Aller au contenu


Photo
- - - - -

ComboFix = le service client DHCP devenu fou


  • Veuillez vous connecter pour répondre
16 réponses à ce sujet

#1 Troudhyl

Troudhyl

    Junior Member

  • Membres
  • 10 messages

Posté 21 août 2012 - 08:41

Bonsoir,

Je poste ici suite à une expérience malheureuse avec Combofix (entièrement ma faute, j'ai fait confiance les yeux fermés sans me renseigner sur l'utilisation). Tout d'abord voici ce qu'il a mis en quarantaine (ce n'est pas le sujet) :

├───Quarantine
│   │   catchme.log
│   │
│   ├───C
│   │   ├───Users
│   │   │   └───<censuré>
│   │   │       └───AppData
│   │   │           ├───Local
│   │   │           │   └───assembly
│   │   │           │       └───tmp
│   │   │           └───Roaming
│   │   │               └───Local
│   │   │                   └───Temp
│   │   │                       └───DDM
│   │   │                           └───Settings
│   │   │                               │   .ddr.vir
│   │   │                               │   0.ddi.vir
│   │   │                               │   1.ddi.vir
│   │   │                               │   2.ddi.vir
│   │   │                               │   Post_Install_RB_HiQ_en.divx.ddr.vir
│   │   │                               │   settings.ddi.vir
│   │   │                               │   videoplayback.ddr.vir
│   │   │                               │
│   │   │                               └───Temporary Downloaded Files
│   │   │                                       (2).vir
│   │   │                                       Post_Install_RB_HiQ_en.divx.vir
│   │   │                                       videoplayback.ddp.vir
│   │   │
│   │   └───Windows
│   │       │   SysWOW64mfc45.dll.vir
│   │       │   w32dasm8.ini.vir
│   │       │
│   │       └───SysWOW64
│   │           │   muzapp.exe.vir
│   │           │
│   │           └───URTTEMP
│   │                   regtlib.exe.vir
│   │
│   ├───D
│   │       install.exe.vir
│   │
│   └───Registry_backups
│           Legacy_WINRING0_1_0_1.reg.dat
│           tcpip.reg

Comme je n'étais pas en mode sans échec et que j'avais pas mal de choses de lancées (Shrew Soft VPN Client et FrozenWay pour le réseau notamment), ça s'est assez mal passé. Ma RAM a été saturée, ça "swapait à mort". Après le redémarrage commandé par Combofix, pareil, mémoire saturée, il n'a pas réussi à faire son rapport (3 processus ont planté et j'ai fini par fermer tout vu que ça ne bougeait plus). J'ai redémarré un nombre incalculable de fois ensuite, en tuant les svchost, pensant que ComboFix avait réveillé un monstre de virus :D

En fait après analyse il s'avère que c'est le service Client DHCP qui est devenu complètement dingue. Il se coupe et se recrée très vite, affolant le compteur PID et saturant complètement la mémoire (services.exe). Donc je l'ai désactivé et tout va bien...

Quelqu'un saurait, à partir des symptomes que j'ai décrit (ou infos complémentaires si besoin), quel est le problème et comment le résoudre pour que je puisse réactiver le service ? En question subsidiaire, si vous avez un avis sur ce qu'il a mis en quarantaine... (que des faux positifs que je peux restaurer ? install.exe c'est l'installateur de MSVC9.0)
  • 0

PUBLICITÉ

    Annonces Google

#2 pear

pear

    Devil Member !

  • Equipe Sécurité
  • 24199 messages

Posté 22 août 2012 - 11:45

des faux positifs que je peux restaurer ?


Ouvrir le bloc-note sur le Bureau,
Copier/Coller:

DeQuarantine::
C:\Qoobox\Quarantine\C\*.*
Quit::

Enregistrer sous CFScript.txt
Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
Image IPB


Dhcp n'est pas indispensable(désactivé chez moi depuis des années)
  • 0

#3 Troudhyl

Troudhyl

    Junior Member

  • Membres
  • 10 messages

Posté 22 août 2012 - 12:15

D'accord merci.

Pour moi si, j'ai besoin de DHCP (notamment pour FrozenWay). J'ai oublié dans mes connexions celle de Virtualbox et celle de ma clef USB Wifi Realtek (mode Access Point pour partager la connexion avec les consoles etc.). Faute d'une solution précise, ce que je ferai ce soir c'est réinstaller ces connexions, car peut-être que le service DHCP déconne à cause d'une déconfiguration de l'une d'entre elles par ComboFix.
  • 0

#4 Troudhyl

Troudhyl

    Junior Member

  • Membres
  • 10 messages

Posté 22 août 2012 - 10:02

Bon finalement ComboFix n'est pas étranger à mes problèmes, faut bien dire que sa façon de fonctionner en noob mode (double clic et je m'occupe de tout) est casse-pieds. Tu n'as pas précisé si je devais l'avoir d'installé (je pensais que ComboFix.exe gérait ces espèces de scripts lui-même), donc en fait en faisant le glisser-déposer j'ai lancé l'installation et tout le bazard, qui enchaine tout sans te poser de question (mais je ne me suis pas laissé faire). Un démarrage en mode sans échec plus tard (seul moyen de désinstaller ComboFix), suivi d'une reconfiguration de tout ce qu'il casse sans rien demander (paramètres de l'explorateur, partages admin à désactiver, etc etc), j'ai renommé les .vir à la main pour les restaurer, juste ceux qui sont dans C:\Windows.

J'ai tenté la réinstallation des interfaces réseau mais sans succès. Par contre je peux être plus précis : le Client DHCP déconne bel est bien (prend 100% CPU quand activé). Par contre pour saturer la mémoire, il lance des milliers de fois le service "Agent de stratégie IPSEC". Donc si je désactive ce dernier et réactive le client DHCP, j'ai "seulement" les 100% CPU. Je ne sais pas si je peux être encore plus précis... L'Agent de stratégie IPSEC ne me sert pas, même si j'utilise IPSEC avec ma connexion VPN principale (Shrew).

Edit : Aïe, j'ai le même problème que lui :/ http://www.justanswe...-650mb-ram.html

Modifié par Troudhyl, 22 août 2012 - 10:09 .

  • 0

#5 pear

pear

    Devil Member !

  • Equipe Sécurité
  • 24199 messages

Posté 23 août 2012 - 09:10

Et pourquoi ne ps faire un diagnostic?

S'il n'y pas de virus ou malwares, vous déplacerez votre sujet sur un forum ad-hoc de ce site.

Lancez cet outil de diagnostic:

Zhpdiag 1.31

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Sur le bureau ,il y aura 3 icônes
Image IPB

Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Image IPB

Cliquez sur le bouton Image IPB en haut, à droite et choisissez Tous
Pour éviter un blocage, décochez 045 et 061

Clic sur la Loupe en haut, à gauche pour lancer le scan
Postez le rapport ZhpDiag.txt qui apparait sur le bureau

Comment poster les rapports
Cliquez sur ce bouton Image IPB en haut, à droite
Appuyez sur Parcourir et chercher le rapport ,
Cliquer sur Envoyer [b]
>> dans la page suivante -->
Cliquer [b]Pjjoint Uploader
,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.


  • 0

#6 Troudhyl

Troudhyl

    Junior Member

  • Membres
  • 10 messages

Posté 23 août 2012 - 08:42

Voilà...
pjjoint.malekal.com - Submit a file

Ce qu'il faudrait savoir surtout c'est ce que ComboFix fait, pour connaitre ce qu'il a pu casser sur ma machine qui fonctionnait parfaitement.

Je partage un autre fichier que je ne saurais pas interpréter : une trace du client DHCP (IPSEC désactivé) générée pendant à peine une seconde. http://www.partage-f...pcsvc6.etl.html
Edit : Autre essai avec l'observateur d'événement, plus user friendly : http://www.partage-f.../dhcp.evtx.html

Edit : Je viens de prendre connaissance de la FAQ (maintenant que je n'ai rien de mieux à faire que d'attendre de l'aide...), en fait je suis arrivé ici grâce au lien donné sur le guide ComboFix, je n'ai pas posté ici parce que je suis infecté (je ne le suis pas), mais parce que c'est ici que les gens connaissent ComboFix.

Modifié par Troudhyl, 23 août 2012 - 11:24 .

  • 0

#7 pear

pear

    Devil Member !

  • Equipe Sécurité
  • 24199 messages

Posté 24 août 2012 - 09:32

Ce qu'il faudrait savoir surtout c'est ce que ComboFix fait, pour connaitre ce qu'il a pu casser sur ma machine qui fonctionnait parfaitement.


Il faut prendre le problème autrement.
Par exemple "N'y aurait-il pas sur la machine quelque chose qui empêche Combofix de fonctionner normalement"
ou encore, parce que Combofix n'est pas normalement destructeur,
" A-t-il été utilisé dans les règles, sans rien toucher à la machine pendant qu'il travaille?"

Dans l'immédiat, procédez à ce nettoyage:

Spybot, totalement obsolète doit être désinstallé.
Vous pourriez utiliser Mbam (Malewares Bytes)pour le remplacer.
Téléchargez MBAM
ICI
ou LA

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!
Sous Vista, exécuter avec privilèges Administrateur
Afficher d'abord le Mode Avancé dans SpyBot
->Options Avancées :
- >menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
- >cliquer sur Outils,
- >cliquer sur Résident,
Dans Résident :
- >décocher Résident "TeaTimer" pour le désactiver.
Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :
C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots
Et sous Vista :
C:\ProgramData\Spybot - Search & Destroy\Snapshots
Si vous ne trouvez pas Snapshots, poursuivez la procédure sans vous en préoccuper



Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .
Image IPB
Cliquer sur l'icône Zhpfix
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Ctrl+v pour inscrire le texte dans le Document
Vous ne verrez rien avant d'avoir Cliqué sur le H- Image IPB


O1 - Hosts: 195.83.11.66 wwwcache.<domain>.fr # proxy INSA => Infection Hosts (Hosts.Redirection)
O1 - Hosts: # mistyped URLs to search engines. They => Infection Hosts (Hosts.Redirection)
O1 - Hosts: # log all such errors. => Infection Hosts (Hosts.Redirection)
O1 - Hosts: # URLs to their site. => Infection Hosts (Hosts.Redirection)
O1 - Hosts: # video on sites such as cbc.ca => Infection Hosts (Hosts.Redirection)
O1 - Hosts: # and potentially other sites. => Infection Hosts (Hosts.Redirection)
O1 - Hosts: # up CSS on livejournal => Infection Hosts (Hosts.Redirection)
O1 - Hosts: # problems with NPR.org => Infection Hosts (Hosts.Redirection)
O1 - Hosts: # ads and track users across => Infection Hosts (Hosts.Redirection)
O1 - Hosts: # the com.com family of sites => Infection Hosts (Hosts.Redirection)
O1 - Hosts: # and some distribute adware and spyware => Infection Hosts (Hosts.Redirection)
O1 - Hosts: # message board spam and are unlikely to be real sites => Infection Hosts (Hosts.Redirection)
O42 - Logiciel: Plants vs. Zombies: Game of the Year - (.PopCap.) [HKLM] -- Steam App 3590 => Infection BT (Adware.PopCap)
O43 - CFD: 13/02/2012 - 20:54:39 - [0,000] ----D C:\ProgramData\PopCap Games => Infection BT (Adware.PopCap)
O43 - CFD: 30/07/2012 - 21:24:36 - [0,002] ----D C:\Users\<UserName>\AppData\Roaming\pdfforge => Infection BT (PUP.Dealio)
[HKCU\Software\StartSearch] => Infection PUP (PUP.StartSearch)
[HKCU\Software\SteamPopCap] => Infection BT (Adware.PopCap)
[HKLM\Software\Wow6432Node\Canneverbe Limited\OpenCandy] => Infection PUP (Adware.OpenCandy)
C:\ProgramData\PopCap Games => Infection BT (Adware.PopCap)
C:\Users\<UserName>\AppData\Roaming\pdfforge => Infection BT (PUP.Dealio)
O4 - Global Startup: C:\Users\<UserName>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera.lnk . (...) -- C:\Program Files (x86)\Opera x64\opera.exe (.not file.) => Fichier absent
O41 - Driver: (CFRMD) . (. - .) - C:\Windows\System32\DRIVERS\CFRMD.sys (.not file.) => Fichier absent
O41 - Driver: (CFRPD) . (. - .) - C:\Windows\System32\DRIVERS\CFRPD.sys (.not file.) => Fichier absent
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 => Safer Networking Limited Spybot - S&D
O43 - CFD: 17/09/2011 - 17:45:02 - [67,824] ----D C:\Program Files (x86)\Spybot - Search & Destroy => Spybot - Search & Destroy
O43 - CFD: 01/10/2011 - 22:54:41 - [138,619] ----D C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy
O43 - CFD: 07/04/2009 - 16:01:40 - [0] --HAD C:\Users\<UserName>\AppData\Local\GxkWlU4oZH => Empty Folder not necessary
O43 - CFD: 08/03/2012 - 21:31:18 - [0] ----D C:\Users\<UserName>\AppData\Local\SCE => Empty Folder not necessary
O43 - CFD: 01/08/2012 - 22:00:01 - [0] ----D C:\Users\<UserName>\AppData\Local\The Witcher 2 => Empty Folder not necessary
O43 - CFD: 12/10/2011 - 08:16:30 - [0] ----D C:\Users\<UserName>\AppData\Local\{0020ED27-8021-4C05-88AA-AF8FCF046B98} => Empty Folder not necessary
O43 - CFD: 08/06/2012 - 08:49:31 - [0] ----D C:\Users\<UserName>\AppData\Local\{002DBD80-06C1-4BFB-AA3C-AD4C58ECBE3B} => Empty Folder not necessary
O43 - CFD: 18/03/2012 - 13:01:45 - [0] ----D C:\Users\<UserName>\AppData\Local\{00445301-13C2-49DB-8A27-F26405E562D3} => Empty Folder not necessary
O43 - CFD: 14/01/2012 - 22:46:03 - [0] ----D C:\Users\<UserName>\AppData\Local\{00761205-3CE2-4F25-BD6D-71EC5CA197A5} => Empty Folder not necessary
O43 - CFD: 14/06/2011 - 23:56:26 - [0] ----D C:\Users\<UserName>\AppData\Local\{0094DA51-E17A-4062-BE35-81C833B716CC} => Empty Folder not necessary
O43 - CFD: 23/12/2011 - 09:36:25 - [0] ----D C:\Users\<UserName>\AppData\Local\{00A7015F-727A-46AA-9232-9A23EAFD8B73} => Empty Folder not necessary
O43 - CFD: 13/12/2011 - 01:08:29 - [0] ----D C:\Users\<UserName>\AppData\Local\{00C878DF-7B1D-4EC5-B395-A64DA4E1154F} => Empty Folder not necessary
O43 - CFD: 09/08/2011 - 11:02:47 - [0] ----D C:\Users\<UserName>\AppData\Local\{00ED79F1-BBD7-474D-853A-249432F7B45B} => Empty Folder not necessary
O43 - CFD: 28/07/2012 - 00:02:30 - [0] ----D C:\Users\<UserName>\AppData\Local\{00F577A3-3F5A-419C-8E8A-851607188F73} => Empty Folder not necessary
O43 - CFD: 17/02/2012 - 12:48:29 - [0] ----D C:\Users\<UserName>\AppData\Local\{0147B755-A39C-4C62-BBB6-937A60E35707} => Empty Folder not necessary
O43 - CFD: 31/07/2012 - 19:53:49 - [0] ----D C:\Users\<UserName>\AppData\Local\{01DAB1DE-B50E-42BD-8D2B-F53EDA31C1E3} => Empty Folder not necessary
O43 - CFD: 11/04/2012 - 20:17:18 - [0] ----D C:\Users\<UserName>\AppData\Local\{020F8675-7FAF-4CE5-81BE-D3D6719F9852} => Empty Folder not necessary
O43 - CFD: 24/11/2011 - 21:33:16 - [0] ----D C:\Users\<UserName>\AppData\Local\{024CD3F9-8B84-4A33-83A4-EB11539876C0} => Empty Folder not necessary
O43 - CFD: 20/06/2012 - 22:17:12 - [0] ----D C:\Users\<UserName>\AppData\Local\{02580EAA-5053-4715-93B7-475FB43A5F3D} => Empty Folder not necessary
O43 - CFD: 04/05/2012 - 22:33:03 - [0] ----D C:\Users\<UserName>\AppData\Local\{027731B3-974F-44A9-8A3A-8086D2EA461E} => Empty Folder not necessary
O43 - CFD: 03/12/2011 - 12:58:31 - [0] ----D C:\Users\<UserName>\AppData\Local\{02CCB733-C6C1-48B0-A43A-6103E926ECD2} => Empty Folder not necessary
O43 - CFD: 21/03/2012 - 13:04:00 - [0] ----D C:\Users\<UserName>\AppData\Local\{02E5DE25-1260-43C7-835F-E6C75635B712} => Empty Folder not necessary
O43 - CFD: 14/10/2011 - 08:21:42 - [0] ----D C:\Users\<UserName>\AppData\Local\{03472ED6-95DA-4B03-88F6-5E194673243E} => Empty Folder not necessary
O43 - CFD: 19/09/2011 - 12:17:25 - [0] ----D C:\Users\<UserName>\AppData\Local\{038F9877-22D5-48F9-8943-9B2EAB00FE98} => Empty Folder not necessary
O43 - CFD: 15/02/2012 - 12:47:12 - [0] ----D C:\Users\<UserName>\AppData\Local\{039BFE2B-56C4-402C-BE2D-C7DD3EF09FB8} => Empty Folder not necessary
O43 - CFD: 06/03/2011 - 15:10:19 - [0] ----D C:\Users\<UserName>\AppData\Local\{039C622E-6304-4938-99E7-36F652BFD0C5} => Empty Folder not necessary
O43 - CFD: 28/01/2012 - 12:27:54 - [0] ----D C:\Users\<UserName>\AppData\Local\{039E4945-868F-4D39-BCE2-737D0DFB43E2} => Empty Folder not necessary
O43 - CFD: 14/06/2012 - 22:14:30 - [0] ----D C:\Users\<UserName>\AppData\Local\{03A38D49-A8F1-432B-AD21-3A97D13AE6D3} => Empty Folder not necessary
O43 - CFD: 18/01/2012 - 09:29:14 - [0] ----D C:\Users\<UserName>\AppData\Local\{03E8D3A2-B161-43CC-AFEF-F8864A6D8144} => Empty Folder not necessary
O43 - CFD: 08/04/2012 - 23:30:00 - [0] ----D C:\Users\<UserName>\AppData\Local\{03ECC290-0148-4356-AE43-01FF2378B4CB} => Empty Folder not necessary
O43 - CFD: 19/10/2011 - 08:57:16 - [0] ----D C:\Users\<UserName>\AppData\Local\{041FAFC9-8D5D-4ACC-B9E8-B35FC43E57E2} => Empty Folder not necessary
O43 - CFD: 08/08/2011 - 22:59:12 - [0] ----D C:\Users\<UserName>\AppData\Local\{0495E715-5890-488E-9584-32690F94DE0D} => Empty Folder not necessary
O43 - CFD: 21/04/2011 - 23:41:13 - [0] ----D C:\Users\<UserName>\AppData\Local\{04C86813-8797-4E46-AEF7-A089B49F20A6} => Empty Folder not necessary
O43 - CFD: 10/12/2011 - 01:03:19 - [0] ----D C:\Users\<UserName>\AppData\Local\{04D1C684-1CC8-4233-8EF5-01D65183E986} => Empty Folder not necessary
O43 - CFD: 13/05/2012 - 11:56:05 - [0] ----D C:\Users\<UserName>\AppData\Local\{04E754C0-2B43-4052-B2BD-1C410BB1208E} => Empty Folder not necessary
O43 - CFD: 25/05/2012 - 12:02:56 - [0] ----D C:\Users\<UserName>\AppData\Local\{0549F068-3984-4465-BA83-B361F1E6A255} => Empty Folder not necessary
O43 - CFD: 10/12/2011 - 13:04:30 - [0] ----D C:\Users\<UserName>\AppData\Local\{054C4B21-52E2-4C65-9803-1F1D1F90D8F7} => Empty Folder not necessary
O43 - CFD: 28/02/2012 - 08:43:16 - [0] ----D C:\Users\<UserName>\AppData\Local\{055E807B-DAB0-4230-A9D5-4005836CA387} => Empty Folder not necessary
O43 - CFD: 26/01/2011 - 14:14:52 - [0] ----D C:\Users\<UserName>\AppData\Local\{05B87361-880F-4171-9311-EE2E793FBA40} => Empty Folder not necessary
O43 - CFD: 17/07/2012 - 11:17:18 - [0] ----D C:\Users\<UserName>\AppData\Local\{05E59306-5E7A-4936-B776-B0764535D3D8} => Empty Folder not necessary
O43 - CFD: 02/02/2012 - 12:30:12 - [0] ----D C:\Users\<UserName>\AppData\Local\{061B2D1F-9C5A-44D0-907A-978B269A072B} => Empty Folder not necessary
O43 - CFD: 02/10/2011 - 10:50:15 - [0] ----D C:\Users\<UserName>\AppData\Local\{062EA600-A80A-4FA8-9792-F24CFD832B42} => Empty Folder not necessary
O43 - CFD: 29/11/2011 - 12:54:19 - [0] ----D C:\Users\<UserName>\AppData\Local\{064B8E24-C2AE-4F1C-8F46-973752613A23} => Empty Folder not necessary
O43 - CFD: 12/09/2011 - 23:56:00 - [0] ----D C:\Users\<UserName>\AppData\Local\{065F3208-30A8-403C-B008-FCB526E033D7} => Empty Folder not necessary
O43 - CFD: 15/06/2011 - 11:57:24 - [0] ----D C:\Users\<UserName>\AppData\Local\{0680EC59-C2C1-4D44-BEFB-011B10BC14A7} => Empty Folder not necessary
O43 - CFD: 04/02/2012 - 00:31:17 - [0] ----D C:\Users\<UserName>\AppData\Local\{06C0EC11-BE76-4E78-8CA9-CB7A278FF98B} => Empty Folder not necessary
O43 - CFD: 12/06/2011 - 11:47:28 - [0] ----D C:\Users\<UserName>\AppData\Local\{06F79AA4-09AE-4918-B1CC-2603A34E141D} => Empty Folder not necessary
O43 - CFD: 02/01/2011 - 14:58:43 - [0] ----D C:\Users\<UserName>\AppData\Local\{073AE5D1-876F-44AF-A77D-BF5BB72442C1} => Empty Folder not necessary
O43 - CFD: 24/01/2012 - 00:25:58 - [0] ----D C:\Users\<UserName>\AppData\Local\{0746A618-3CB8-4E46-A545-478B1A64CB95} => Empty Folder not necessary
O43 - CFD: 31/10/2011 - 10:20:54 - [0] ----D C:\Users\<UserName>\AppData\Local\{0762B917-1493-4259-8D6F-505AA4301327} => Empty Folder not necessary
O43 - CFD: 11/04/2011 - 11:25:04 - [0] ----D C:\Users\<UserName>\AppData\Local\{0764967A-8D55-4F02-BB38-4332514201B7} => Empty Folder not necessary
O43 - CFD: 16/11/2011 - 00:09:51 - [0] ----D C:\Users\<UserName>\AppData\Local\{0784A529-D580-4DA0-9C8C-C3A23686BCB2} => Empty Folder not necessary
O43 - CFD: 13/04/2011 - 11:33:17 - [0] ----D C:\Users\<UserName>\AppData\Local\{FFC77F8F-6EE3-4D4A-87A7-CAE0019F6360} => Empty Folder not necessary
O43 - CFD: 10/05/2012 - 22:36:38 - [0] ----D C:\Users\<UserName>\AppData\Local\{FFE92907-0F63-4E91-949D-138519FED555} => Empty Folder not necessary
O43 - CFD: 17/09/2011 - 17:45:02 - [67,824] ----D C:\Program Files (x86)\Spybot - Search & Destroy => Spybot - Search & Destroy
O68 - StartMenuInternet: <Opera> <Opera>[HKLM\..\InstallInfo\ShowIconsCommand] (...) -- C:\Program Files\Opera x64\Opera.exe (.not file.) => Fichier absent
O68 - StartMenuInternet: <Opera> <Opera>[HKLM\..\InstallInfo\ReinstallCommand] (...) -- C:\Program Files\Opera x64\Opera.exe (.not file.) => Fichier absent
O68 - StartMenuInternet: <Opera> <Opera>[HKLM\..\InstallInfo\HideIconsCommand] (...) -- C:\Program Files\Opera x64\Opera.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{B2DA2672-8E30-47F6-B3CC-1C3054E94815}C:\program files (x86)\ibm\rational\doors\9.2\bin\doors.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\ibm\rational\doors\9.2\bin\doors.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{40D5E499-1880-42FC-9C52-B8E979FFBEDB}C:\program files (x86)\ibm\rational\doors\9.2\bin\doors.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\ibm\rational\doors\9.2\bin\doors.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{4DAFE648-B500-4270-BBF5-38E5CB5155F0}C:\program files (x86)\netbeans 7.0\bin\netbeans.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\netbeans 7.0\bin\netbeans.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{E9114286-C9AC-4D86-9949-CDD18BCE3603}C:\program files (x86)\netbeans 7.0\bin\netbeans.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\netbeans 7.0\bin\netbeans.exe (.not file.) => Fichier absent
O87 - FAEL: "{8BF4E65E-171C-409E-89EE-FF2A44657079}" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\netbeans 7.0\bin\netbeans.exe (.not file.) => Fichier absent
O87 - FAEL: "{75B91763-FD3B-4C17-90D1-282DC14AFCDF}" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\netbeans 7.0\bin\netbeans.exe (.not file.) => Fichier absent
O87 - FAEL: "{69A24030-E17D-490C-A89F-FF77AA98640B}" |Out - None - P17 - TRUE | .(...) -- C:\Program Files (x86)\Battlefield 3\bf3.exe (.not file.) => Fichier absent
O87 - FAEL: "{69CE7611-8825-4D5D-887C-4C971C36BA73}" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\hi-rez studios\hirezgames\tribes\binaries\win32\tribesascend.exe (.not file.) => Fichier absent
O87 - FAEL: "{472749E7-72E5-4C81-A4D3-FE490AD4EBC9}" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\hi-rez studios\hirezgames\tribes\binaries\win32\tribesascend.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{777AE054-B314-41DA-8443-67B14D548DBE}C:\program files (x86)\you have to win the game\thegame.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\you have to win the game\thegame.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{FE3BC946-0015-4177-9309-A81BCADFE761}C:\program files (x86)\you have to win the game\thegame.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\you have to win the game\thegame.exe (.not file.) => Fichier absent
O87 - FAEL: "{6072B8D6-4816-4303-B361-5FDCE75D1925}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe (.not file.) => Fichier absent
O87 - FAEL: "{90231801-E8D3-462C-9077-C7EEC05AA2C2}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe (.not file.) => Fichier absent
O87 - FAEL: "{4B75B373-5471-4E2C-867B-B49EF7636D49}" |In - Public - P6 - TRUE | .(...) -- D:\Mes Documents\Bureau\Downloads\a\Hex-Rays.IDA.Pro.Advanced.v6.1.Windows.incl.Hex-Rays.x86.Decompiler.v1.5.READ.NFO-RDW\ida61\idaq64.exe (.not file.) => Fichier absent
O87 - FAEL: "{BDD2A3D3-C9EE-4A35-9DF8-FF39A0D74F57}" |In - Public - P17 - TRUE | .(...) -- D:\Mes Documents\Bureau\Downloads\a\Hex-Rays.IDA.Pro.Advanced.v6.1.Windows.incl.Hex-Rays.x86.Decompiler.v1.5.READ.NFO-RDW\ida61\idaq64.exe (.not file.) => Fichier absent
SS - | Demand 26/01/2009 1153368 | (SBSDWSCService) . (.Safer Networking Ltd..) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe => Spybot%Search & Destroy
O69 - SBI: prefs.js [<UserName> - yt3xq9jo.default] user_pref("extensions.smarterwiki.search_surfcanyon", false); => Toolbar.SurfCanyon
O69 - SBI: prefs.js [<UserName> - yt3xq9jo.default] user_pref("surfcanyon.fractions", "0.0_0.0\r\n"); => Toolbar.SurfCanyon
O69 - SBI: prefs.js [<UserName> - yt3xq9jo.default] user_pref("surfcanyon.last_checked_ts", "1266925042606"); => Toolbar.SurfCanyon
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}] => Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31}] => Toolbar.Agent
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}] => Toolbar.Agent
O43 - CFD: 10/10/2009 - 18:35:03 - [0,000] ----D C:\Users\<UserName>\AppData\Roaming\Juce VST Host



SysRestore
EmptyFlash
EmptyTemp
FirewallRaz
Proxyfix
Hostfix

Image IPB


Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.
Image IPB
Cliquer sur "Tous" puis sur "Nettoyer" .
Redémarrer pour achever le nettoyage.
Un rapport apparait:
Image IPB
Si le rapport n'apparait pas,cliquer surImage IPB
Copier-coller le rapport de suppression dans la prochaine réponse.
  • 1

#8 Troudhyl

Troudhyl

    Junior Member

  • Membres
  • 10 messages

Posté 24 août 2012 - 10:14

Ah c'est sûr, je l'ai dit, j'ai lancé ComboFix sans lire d'explication, ce n'était pas en condition optimale pour qu'il agisse (pensant qu'il allait me donner au moins un avertissement clair d'où je pourrai annuler, mais même lorsqu'il m'a parlé de désactiver l'antivirus on ne peut plus revenir en arrière). En coupant la connexion violemment, il a pu se mettre à dos l'utilitaire Realtek Wifi qui a du réagir. Mais en tout cas il a affolé le client DHCP ce qui a saturé tout.

Spybot je l'utilise par nostalgie et pour la vaccination, mais je sais bien qu'il est dépassé, j'ai fait des scans MBAM sans qu'il ne trouve rien. TeaTimer est désactivé.

J'ai rajouté moi-même la résolution du proxy dans le fichier host parce qu'avec ce problème, j'ai aussi quelques soucis de résolution de noms. Par contre ComboFix m'a apparemment supprimé (corrompu ?) toutes mes restaurations système, sinon j'aurais pu m'en sortir. Je le sens pas trop ce nettoyage, pas envie de tout déconfigurer (FirewallRaz ? Proxyfix ?...), je verrai ce soir pour y faire le tri mais aucune chance (à mon avis) pour que ça ne résolve quoi que ce soit.

D'ailleurs étant donné que c'est DHCPv6 qui s'affole, faudra que j'essaye de désactiver l'IPv6 de mes connexions ou du moins de chercher une bizarrerie là-dedans non ?

Modifié par Troudhyl, 24 août 2012 - 10:15 .

  • 0

#9 pear

pear

    Devil Member !

  • Equipe Sécurité
  • 24199 messages

Posté 24 août 2012 - 10:40

Je le sens pas trop ce nettoyage, pas envie de tout déconfigurer

C'est votre machine et votre droit de continuer dans l'erreur.
Mais sans moi.
  • 1

#10 Troudhyl

Troudhyl

    Junior Member

  • Membres
  • 10 messages

Posté 24 août 2012 - 12:44

"Dans l'erreur", ne soyez pas suffisant non plus, je peux expliquer une bonne partie de tout ce que vous me suggérez de "nettoyer" et vous dire en quoi ce ne sont pas des erreurs en rapport avec mon problème. Vous préféreriez que je fasse le débutant, que je m'administre votre gros médicament les yeux fermés et qu'ensuite je vous écrive depuis une autre machine parce que je n'aurai plus aucune connexion ? Et vous allez pouvoir m'expliquer comment reconfigurer mon proxy, mon client VPN, etc. ?
Donc si vous voulez on reprend les choses à nettoyer une par une et je vous explique en quoi ça n'a rien à voir avec l'affolement du Client DHCPv6 (qui n'a que faire de mes dossiers vide notamment) et on gagnera du temps. J'en profiterai peut-être pour faire du nettoyage certes mais c'est hors-sujet, vous le savez aussi bien que moi. Donc si vous n'avez pas envie de m'aider mieux que ça, je vous remercie déjà de ce que vous avez fait et j'attendrai quelqu'un d'autre (ou je finirai par trouver d'ici là).

Ma table de routage IPv6, je ne saurais pas dire si quelque chose est bizarre :
IPv6 Table de routage
===========================================================================
Itinéraires actifs :
 If Metric Network Destination      Gateway
 19     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 19     58 2001::/32                On-link
 19    306 2001:0:5ef5:73b8:24a0:13c4:f5e0:d5dc/128
                                    On-link
 35    286 fe80::/64                On-link
 19    306 fe80::/64                On-link
 19    306 fe80::24a0:13c4:f5e0:d5dc/128
                                    On-link
 35    286 fe80::b9f8:1f7e:5688:9ef2/128
                                    On-link
  1    306 ff00::/8                 On-link
 19    306 ff00::/8                 On-link
 35    286 ff00::/8                 On-link
===========================================================================
Itinéraires persistants :
  Aucun
Franchement entre ça, les traces dhcpclient et les symptomes précis, j'ai dû bien dégrossir le problème, ensuite soit on sait dans quelle direction continuer soit on ne sait pas.

Modifié par Troudhyl, 24 août 2012 - 12:45 .

  • 0