Ralentissement à cause de certain processus

Résolu
Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention   -  
 archet9 -
Bonjour,

Je souhaiterai faire un point sur l'ensemble des processus présents sur ma machine. Certain comme spoolsv.exe (rapport à l'impression alors que je n'ai pas d'imprimante)

ekrn.exe (issu de nod32) ainsi que les svchost.exe dont je ne sais pas lesquels sont indispensables.

J'aimerai vraiment conserver uniquement les processus nécessaires au bon fonctionnement et supprimer tous les autres.

En effet j'ai pu observer récemment des ralentissements d'ouvertures des fenêtres sous windows et internet.

Rien de grave mais ça m'agace suffisamment pour demander de l'aide et y voir plus clair dans ces processus.

Merci de traiter ma demande.

Je suis prêt à poster.

@+
Configuration: Windows XP
Firefox 3.0.4

19 réponses

Résumé de la discussion

La problématique concerne l’identification des processus essentiels sous Windows XP afin de supprimer les éléments superflus et d’améliorer les performances, en particulier spoolsv.exe, ekrn.exe et certains svchost.exe. Plusieurs réponses essentielles recommandent de produire un rapport HijackThis, puis d’effectuer un balayage et d’employer des outils comme HijackThis et ComboFix pour repérer les éléments indésirables et les programmes de démarrage. En cas de doute, la discussion rappelle les risques de suppression de processus système et conseille des précautions telles que la création d’un point de restauration et la sécurisation des protections actives avant toute manipulation.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. archet9
     
    bonsoir

    Commence par poster un rapport HijackThis stp,
    >Télécharge HiJackThis : http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
    - Lance le programme, puis sélectionne < do a system scan and save a logfile >
    - Enregistre le rapport sur ton bureau.
    Et envoie, par copier/coller, ton log Hijackthis sur le forum,

    A+

    Tuto : si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
    0
    1. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
       
      Re,

      Merci pour votre réactivité.

      Voilà le rapport.

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 23:12:39, on 29/11/2008
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16735)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\cisvc.exe
      C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\system32\cidaemon.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
      O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
      O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
      O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  2. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Salut

    Commence par poster un rapport HijackThis stp,
    >Télécharge hijackthis
    - Lance le programme, puis sélectionne < do a system scan and save a logfile >
    - Enregistre le rapport sur ton bureau.
    Et envoie, par copier/coller, ton log Hijackthis sur le forum,

    A+

    si problème tuto
    0
    1. archet9
       
      j ai qques secondes d avance mais...
      je suis fatigué...

      prends le topic......
      a + kevin 05..
      0
      1. archet9 > archet9
         
        oups de retard...
        a+
        0
  3. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Télécharges MalwareByte's :
    ici
    ou ici

    Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le : ici

    Potasses le tuto pour te familiariser avec le prg :
    tuto ici
    ou ici
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnectes toi et fermes toutes applications en cours !

    Lances Malwarebyte's .

    Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

    --> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
    0
  4. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    et merci achert9 A+
    0
    1. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
       
      Re,

      Voilà le rapport demandé

      Malwarebytes' Anti-Malware 1.30
      Version de la base de données: 1434
      Windows 5.1.2600 Service Pack 3

      30/11/2008 00:32:53
      mbam-log-2008-11-30 (00-32-53).txt

      Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
      Eléments examinés: 97613
      Temps écoulé: 1 hour(s), 1 minute(s), 28 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 1
      Fichier(s) infecté(s): 1

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      C:\Program Files\InternetGameBox (Adware.EGDAccess) -> Quarantined and deleted successfully.

      Fichier(s) infecté(s):
      C:\Program Files\InternetGameBox\uninst.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.


      J'attends la suite.

      Prêt à poster.

      @+
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Telecharge UsbFix sur ton bureau
    --> Lance l installation avec les parametres par default

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    --> Double clic sur le raccourci UsbFix sur ton bureau

    --> Le pc va redémarer

    -->Apres redémarrage post le rapport UsbFix.txt

    Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
    0
    1. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
       
      Voila le rapport

      J'ai choisit le mode 1 nettoyage et le pc a redémarrer.

      Il m'a demandé deux fois d'insérer un disque de windows mais j'ai annulé et ensuite le rapport est apparu.



      -------------- UsbFix V2.413.2 ---------------

      * User : Nico - NICOLAS-MCU1TQA
      * Outils mis a jours le 29/11/2008 par Chiquitine29 et Chimay8
      * Recherche effectuée à 1:28:20 le 30/11/2008
      * Windows Xp - Internet Explorer 7.0.5730.13


      --------------- [ Processus actifs ] ----------------


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\DOCUME~1\Nico\LOCALS~1\Temp\1.tmp\b2e.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
      C:\WINDOWS\V0350Mon.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\System32\cisvc.exe
      C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\System32\alg.exe

      --------------- [ Informations lecteurs ] ----------------

      C: - Lecteur fixe

      D: - Lecteur de CD-ROM

      G: - Lecteur fixe


      +- Contenu de l'autorun : D:\autorun.inf

      [autorun]
      open=OblivionLauncher.exe
      icon=Oblivion.ico


      --------------- [ Lecteur C ] ----------------

      C: - Lecteur fixe


      +- Listing des fichiers présents :

      [09/10/2008 14:45][--a------] C:\AUTOEXEC.BAT
      [01/01/2008 17:14][-rahs----] C:\NTDETECT.COM
      [04/10/2008 22:34][--ahs----] C:\boot.ini
      [30/11/2008 01:28][--a------] C:\UsbFix.txt
      [01/01/2008 15:30][--a------] C:\CONFIG.SYS
      [01/01/2008 15:30][--a------] C:\IO.SYS
      [01/01/2008 15:30][--a------] C:\MSDOS.SYS
      [01/01/2008 15:30][--a------] C:\pagefile.sys

      --------------- [ Lecteur D ] ----------------

      D: - Lecteur de CD-ROM


      +- Listing des fichiers présents :

      [27/02/2006 15:18][-r-------] D:\OblivionLauncher.exe
      [27/02/2006 15:18][-r-------] D:\setup.exe
      [28/02/2006 18:53][-r-------] D:\setup.ini
      [21/11/2005 18:26][-r-------] D:\autorun.inf

      --------------- [ Lecteur G ] ----------------

      G: - Lecteur fixe


      +- Listing des fichiers présents :


      --------------- [ Registre / Startup ] ----------------

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
      "Secondary Start Pages"=hex(7):00,00
      "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      ZoneAlarm Client="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      nwiz=nwiz.exe /install
      egui="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
      V0350Mon.exe=C:\WINDOWS\V0350Mon.exe
      NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

      --------------- [ Registre / Mountpoint2 ] ----------------


      -> Recherche négative.

      --------------- [ Nettoyage des disques ] ----------------

      Echec de la supression !! - [21/11/2005 18:26] D:\autorun.inf
      Echec de la supression !! - [21/11/2005 18:26] D:\autorun.inf
      Echec de la supression !! - [21/11/2005 18:26] D:\autorun.inf

      --------------- [ Resumé ] ----------------

      -> /!\ Le resultat doit etre interprété par un spécialiste /!\

      [09/10/2008 14:45][--a------] C:\AUTOEXEC.BAT
      [01/01/2008 17:14][-rahs----] C:\NTDETECT.COM
      [04/10/2008 22:34][--ahs----] C:\boot.ini
      [27/02/2006 15:18][-r-------] D:\OblivionLauncher.exe
      [27/02/2006 15:18][-r-------] D:\setup.exe
      [28/02/2006 18:53][-r-------] D:\setup.ini
      [21/11/2005 18:26][-r-------] D:\autorun.inf

      --------------- ! Fin du rapport ! ----------------
      0
      1. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention   > Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
         
        Re,

        Pourrais tu me donner une première analyse de la santé de mon pc ?
        0
  7. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Télécharges SDFix sur ton bureau :
    ou ici

    --> Double-cliques sur SDFix.exe et choisis "Install" .

    tuto ici

    Puis une fois l'installe faite ,

    Impératif : Démarrer en mode sans echec .

    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

    Comment aller en Mode sans échec :
    1) Redémarres ton ordi .
    2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
    3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
    4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
    5) Choisis ton compte habituel ( et pas Administrateur ).
    attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

    Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script.
    --->Tapes Y pour lancer le script ...
    Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
    presses une touche pour redémarrer quand il te le sera demandé .

    Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

    Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
    C:\SDFix sous le nom "Report.txt".
    Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...
    0
    1. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
       
      Re, Kevin05

      Voilà le rapport SDFix suivit du rapport Hijackthiis


      [b]SDFix: Version 1.240 [/b]
      Run by Nico on 30/11/2008 at 19:17

      Microsoft Windows XP [version 5.1.2600]
      Running From: C:\SDFix

      [b]Checking Services [/b]:


      Restoring Default Security Values
      Restoring Default Hosts File

      Rebooting


      [b]Checking Files [/b]:

      Trojan Files Found:

      C:\WINDOWS\system32\bpk.exe - Deleted
      C:\WINDOWS\system32\bpk.dat - Deleted
      C:\WINDOWS\system32\bpkhk.dll - Deleted
      C:\WINDOWS\system32\bpkr.exe - Deleted
      C:\WINDOWS\system32\inst.dat - Deleted
      C:\WINDOWS\system32\pk.bin - Deleted
      C:\WINDOWS\system32\web.dat - Deleted





      Removing Temp Files

      [b]ADS Check [/b]:



      [b]Final Check [/b]:

      catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-11-30 19:23:26
      Windows 5.1.2600 Service Pack 3 NTFS

      scanning hidden processes ...

      scanning hidden services & system hive ...

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
      "s1"=dword:2df9c43f
      "s2"=dword:110480d0
      "h0"=dword:00000001

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
      "h0"=dword:00000000
      "khjeh"=hex:b5,cd,cc,42,c9,06,0e,87,3b,c9,ae,92,a0,00,67,40,70,5f,13,0f,2d,..
      "p0"="C:\Program Files\DAEMON Tools Lite\"

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
      "a0"=hex:20,01,00,00,5d,f3,4b,1d,fb,ea,1b,ca,2d,5c,17,26,4b,88,91,72,a3,..
      "khjeh"=hex:24,13,60,5a,0f,4b,43,75,df,29,49,7d,18,a6,4f,95,e9,ca,a3,eb,c9,..

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
      "khjeh"=hex:fc,6f,7d,cc,40,72,10,d9,08,f5,76,75,1d,f1,1a,69,3c,e0,49,f9,60,..

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
      "khjeh"=hex:65,5a,a1,21,68,d0,70,fa,6b,85,b4,61,6e,36,29,78,d8,ef,5b,17,7a,..
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
      "h0"=dword:00000000
      "khjeh"=hex:b5,cd,cc,42,c9,06,0e,87,3b,c9,ae,92,a0,00,67,40,70,5f,13,0f,2d,..
      "p0"="C:\Program Files\DAEMON Tools Lite\"

      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
      "a0"=hex:20,01,00,00,5d,f3,4b,1d,fb,ea,1b,ca,2d,5c,17,26,4b,88,91,72,a3,..
      "khjeh"=hex:24,13,60,5a,0f,4b,43,75,df,29,49,7d,18,a6,4f,95,e9,ca,a3,eb,c9,..

      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
      "khjeh"=hex:fc,6f,7d,cc,40,72,10,d9,08,f5,76,75,1d,f1,1a,69,3c,e0,49,f9,60,..

      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
      "khjeh"=hex:65,5a,a1,21,68,d0,70,fa,6b,85,b4,61,6e,36,29,78,d8,ef,5b,17,7a,..

      scanning hidden registry entries ...

      scanning hidden files ...

      scan completed successfully
      hidden processes: 0
      hidden services: 0
      hidden files: 0


      [b]Remaining Services [/b]:




      Authorized Application Key Export:

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "C:\\Program Files\\Jeux PC\\Warhammer 40000\\W40kWA.exe"="C:\\Program Files\\Jeux PC\\Warhammer 40000\\W40kWA.exe:*:Enabled:W40kWA"
      "C:\\Program Files\\Jeux PC\\Warhammer 40000\\W40k.exe"="C:\\Program Files\\Jeux PC\\Warhammer 40000\\W40k.exe:*:Enabled:W40k"
      "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
      "C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
      "C:\\Program Files\\Call of Duty\\CoDMP.exe"="C:\\Program Files\\Call of Duty\\CoDMP.exe:*:Enabled:CoDMP"
      "C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

      [b]Remaining Files [/b]:


      File Backups: - C:\SDFix\backups\backups.zip

      [b]Files with Hidden Attributes [/b]:

      Sat 19 Jul 2008 5,698,384 ..SH. --- "C:\WINDOWS\PC Booster 6 Full Version German.exe"
      Wed 27 Aug 2008 24 ..SH. --- "C:\WINDOWS\SAA845A3D.tmp"
      Tue 1 Jan 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

      [b]Finished![/b]

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 19:51:52, on 30/11/2008
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16735)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\cisvc.exe
      C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\cidaemon.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
      C:\WINDOWS\V0350Mon.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
      O4 - HKLM\..\Run: [V0350Mon.exe] C:\WINDOWS\V0350Mon.exe
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
      O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
      O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
      O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  8. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    très bien ... poste un autre hijackthis stp
    0
    1. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
       
      Re,

      Voilà le dernier Hijackthis

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 20:53:13, on 30/11/2008
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16735)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\cisvc.exe
      C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\cidaemon.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
      C:\WINDOWS\V0350Mon.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
      O4 - HKLM\..\Run: [V0350Mon.exe] C:\WINDOWS\V0350Mon.exe
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
      O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
      O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
      O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  9. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    peut -tu analizer ce vfichié sur virus total https://www.virustotal.com/gui/

    C:\WINDOWS\V0350Mon.exe
    0
    1. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
       
      Et voilà

      Fichier V0350Mon.exe reçu le 2008.11.30 21:06:05 (CET)
      Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
      Résultat: 0/37 (0%)
      en train de charger les informations du serveur...
      Votre fichier est dans la file d'attente, en position: ___.
      L'heure estimée de démarrage est entre ___ et ___ .
      Ne fermez pas la fenêtre avant la fin de l'analyse.
      L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
      Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
      Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
      les résultats seront affichés au fur et à mesure de leur génération.
      Formaté Formaté
      Impression des résultats Impression des résultats
      Votre fichier a expiré ou n'existe pas.
      Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

      Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
      Email:

      Antivirus Version Dernière mise à jour Résultat
      AhnLab-V3 2008.11.28.2 2008.11.30 -
      AntiVir 7.9.0.36 2008.11.30 -
      Authentium 5.1.0.4 2008.11.30 -
      Avast 4.8.1281.0 2008.11.29 -
      AVG 8.0.0.199 2008.11.29 -
      BitDefender 7.2 2008.11.30 -
      CAT-QuickHeal 10.00 2008.11.29 -
      ClamAV 0.94.1 2008.11.30 -
      DrWeb 4.44.0.09170 2008.11.30 -
      eSafe 7.0.17.0 2008.11.30 -
      eTrust-Vet 31.6.6234 2008.11.28 -
      Ewido 4.0 2008.11.30 -
      F-Prot 4.4.4.56 2008.11.30 -
      F-Secure 8.0.14332.0 2008.11.30 -
      Fortinet 3.117.0.0 2008.11.30 -
      GData 19 2008.11.30 -
      Ikarus T3.1.1.45.0 2008.11.30 -
      K7AntiVirus 7.10.538 2008.11.29 -
      Kaspersky 7.0.0.125 2008.11.30 -
      McAfee 5449 2008.11.29 -
      McAfee+Artemis 5449 2008.11.29 -
      Microsoft 1.4104 2008.11.30 -
      NOD32 3651 2008.11.30 -
      Norman 5.80.02 2008.11.28 -
      Panda 9.0.0.4 2008.11.30 -
      PCTools 4.4.2.0 2008.11.30 -
      Prevx1 V2 2008.11.30 -
      Rising 21.05.62.00 2008.11.30 -
      SecureWeb-Gateway 6.7.6 2008.11.29 -
      Sophos 4.36.0 2008.11.30 -
      Sunbelt 3.1.1832.2 2008.11.27 -
      Symantec 10 2008.11.30 -
      TheHacker 6.3.1.1.169 2008.11.29 -
      TrendMicro 8.700.0.1004 2008.11.28 -
      VBA32 3.12.8.9 2008.11.30 -
      ViRobot 2008.11.29.1492 2008.11.29 -
      VirusBuster 4.5.11.0 2008.11.30 -
      Information additionnelle
      File size: 28672 bytes
      MD5...: 523946dec7a8a9c323acc232b47574a0
      SHA1..: 4db51ceb382d18645d7cc84e2eed923af31995f4
      SHA256: a6dfb06f935c97c9fe4614b63121ab3edd810bc9185b14a486402b6879e5d662
      SHA512: 1b123b910d38fe2656c2cda972ecc8d3909bc8f8f8c24594146892010a4e2ec5
      5c9d96d74093d29395b0c8e01b4ad9571dedba575887f1d581d12844b007b733
      ssdeep: 384:GO0boWFTHnJqoRlkvu4nW3ia1KN6H/d6f1aD:GdJ9rKu4nCi/N6fd69aD
      PEiD..: Armadillo v1.71
      TrID..: File type identification
      Win32 Executable Generic (42.3%)
      Win32 Dynamic Link Library (generic) (37.6%)
      Generic Win/DOS Executable (9.9%)
      DOS Executable Generic (9.9%)
      Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
      PEInfo: PE Structure information

      ( base data )
      entrypointaddress.: 0x402d5e
      timedatestamp.....: 0x46cce33e (Thu Aug 23 01:30:38 2007)
      machinetype.......: 0x14c (I386)

      ( 5 sections )
      name viradd virsiz rawdsiz ntrpy md5
      .text 0x1000 0x1eec 0x2000 6.02 4c57169c99fb5c2be0eb5699bd1acbc0
      .rdata 0x3000 0x93a 0x1000 3.47 6cf05a27714a5f3511ed4dc156681057
      .data 0x4000 0x200 0x1000 1.01 9aa833075fd820eb58f73e4ea6449f58
      PAGECONS 0x5000 0x10 0x1000 0.05 b108dd9efebe4d7ac76987fad2d0aa36
      .rsrc 0x6000 0x3a8 0x1000 0.94 e88bcf105713e1e8ef2675f8d9aefb67

      ( 7 imports )
      > KERNEL32.dll: HeapFree, CreateFileA, DuplicateHandle, Sleep, GetCurrentThread, ResetEvent, WaitForSingleObject, HeapAlloc, GetProcessHeap, GetTickCount, lstrcatA, lstrcpyA, lstrlenA, GetCurrentProcess, lstrcmpiA, Process32Next, Process32First, CreateToolhelp32Snapshot, WaitForMultipleObjects, CreateMutexA, GetWindowsDirectoryA, GetFullPathNameA, GetModuleFileNameA, GetLastError, GetVersionExA, GetExitCodeProcess, CreateProcessA, SetEvent, CreateEventA, IsBadReadPtr, OpenProcess, GetStartupInfoA, CloseHandle, GetModuleHandleA
      > MSVCRT.dll: __setusermatherr, __p__commode, _initterm, __getmainargs, __p__fmode, _except_handler3, _acmdln, __set_app_type, _controlfp, exit, _XcptFilter, _exit, _beginthread, _endthread, _adjust_fdiv
      > SHLWAPI.dll: StrStrIA
      > SETUPAPI.dll: SetupDiDestroyDeviceInfoList, SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInterfaceDetailA, SetupDiOpenDevRegKey, SetupDiGetClassDevsA, SetupDiEnumDeviceInfo, SetupDiGetClassDevsExA, SetupDiGetDeviceRegistryPropertyA
      > USER32.dll: DispatchMessageA, GetWindowLongA, CreateDialogParamA, BroadcastSystemMessageA, TranslateMessage, PostQuitMessage, SetWindowLongA, RegisterWindowMessageA, DestroyWindow, PostMessageA, IsDialogMessageA, IsWindow, GetMessageA
      > ADVAPI32.dll: RegOpenKeyExA, RegDeleteValueA, RegSetValueExA, RegQueryValueExA, RegCloseKey
      > ksproxy.ax: KsSynchronousDeviceControl

      ( 0 exports )
      CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=523946dec7a8a9c323acc232b47574a0' target='_blank'>http://research.sunbelt-software.com/...
      0
  10. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Télécharges MSNFix.zip (de !aur3n7) :
    http://sosvirus.changelog.fr/MSNFix.zip
    --> décompresses-le sur le Bureau ( = extraire tout ).

    Déplaces ensuite le dossier que tu viens d'extraire directement sous ton disque dure ,
    c'est à dire ici -> C:\MSNFix .
    ( c'est très important pour le bon fonctionnement de l'outil ! ).

    Impératif : Démarrer en mode sans echec .

    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

    Comment aller en Mode sans échec :
    1) Redémarres ton ordi .
    2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
    3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
    4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
    5) Choisis ton compte habituel ( et pas Administrateur ).
    attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

    Lances le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
    - Exécute l'option R (recherche).
    - Si l'infection est détectée, exécute l'option N (nettoyage) .

    -> Une fois finit, sauvegardes le rapport généré sur ton bureau .
    Redémarres ton PC ( = retour au mode normal ).

    -> il se peut aussi que l'infection doit être nettoyer au redémarrage du PC : avant l'arrivée du bureau , une fenêtre demandant l'exécution de "MSNfix" s'ouvre .
    -> cliques sur ok pour que l'outil puisse finir de travailler (patiente jusqu'à l'apparition du bureau ... ceci peut s'avérer relativement long).
    le rapport s'ouvrira à l'arrivée du bureau ...

    ( PS : le rapport est en outre sauvegardé ici C:\MSNFix\"date_heure".txt ou ici C:\WINDOWS\msnfix.txt )

    ---> postes moi ce rapport dans ta prochaine réponse pour analyse ...
    0
  11. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
     
    Re,

    L'analyse à échoué malgré le respect scrupuleux des directives.

    A cause du message suivant :

    MSNFix.exe n'est pas une application win32 valide.

    Que faire maintenant ?
    0
  12. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    tu as été en mode sans echec ?
    0
    1. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
       
      Tout à fait
      0
      1. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention   > Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
         
        C'est peu être à cause d'une erreur qui apparait pendant l'extraction du fichier MSNFix.zip comme suit :

        Erreur: Le fichier C:\documents and settings\nico\Bureau\MSNFix\incl\Process.exe est corrompu.
        0
  13. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    élécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau : http://www.techsupportforum.com/sectools/Deckard/dss.exe
    - Choisis <enregistrer> et <Bureau> pour l'emplacement.
    - Ferme toutes les applications en cours (même internet). C'est important car sinon le PC peut planter.
    - Double-clique sur dss.exe pour lancer l'outil.
    - S'il ne trouve pas HijackThis, clique sur Oui.
    - Clique sur OK à chaque fois que cela te sera demandé.
    - Une fois l'analyse finie un rapport s'affichera. Poste son contenu dans ta réponse.
    NB : Le rapport se trouve aussi ici : C:\Deckard\System Scanner\main.txt
    0
    1. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
       
      Ton dernier lien ne fonctionne pas
      0
  14. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    desactive ton antivirus retéléchare le et teste stpp
    0
  15. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    je parle de msnfix
    0
  16. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
     
    Ca n'a rien changé...

    Toujours une erreur à l'extraction :
    Erreur: Le fichier C:\documents and settings\nico\Bureau\MSNFix\incl\Process.exe est corrompu.

    Toujours l'analyse qui ne se lance pas :
    Process.exe n'est pas une application win32 valide.

    Mouais mouais mouais...
    0
    1. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
       
      Je suis toujours là...

      Ou en est on ?

      Que peut tu me dire hors protocole ?

      @+
      0
      1. archet9 > Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
         
        je me permets d intervenir car ca rame 1 peu...
        d autant+ que tu es infecté par bagle....(pas le + facile a virer.!!!!!!!!!)

        2- Télécharges FindyKill de Chiquitine29 :

        http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

        ->Enregistres le sur ton bureau et pas ailleurs !

        !! Déconnectes toi et fermes toute applications en cours !!

        ( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

        -> Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.


        a+
        0
      2. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention   > archet9
         
        Merci pour ton soutien

        voilà le rapport findykill



        ----------------- FindyKill V4.706 ------------------

        * User : Nico - NICOLAS-MCU1TQA
        * executed from : C:\Program Files\FindyKill
        * Update on 27/11/08 par Chiquitine29
        * Start at 23:27:43 the 30/11/2008
        * Windows XP - Internet Explorer 7.0.5730.13


        ((((((((((((((( *** deleting *** ))))))))))))))))))


        --------------- [ Active Processes ] ----------------


        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\csrss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\logonui.exe
        C:\WINDOWS\system32\ZoneLabs\vsmon.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\System32\cisvc.exe
        C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
        C:\WINDOWS\system32\nvsvc32.exe
        C:\WINDOWS\System32\alg.exe

        --------------- [ Infected files / folders ] ----------------


        »»»» Supression files in C:


        »»»» Supression files in C:\WINDOWS


        »»»» Supression files in C:\WINDOWS\Prefetch


        »»»» Supression files in C:\WINDOWS\system32


        »»»» Supression files in C:\WINDOWS\system32\drivers


        »»»» Supression files in C:\Documents and Settings\Nico\Application Data


        »»»» Supression files in C:\DOCUME~1\Nico\LOCALS~1\Temp


        »»»» Supression files in C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5

        Deleted ! - C:\Documents and Settings\Nico\Local Settings\Application Data\Microsoft\Media Player\Cache d'images\LocalMLS\{38F9802A-6373-424A-B643-8569F21E8858}.jpg
        Deleted ! - C:\Documents and Settings\Nico\Local Settings\Application Data\Microsoft\Media Player\Cache d'images\LocalMLS\{B3984833-4986-4B9C-B7DE-8E2B5AB647F0}.jpg

        --------------- [ Registry / Infected keys ] ----------------


        --------------- [ States / Restarting of services ] ----------------



        +- Services : [ Auto=2 / Request=3 / Disable=4 ]

        Ndisuio - Type of startup = 3

        EapHost - Type of startup = 2

        Ip6Fw - Type of startup = 2

        SharedAccess - Type of startup = 2

        wuauserv - Type of startup = 2

        wscsvc - Type of startup = 2


        --------------- [ Cleaning removable drives ] ----------------

        +- Informations :

        C: - Lecteur fixe

        D: - Lecteur de CD-ROM

        G: - Lecteur fixe


        +- deleting files :

        Not deleted !! - D:\autorun.inf

        --------------- [ Registry / Mountpoint2 ] ----------------


        -> Not found !


        --------------- [ Searching Cracks / Keygen ] ----------------



        ---------------- ! End of report ! ------------------
        0
  17. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Télécharge combofix (par sUBs)à partir d'un de ces liens :
    En premier
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    A lire
    http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

    -> Double clique sur combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
  18. archet9
     
    applique le post 29 maintenant....

    a+
    0
    1. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
       
      Voilà le rapport Combofix

      ComboFix 08-11-30.01 - Nico 2008-11-30 23:39:31.1 - NTFSx86
      Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.705 [GMT 1:00]
      Lancé depuis: c:\documents and settings\Nico\Mes documents\Mes fichiers reçus\ComboFix.exe
      * Un nouveau point de restauration a été créé

      [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_BOONTY_GAMES
      -------\Service_Boonty Games


      ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-28 au 2008-11-30 ))))))))))))))))))))))))))))))))))))
      .

      2008-11-30 23:20 . 2008-11-30 23:30 <REP> d-------- c:\program files\FindyKill
      2008-11-30 19:15 . 2008-11-30 19:15 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
      2008-11-30 19:13 . 2008-11-30 19:13 <REP> d-------- c:\windows\ERUNT
      2008-11-30 19:07 . 2008-11-30 19:36 <REP> d-------- C:\SDFix
      2008-11-30 01:25 . 2008-11-30 01:30 <REP> d-------- c:\program files\UsbFix
      2008-11-29 23:12 . 2008-11-29 23:12 <REP> d-------- c:\program files\Trend Micro
      2008-11-12 09:20 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
      2008-11-12 09:19 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
      2008-10-28 21:02 . 2008-10-28 21:02 <REP> d-------- c:\program files\FileZilla FTP Client
      2008-10-28 21:02 . 2008-10-30 23:27 <REP> d-------- c:\documents and settings\Nico\Application Data\FileZilla
      2008-10-24 16:25 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
      2008-10-16 18:02 . 2008-10-16 18:03 3,403,830 --a------ c:\windows\Papier-peint-PhotoFiltre.bmp
      2008-10-15 18:51 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
      2008-10-15 18:50 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
      2008-10-15 18:50 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
      2008-10-15 18:50 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
      2008-10-15 18:50 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
      2008-10-15 18:50 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
      2008-10-09 15:38 . 2008-10-09 15:38 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer
      2008-10-09 15:38 . 2008-09-06 14:09 90,112 --a------ c:\windows\system32\QuickTimeVR.qtx
      2008-10-09 15:38 . 2008-09-06 14:09 57,344 --a------ c:\windows\system32\QuickTime.qts
      2008-10-09 15:37 . 2008-10-09 15:38 <REP> d-------- c:\program files\QuickTime Alternative
      2008-10-09 12:36 . 2008-10-17 21:31 <REP> d-------- c:\documents and settings\Nico\Graphisoft
      2008-10-09 12:36 . 2008-10-09 13:35 <REP> d-------- c:\documents and settings\Nico\Application Data\Graphisoft
      2008-10-09 12:28 . 2008-10-09 12:28 8,428 --a------ c:\windows\vpd.properties
      2008-10-09 12:22 . 2008-10-09 12:22 <REP> d-------- c:\program files\Graphisoft
      2008-10-09 12:19 . 2008-10-09 12:20 <REP> d-------- c:\program files\Java

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-11-30 22:44 58,351,648 --sha-w c:\windows\system32\drivers\fidbox.dat
      2008-11-30 22:41 685,808 --sha-w c:\windows\system32\drivers\fidbox.idx
      2008-11-29 20:03 --------- d-----w c:\documents and settings\Nico\Application Data\Azureus
      2008-11-29 19:12 --------- d-----w c:\program files\Azureus
      2008-11-29 16:57 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
      2008-11-03 13:58 --------- d-----w c:\documents and settings\Nico\Application Data\uniblue
      2008-11-03 13:58 --------- d-----w c:\documents and settings\All Users\Application Data\DriverScanner
      2008-11-03 13:56 --------- d-----w c:\program files\Windows Live
      2008-10-31 22:24 --------- d-----w c:\documents and settings\Nico\Application Data\vlc
      2008-10-28 20:50 --------- d-----w c:\program files\VideoLAN
      2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
      2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
      2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
      2008-10-21 13:53 --------- d-----w c:\program files\Microsoft Silverlight
      2008-10-07 19:42 --------- d-----w c:\program files\Real
      2008-10-07 19:12 --------- d-----w c:\program files\Fichiers communs\Real
      2008-05-13 16:12 7,639,560 ----a-w c:\program files\Azureus_3.0.3.4_windows.exe
      2008-05-09 17:48 2,402,832 ----a-w c:\program files\WLinstaller.exe
      2008-02-23 00:16 22,328 -c--a-w c:\documents and settings\Nico\Application Data\PnkBstrK.sys
      2008-01-01 14:45 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
      2008-07-19 08:44 5,698,384 --sh--w c:\windows\PC Booster 6 Full Version German.exe
      2008-05-10 10:55 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008051020080511\index.dat
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
      "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-02 13529088]
      "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 1443072]
      "V0350Mon.exe"="c:\windows\V0350Mon.exe" [2007-08-23 28672]
      "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-02 86016]
      "nwiz"="nwiz.exe" [2008-05-02 c:\windows\system32\nwiz.exe]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMBalloonTip"= 0 (0x0)

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "c:\\Program Files\\Jeux PC\\Warhammer 40000\\W40kWA.exe"=
      "c:\\Program Files\\Jeux PC\\Warhammer 40000\\W40k.exe"=
      "c:\\Program Files\\Messenger\\msmsgs.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
      "c:\\Program Files\\Azureus\\Azureus.exe"=
      "c:\\WINDOWS\\system32\\dpvsetup.exe"=

      R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-02-20 33800]
      R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2008-05-09 38144]
      S1 aswSP;avast! Self Protection; []
      S2 aswFsBlk;aswFsBlk; []
      S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe /s c:\windows\nod32fixtemdono.reg [2001-08-28 3584]
      S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
      S3 jgameenp;jgameenp;\??\c:\docume~1\Nico\LOCALS~1\Temp\jgameenp.sys []
      S3 VF0350Afx;VF0350 Audio FX;c:\windows\system32\Drivers\V0350Afx.sys [2008-05-25 142656]
      S3 VF0350Vfx;VF0350 Video FX;c:\windows\system32\DRIVERS\V0350VFx.sys [2008-05-25 7424]
      S3 VF0350Vid;Live! Cam Video IM (VF0350);c:\windows\system32\DRIVERS\V0350Vid.sys [2008-05-25 170368]
      S4 hpt3xx;hpt3xx; []
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      WebBrowser-{6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)


      .
      ------- Examen supplémentaire -------
      .
      FireFox -: Profile - c:\documents and settings\Nico\Application Data\Mozilla\Firefox\Profiles\gz61s3rk.default\
      FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/
      FF -: plugin - c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.1.0.30716.0.dll
      FF -: plugin - c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.dll
      FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
      .

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-11-30 23:43:20
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\windows\system32\ZoneLabs\vsmon.exe
      c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe
      c:\windows\system32\nvsvc32.exe
      c:\windows\system32\rundll32.exe
      .
      **************************************************************************
      .
      Heure de fin: 2008-11-30 23:50:04 - La machine a redémarré
      ComboFix-quarantined-files.txt 2008-11-30 22:49:59

      Avant-CF: 16 902 860 800 octets libres
      Après-CF: 16,826,777,600 octets libres

      147 --- E O F --- 2008-11-12 10:06:31
      0
    2. archet9 > Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
       
      reprends le post 6 et execute le en mode sans echec stp

      poste le rapport....

      a+
      0
    3. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention   > archet9
       
      Re,

      Voilà le rapport, cependant l'analyse n'a pas été exécuté en mode sans échec.
      J'espère que c'est pas à refaire car ça prend quand même une heure...

      Malwarebytes' Anti-Malware 1.30
      Version de la base de données: 1434
      Windows 5.1.2600 Service Pack 3

      01/12/2008 01:20:56
      mbam-log-2008-12-01 (01-20-56).txt

      Type de recherche: Examen complet (A:\|C:\|D:\|E:\|G:\|)
      Eléments examinés: 100916
      Temps écoulé: 1 hour(s), 5 minute(s), 49 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
    4. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention   > Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
       
      Re,

      J'ai quand même refait le scan en mode sans échec (post 6).

      Deux heures...

      Toujours pas de trace du virus...

      Le rapport :

      Malwarebytes' Anti-Malware 1.30
      Version de la base de données: 1440
      Windows 5.1.2600 Service Pack 3

      01/12/2008 16:55:28
      mbam-log-2008-12-01 (16-55-28).txt

      Type de recherche: Examen complet (A:\|C:\|D:\|E:\|G:\|)
      Eléments examinés: 101906
      Temps écoulé: 2 hour(s), 5 minute(s), 22 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
    5. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention   > Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
       
      Allo quelqu'un...

      J'ai refait un raport Hijackthis au cas ou...

      Ou se situe le virus bagle svp ?

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 17:17:36, on 01/12/2008
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16735)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
      C:\WINDOWS\V0350Mon.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
      O4 - HKLM\..\Run: [V0350Mon.exe] C:\WINDOWS\V0350Mon.exe
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
      O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
      O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  19. archet9
     
    encore des problemes?

    a+
    0
    1. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
       
      Ben en fait ça fonctionne comme avant mais je n'avait pas de réelles difficultés.

      Je suis très content de savoir que j'étais infecté par un virus "Bagle" qui je l'espère est maintenant détruit.
      En tout cas jusque là il ne s'ést pas manifesté sous quelque forme que ce soit... cool

      Mon soucis de base était surtout de supprimer les processus encombrants en mémoire (ekrn) si possible et de conserver uniquement l'essentiel.

      Merci quand même pour tout ce que tu as fait jusque là.

      Pourrais tu stp en quelques mots me faire un topo de ton analyse et du cheminement que tu as suivi pour identifier les éléments qui te paraissaient responsables d'un problème ?

      Je pense que tu as autre chose à faire, c'est sur, mais je souhaiterais retenir un enseignement de tes actions car j'ai la forte impression de n'avoir été qu'un outil qui n'a rien compris (en tout cas dans le détail) au travail qu'il effectuait.

      C'est même complètement le cas...

      Mais en même temps vous n'êtes pas là pour être bavard mais pour être efficace

      Enfin bon...

      J'attends tes directives...

      @+
      0
      1. archet9 > Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
         
        pour desinstaller les outils utilisés

        Telecharge ToolsCleaner2--> http://pc-system.fr/

        -Une fois téléchargé, installe-le et lance-le

        -Clique sur Recherche et laisse le scan se terminer

        -Clique sur Suppression

        -Clique sur Quitter pour que le rapport puisse se créer

        -Poste moi le rapport se trouvant ici--> C:\TCleaner.txt


        puis

        ---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :

        https://www.commentcamarche.net/telecharger/ 168 ccleaner

        * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
        * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
        * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre).
        * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman)
        * Décoche la case plus vieux que 48 h

        enfin

        ---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
        http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

        ---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
        https://www.vulgarisation-informatique.com/creer-point-restauration.php

        a+


        0
      2. Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention   > archet9
         
        [ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

        -->- Recherche:

        C:\Combofix.txt: trouvé !
        C:\FindyKill.txt: trouvé !
        C:\UsbFix.txt: trouvé !
        C:\SDFIX: trouvé !
        C:\Qoobox: trouvé !
        C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
        C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
        C:\Documents and Settings\Nico\Bureau\HijackThis.lnk: trouvé !
        C:\Documents and Settings\Nico\Bureau\UsbFix.exe: trouvé !
        C:\Documents and Settings\Nico\Bureau\UsbFix.lnk: trouvé !
        C:\Documents and Settings\Nico\Menu Démarrer\Programmes\UsbFix: trouvé !
        C:\Documents and Settings\Nico\Menu Démarrer\Programmes\FindyKill: trouvé !
        C:\Documents and Settings\Nico\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
        C:\Documents and Settings\Nico\Mes documents\Mes fichiers reçus\ComboFix.exe: trouvé !
        C:\Documents and Settings\Nico\Mes documents\Mes fichiers reçus\HJTInstall.exe: trouvé !
        C:\Program Files\UsbFix: trouvé !
        C:\Program Files\FindyKill: trouvé !
        C:\Program Files\Trend Micro\HijackThis: trouvé !
        C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
        C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
        C:\Program Files\UsbFix\UsbFix.exe: trouvé !

        ---------------------------------
        -->- Suppression:

        C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
        C:\Documents and Settings\Nico\Bureau\HijackThis.lnk: supprimé !
        C:\Documents and Settings\Nico\Mes documents\Mes fichiers reçus\ComboFix.exe: ERREUR DE SUPPRESSION !!
        C:\Documents and Settings\Nico\Mes documents\Mes fichiers reçus\HJTInstall.exe: supprimé !
        C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
        C:\Combofix.txt: supprimé !
        C:\FindyKill.txt: supprimé !
        C:\UsbFix.txt: supprimé !
        C:\Documents and Settings\Nico\Bureau\UsbFix.exe: supprimé !
        C:\Documents and Settings\Nico\Bureau\UsbFix.lnk: supprimé !
        C:\Documents and Settings\Nico\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
        C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
        C:\Program Files\UsbFix\UsbFix.exe: supprimé !
        C:\SDFIX: supprimé !
        C:\Qoobox: supprimé !
        C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
        C:\Documents and Settings\Nico\Menu Démarrer\Programmes\UsbFix: supprimé !
        C:\Documents and Settings\Nico\Menu Démarrer\Programmes\FindyKill: supprimé !
        C:\Program Files\UsbFix: supprimé !
        C:\Program Files\FindyKill: supprimé !
        C:\Program Files\Trend Micro\HijackThis: supprimé !

        Corbeille vidée!
        0
      3. archet9 > Muad dib Messages postés 56 Date d'inscription   Statut Membre Dernière intervention  
         
        Supprimes Combofix ainsi :

        ->Cliques sur " Démarrer "( ou combine la touche Windows + R ) -> " Executer " -> copie/colles cette ligne :

        ComboFix /u

        ( laisses l'espace entre Combofix et /u )

        -->Valides .

        a+
        0