\\Call of Duty\\CoDMP.exe:*:Enabled:CoDMP"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sat 19 Jul 2008 5,698,384 ..SH. --- "C:\WINDOWS\PC Booster 6 Full Version German.exe"
Wed 27 Aug 2008 24 ..SH. --- "C:\WINDOWS\SAA845A3D.tmp"
Tue 1 Jan 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

[b]Finished![/b]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:51:52, on 30/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\V0350Mon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [V0350Mon.exe] C:\WINDOWS\V0350Mon.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Réponse 7 / 19

kevin05 Messages postés 3636 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

très bien ... poste un autre hijackthis stp

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Re,

Voilà le dernier Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:53:13, on 30/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\V0350Mon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [V0350Mon.exe] C:\WINDOWS\V0350Mon.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Réponse 8 / 19

kevin05 Messages postés 3636 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

peut -tu analizer ce vfichié sur virus total https://www.virustotal.com/gui/

C:\WINDOWS\V0350Mon.exe

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Et voilà

Fichier V0350Mon.exe reçu le 2008.11.30 21:06:05 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/37 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.28.2 2008.11.30 -
AntiVir 7.9.0.36 2008.11.30 -
Authentium 5.1.0.4 2008.11.30 -
Avast 4.8.1281.0 2008.11.29 -
AVG 8.0.0.199 2008.11.29 -
BitDefender 7.2 2008.11.30 -
CAT-QuickHeal 10.00 2008.11.29 -
ClamAV 0.94.1 2008.11.30 -
DrWeb 4.44.0.09170 2008.11.30 -
eSafe 7.0.17.0 2008.11.30 -
eTrust-Vet 31.6.6234 2008.11.28 -
Ewido 4.0 2008.11.30 -
F-Prot 4.4.4.56 2008.11.30 -
F-Secure 8.0.14332.0 2008.11.30 -
Fortinet 3.117.0.0 2008.11.30 -
GData 19 2008.11.30 -
Ikarus T3.1.1.45.0 2008.11.30 -
K7AntiVirus 7.10.538 2008.11.29 -
Kaspersky 7.0.0.125 2008.11.30 -
McAfee 5449 2008.11.29 -
McAfee+Artemis 5449 2008.11.29 -
Microsoft 1.4104 2008.11.30 -
NOD32 3651 2008.11.30 -
Norman 5.80.02 2008.11.28 -
Panda 9.0.0.4 2008.11.30 -
PCTools 4.4.2.0 2008.11.30 -
Prevx1 V2 2008.11.30 -
Rising 21.05.62.00 2008.11.30 -
SecureWeb-Gateway 6.7.6 2008.11.29 -
Sophos 4.36.0 2008.11.30 -
Sunbelt 3.1.1832.2 2008.11.27 -
Symantec 10 2008.11.30 -
TheHacker 6.3.1.1.169 2008.11.29 -
TrendMicro 8.700.0.1004 2008.11.28 -
VBA32 3.12.8.9 2008.11.30 -
ViRobot 2008.11.29.1492 2008.11.29 -
VirusBuster 4.5.11.0 2008.11.30 -
Information additionnelle
File size: 28672 bytes
MD5...: 523946dec7a8a9c323acc232b47574a0
SHA1..: 4db51ceb382d18645d7cc84e2eed923af31995f4
SHA256: a6dfb06f935c97c9fe4614b63121ab3edd810bc9185b14a486402b6879e5d662
SHA512: 1b123b910d38fe2656c2cda972ecc8d3909bc8f8f8c24594146892010a4e2ec5
5c9d96d74093d29395b0c8e01b4ad9571dedba575887f1d581d12844b007b733
ssdeep: 384:GO0boWFTHnJqoRlkvu4nW3ia1KN6H/d6f1aD:GdJ9rKu4nCi/N6fd69aD
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402d5e
timedatestamp.....: 0x46cce33e (Thu Aug 23 01:30:38 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1eec 0x2000 6.02 4c57169c99fb5c2be0eb5699bd1acbc0
.rdata 0x3000 0x93a 0x1000 3.47 6cf05a27714a5f3511ed4dc156681057
.data 0x4000 0x200 0x1000 1.01 9aa833075fd820eb58f73e4ea6449f58
PAGECONS 0x5000 0x10 0x1000 0.05 b108dd9efebe4d7ac76987fad2d0aa36
.rsrc 0x6000 0x3a8 0x1000 0.94 e88bcf105713e1e8ef2675f8d9aefb67

( 7 imports )
> KERNEL32.dll: HeapFree, CreateFileA, DuplicateHandle, Sleep, GetCurrentThread, ResetEvent, WaitForSingleObject, HeapAlloc, GetProcessHeap, GetTickCount, lstrcatA, lstrcpyA, lstrlenA, GetCurrentProcess, lstrcmpiA, Process32Next, Process32First, CreateToolhelp32Snapshot, WaitForMultipleObjects, CreateMutexA, GetWindowsDirectoryA, GetFullPathNameA, GetModuleFileNameA, GetLastError, GetVersionExA, GetExitCodeProcess, CreateProcessA, SetEvent, CreateEventA, IsBadReadPtr, OpenProcess, GetStartupInfoA, CloseHandle, GetModuleHandleA
> MSVCRT.dll: __setusermatherr, __p__commode, _initterm, __getmainargs, __p__fmode, _except_handler3, _acmdln, __set_app_type, _controlfp, exit, _XcptFilter, _exit, _beginthread, _endthread, _adjust_fdiv
> SHLWAPI.dll: StrStrIA
> SETUPAPI.dll: SetupDiDestroyDeviceInfoList, SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInterfaceDetailA, SetupDiOpenDevRegKey, SetupDiGetClassDevsA, SetupDiEnumDeviceInfo, SetupDiGetClassDevsExA, SetupDiGetDeviceRegistryPropertyA
> USER32.dll: DispatchMessageA, GetWindowLongA, CreateDialogParamA, BroadcastSystemMessageA, TranslateMessage, PostQuitMessage, SetWindowLongA, RegisterWindowMessageA, DestroyWindow, PostMessageA, IsDialogMessageA, IsWindow, GetMessageA
> ADVAPI32.dll: RegOpenKeyExA, RegDeleteValueA, RegSetValueExA, RegQueryValueExA, RegCloseKey
> ksproxy.ax: KsSynchronousDeviceControl

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=523946dec7a8a9c323acc232b47574a0' target='_blank'>http://research.sunbelt-software.com/...

Réponse 9 / 19

kevin05 Messages postés 3636 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

Télécharges MSNFix.zip (de !aur3n7) :
http://sosvirus.changelog.fr/MSNFix.zip
--> décompresses-le sur le Bureau ( = extraire tout ).

Déplaces ensuite le dossier que tu viens d'extraire directement sous ton disque dure ,
c'est à dire ici -> C:\MSNFix .
( c'est très important pour le bon fonctionnement de l'outil ! ).

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Lances le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R (recherche).
- Si l'infection est détectée, exécute l'option N (nettoyage) .

-> Une fois finit, sauvegardes le rapport généré sur ton bureau .
Redémarres ton PC ( = retour au mode normal ).

-> il se peut aussi que l'infection doit être nettoyer au redémarrage du PC : avant l'arrivée du bureau , une fenêtre demandant l'exécution de "MSNfix" s'ouvre .
-> cliques sur ok pour que l'outil puisse finir de travailler (patiente jusqu'à l'apparition du bureau ... ceci peut s'avérer relativement long).
le rapport s'ouvrira à l'arrivée du bureau ...

( PS : le rapport est en outre sauvegardé ici C:\MSNFix\"date_heure".txt ou ici C:\WINDOWS\msnfix.txt )

---> postes moi ce rapport dans ta prochaine réponse pour analyse ...

Réponse 10 / 19

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Re,

L'analyse à échoué malgré le respect scrupuleux des directives.

A cause du message suivant :

MSNFix.exe n'est pas une application win32 valide.

Que faire maintenant ?

Réponse 11 / 19

kevin05 Messages postés 3636 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

tu as été en mode sans echec ?

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Tout à fait

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention > Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

C'est peu être à cause d'une erreur qui apparait pendant l'extraction du fichier MSNFix.zip comme suit :

Erreur: Le fichier C:\documents and settings\nico\Bureau\MSNFix\incl\Process.exe est corrompu.

Réponse 12 / 19

kevin05 Messages postés 3636 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

élécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau : http://www.techsupportforum.com/sectools/Deckard/dss.exe
- Choisis <enregistrer> et <Bureau> pour l'emplacement.
- Ferme toutes les applications en cours (même internet). C'est important car sinon le PC peut planter.
- Double-clique sur dss.exe pour lancer l'outil.
- S'il ne trouve pas HijackThis, clique sur Oui.
- Clique sur OK à chaque fois que cela te sera demandé.
- Une fois l'analyse finie un rapport s'affichera. Poste son contenu dans ta réponse.
NB : Le rapport se trouve aussi ici : C:\Deckard\System Scanner\main.txt

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Ton dernier lien ne fonctionne pas

Réponse 13 / 19

kevin05 Messages postés 3636 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

desactive ton antivirus retéléchare le et teste stpp

Réponse 14 / 19

kevin05 Messages postés 3636 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

je parle de msnfix

Réponse 15 / 19

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Ca n'a rien changé...

Toujours une erreur à l'extraction :
Erreur: Le fichier C:\documents and settings\nico\Bureau\MSNFix\incl\Process.exe est corrompu.

Toujours l'analyse qui ne se lance pas :
Process.exe n'est pas une application win32 valide.

Mouais mouais mouais...

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Je suis toujours là...

Ou en est on ?

Que peut tu me dire hors protocole ?

@+

Utilisateur anonyme > Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

je me permets d intervenir car ca rame 1 peu...
d autant+ que tu es infecté par bagle....(pas le + facile a virer.!!!!!!!!!)

2- Télécharges FindyKill de Chiquitine29 :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

->Enregistres le sur ton bureau et pas ailleurs !

!! Déconnectes toi et fermes toute applications en cours !!

( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

-> Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.

a+

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention > Utilisateur anonyme

Merci pour ton soutien

voilà le rapport findykill

----------------- FindyKill V4.706 ------------------

* User : Nico - NICOLAS-MCU1TQA
* executed from : C:\Program Files\FindyKill
* Update on 27/11/08 par Chiquitine29
* Start at 23:27:43 the 30/11/2008
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((( *** deleting *** ))))))))))))))))))

--------------- [ Active Processes ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe

--------------- [ Infected files / folders ] ----------------

»»»» Supression files in C:

»»»» Supression files in C:\WINDOWS

»»»» Supression files in C:\WINDOWS\Prefetch

»»»» Supression files in C:\WINDOWS\system32

»»»» Supression files in C:\WINDOWS\system32\drivers

»»»» Supression files in C:\Documents and Settings\Nico\Application Data

»»»» Supression files in C:\DOCUME~1\Nico\LOCALS~1\Temp

»»»» Supression files in C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5

Deleted ! - C:\Documents and Settings\Nico\Local Settings\Application Data\Microsoft\Media Player\Cache d'images\LocalMLS\{38F9802A-6373-424A-B643-8569F21E8858}.jpg
Deleted ! - C:\Documents and Settings\Nico\Local Settings\Application Data\Microsoft\Media Player\Cache d'images\LocalMLS\{B3984833-4986-4B9C-B7DE-8E2B5AB647F0}.jpg

--------------- [ Registry / Infected keys ] ----------------

--------------- [ States / Restarting of services ] ----------------

+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 2

Ip6Fw - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2

--------------- [ Cleaning removable drives ] ----------------

+- Informations :

C: - Lecteur fixe

D: - Lecteur de CD-ROM

G: - Lecteur fixe

+- deleting files :

Not deleted !! - D:\autorun.inf

--------------- [ Registry / Mountpoint2 ] ----------------

-> Not found !

--------------- [ Searching Cracks / Keygen ] ----------------

---------------- ! End of report ! ------------------

Réponse 16 / 19

kevin05 Messages postés 3636 Date d'inscription Statut Contributeur sécurité Dernière intervention 147

Télécharge combofix (par sUBs)à partir d'un de ces liens :
En premier
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

A lire
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

-> Double clique sur combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Réponse 17 / 19

Utilisateur anonyme

attends avant combo stp...

Réponse 18 / 19

Utilisateur anonyme

applique le post 29 maintenant....

a+

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Voilà le rapport Combofix

ComboFix 08-11-30.01 - Nico 2008-11-30 23:39:31.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.705 [GMT 1:00]
Lancé depuis: c:\documents and settings\Nico\Mes documents\Mes fichiers reçus\ComboFix.exe
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-28 au 2008-11-30 ))))))))))))))))))))))))))))))))))))
.

2008-11-30 23:20 . 2008-11-30 23:30 <REP> d-------- c:\program files\FindyKill
2008-11-30 19:15 . 2008-11-30 19:15 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-11-30 19:13 . 2008-11-30 19:13 <REP> d-------- c:\windows\ERUNT
2008-11-30 19:07 . 2008-11-30 19:36 <REP> d-------- C:\SDFix
2008-11-30 01:25 . 2008-11-30 01:30 <REP> d-------- c:\program files\UsbFix
2008-11-29 23:12 . 2008-11-29 23:12 <REP> d-------- c:\program files\Trend Micro
2008-11-12 09:20 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 09:19 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-10-28 21:02 . 2008-10-28 21:02 <REP> d-------- c:\program files\FileZilla FTP Client
2008-10-28 21:02 . 2008-10-30 23:27 <REP> d-------- c:\documents and settings\Nico\Application Data\FileZilla
2008-10-24 16:25 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-16 18:02 . 2008-10-16 18:03 3,403,830 --a------ c:\windows\Papier-peint-PhotoFiltre.bmp
2008-10-15 18:51 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-15 18:50 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-15 18:50 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 18:50 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-15 18:50 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-15 18:50 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-10-09 15:38 . 2008-10-09 15:38 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer
2008-10-09 15:38 . 2008-09-06 14:09 90,112 --a------ c:\windows\system32\QuickTimeVR.qtx
2008-10-09 15:38 . 2008-09-06 14:09 57,344 --a------ c:\windows\system32\QuickTime.qts
2008-10-09 15:37 . 2008-10-09 15:38 <REP> d-------- c:\program files\QuickTime Alternative
2008-10-09 12:36 . 2008-10-17 21:31 <REP> d-------- c:\documents and settings\Nico\Graphisoft
2008-10-09 12:36 . 2008-10-09 13:35 <REP> d-------- c:\documents and settings\Nico\Application Data\Graphisoft
2008-10-09 12:28 . 2008-10-09 12:28 8,428 --a------ c:\windows\vpd.properties
2008-10-09 12:22 . 2008-10-09 12:22 <REP> d-------- c:\program files\Graphisoft
2008-10-09 12:19 . 2008-10-09 12:20 <REP> d-------- c:\program files\Java

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-30 22:44 58,351,648 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-11-30 22:41 685,808 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-11-29 20:03 --------- d-----w c:\documents and settings\Nico\Application Data\Azureus
2008-11-29 19:12 --------- d-----w c:\program files\Azureus
2008-11-29 16:57 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2008-11-03 13:58 --------- d-----w c:\documents and settings\Nico\Application Data\uniblue
2008-11-03 13:58 --------- d-----w c:\documents and settings\All Users\Application Data\DriverScanner
2008-11-03 13:56 --------- d-----w c:\program files\Windows Live
2008-10-31 22:24 --------- d-----w c:\documents and settings\Nico\Application Data\vlc
2008-10-28 20:50 --------- d-----w c:\program files\VideoLAN
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-10-21 13:53 --------- d-----w c:\program files\Microsoft Silverlight
2008-10-07 19:42 --------- d-----w c:\program files\Real
2008-10-07 19:12 --------- d-----w c:\program files\Fichiers communs\Real
2008-05-13 16:12 7,639,560 ----a-w c:\program files\Azureus_3.0.3.4_windows.exe
2008-05-09 17:48 2,402,832 ----a-w c:\program files\WLinstaller.exe
2008-02-23 00:16 22,328 -c--a-w c:\documents and settings\Nico\Application Data\PnkBstrK.sys
2008-01-01 14:45 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2008-07-19 08:44 5,698,384 --sh--w c:\windows\PC Booster 6 Full Version German.exe
2008-05-10 10:55 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008051020080511\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-02 13529088]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 1443072]
"V0350Mon.exe"="c:\windows\V0350Mon.exe" [2007-08-23 28672]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-02 86016]
"nwiz"="nwiz.exe" [2008-05-02 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Jeux PC\\Warhammer 40000\\W40kWA.exe"=
"c:\\Program Files\\Jeux PC\\Warhammer 40000\\W40k.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=

R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-02-20 33800]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2008-05-09 38144]
S1 aswSP;avast! Self Protection; []
S2 aswFsBlk;aswFsBlk; []
S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe /s c:\windows\nod32fixtemdono.reg [2001-08-28 3584]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
S3 jgameenp;jgameenp;\??\c:\docume~1\Nico\LOCALS~1\Temp\jgameenp.sys []
S3 VF0350Afx;VF0350 Audio FX;c:\windows\system32\Drivers\V0350Afx.sys [2008-05-25 142656]
S3 VF0350Vfx;VF0350 Video FX;c:\windows\system32\DRIVERS\V0350VFx.sys [2008-05-25 7424]
S3 VF0350Vid;Live! Cam Video IM (VF0350);c:\windows\system32\DRIVERS\V0350Vid.sys [2008-05-25 170368]
S4 hpt3xx;hpt3xx; []
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)

.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Nico\Application Data\Mozilla\Firefox\Profiles\gz61s3rk.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/
FF -: plugin - c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.1.0.30716.0.dll
FF -: plugin - c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.dll
FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 23:43:20
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2008-11-30 23:50:04 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-30 22:49:59

Avant-CF: 16 902 860 800 octets libres
Après-CF: 16,826,777,600 octets libres

147 --- E O F --- 2008-11-12 10:06:31

Utilisateur anonyme > Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

reprends le post 6 et execute le en mode sans echec stp

poste le rapport....

a+

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention > Utilisateur anonyme

Re,

Voilà le rapport, cependant l'analyse n'a pas été exécuté en mode sans échec.
J'espère que c'est pas à refaire car ça prend quand même une heure...

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1434
Windows 5.1.2600 Service Pack 3

01/12/2008 01:20:56
mbam-log-2008-12-01 (01-20-56).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|G:\|)
Eléments examinés: 100916
Temps écoulé: 1 hour(s), 5 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention > Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Re,

J'ai quand même refait le scan en mode sans échec (post 6).

Deux heures...

Toujours pas de trace du virus...

Le rapport :

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1440
Windows 5.1.2600 Service Pack 3

01/12/2008 16:55:28
mbam-log-2008-12-01 (16-55-28).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|G:\|)
Eléments examinés: 101906
Temps écoulé: 2 hour(s), 5 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention > Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Allo quelqu'un...

J'ai refait un raport Hijackthis au cas ou...

Ou se situe le virus bagle svp ?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:17:36, on 01/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\V0350Mon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [V0350Mon.exe] C:\WINDOWS\V0350Mon.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Réponse 19 / 19

Utilisateur anonyme

encore des problemes?

a+

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Ben en fait ça fonctionne comme avant mais je n'avait pas de réelles difficultés.

Je suis très content de savoir que j'étais infecté par un virus "Bagle" qui je l'espère est maintenant détruit.
En tout cas jusque là il ne s'ést pas manifesté sous quelque forme que ce soit... cool

Mon soucis de base était surtout de supprimer les processus encombrants en mémoire (ekrn) si possible et de conserver uniquement l'essentiel.

Merci quand même pour tout ce que tu as fait jusque là.

Pourrais tu stp en quelques mots me faire un topo de ton analyse et du cheminement que tu as suivi pour identifier les éléments qui te paraissaient responsables d'un problème ?

Je pense que tu as autre chose à faire, c'est sur, mais je souhaiterais retenir un enseignement de tes actions car j'ai la forte impression de n'avoir été qu'un outil qui n'a rien compris (en tout cas dans le détail) au travail qu'il effectuait.

C'est même complètement le cas...

Mais en même temps vous n'êtes pas là pour être bavard mais pour être efficace

Enfin bon...

J'attends tes directives...

@+

Utilisateur anonyme > Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

pour desinstaller les outils utilisés

Telecharge ToolsCleaner2--> http://pc-system.fr/

-Une fois téléchargé, installe-le et lance-le

-Clique sur Recherche et laisse le scan se terminer

-Clique sur Suppression

-Clique sur Quitter pour que le rapport puisse se créer

-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt

puis

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :

https://www.commentcamarche.net/telecharger/ 168 ccleaner

* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre).
* Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman)
* Décoche la case plus vieux que 48 h

enfin

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php

a+

Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention > Utilisateur anonyme

[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\FindyKill.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\SDFIX: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Nico\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Nico\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Nico\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\Nico\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Nico\Menu Démarrer\Programmes\FindyKill: trouvé !
C:\Documents and Settings\Nico\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Documents and Settings\Nico\Mes documents\Mes fichiers reçus\ComboFix.exe: trouvé !
C:\Documents and Settings\Nico\Mes documents\Mes fichiers reçus\HJTInstall.exe: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files\FindyKill: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\UsbFix\UsbFix.exe: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Nico\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Nico\Mes documents\Mes fichiers reçus\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Nico\Mes documents\Mes fichiers reçus\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\FindyKill.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Nico\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Nico\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\Nico\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Program Files\UsbFix\UsbFix.exe: supprimé !
C:\SDFIX: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Nico\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Documents and Settings\Nico\Menu Démarrer\Programmes\FindyKill: supprimé !
C:\Program Files\UsbFix: supprimé !
C:\Program Files\FindyKill: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!

Utilisateur anonyme > Muad dib Messages postés 54 Date d'inscription Statut Membre Dernière intervention

Supprimes Combofix ainsi :

->Cliques sur " Démarrer "( ou combine la touche Windows + R ) -> " Executer " -> copie/colles cette ligne :

ComboFix /u

( laisses l'espace entre Combofix et /u )

-->Valides .

a+

Ralentissement à cause de certain processus

19 réponses

Votre réponse

Discussions similaires