probleme ntos.exe et SDFix...

[sindrome]

.

Modifié le 23 décembre 2007 par sindrome

[Thanos]

salut & bienvenue

 

sindrome: tu as ouvert 4 topics pour le même problème ?!! Reste sur celui ci stp: les autres seront supprimés.

Pour répondre, utilise le bouton "Répondre" qui se trouve entre "Flash" et "Nouveau" en bas de page stp.

 

Ton rapport hijackthis n'est pas complêt: il faut copier/coller l'intégralité de celui ci

 

un conseiller ou moi même te répondra

[sindrome]

.

Modifié le 23 décembre 2007 par sindrome

[Thanos]

re!

 

Je n'avais pas,fais gaffe, mais tu utilises une vielle version de hijackthis.

Elimine là: le raccourci sur le bureau et le dossier C:\Program Files\Hijack this puis >

 

Clique ICI pour télécharger le fichier d'installation d'HijackThis :

1. Enregistre HJTInstall.exe sur ton bureau
   
2. Double-clique sur HJTInstall.exe pour lancer le programme
   
3. Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
   
4. Accepte la license en cliquant sur le bouton "I Accept"
   
5. Choisis l'option "Do a system scan and save a log file"
   
6. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
   
7. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
   
8. Colle le rapport que tu viens de copier sur ce forum
   
9. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
   

Modifié le 18 décembre 2007 par charles ingals

[sindrome]

un ami est passé et semble m'avoir débarassé de ntos.exe mais a reconnu ne pas comprendre pourquoi internet

était devenu si lent (et de nombreuses pages finissent par ne pas s'ouvrir du tout). il reste sans doute des saletés

qui "perturbent" ma connexion au net (

 

merci infiniment de ton aide

j'ai fait comme tu m'as conseillé et voici le nouveau rapport de Hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:53, on 2007-12-18

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\rmctrl.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\QTTask.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\lclock.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://lstard.stormcorp.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [iPodManager] C:\Program Files\iPod\bin\iPodManager.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LClock] lclock.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1005.cab

O20 - AppInit_DLLs: c:\windows\system32\vtstrsp.dll

O20 - Winlogon Notify: inetfmt - inetfmt.dll (file missing)

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

 

--

End of file - 6060 bytes

[Thanos]

re!

 

Est ce que tu peux me poster le rapport suivant stp ? > C:\ComboFix.txt

 

Edit: je vois que tu utilises Emule...fais bien attention à ce que tu télécharges!! sinon toute désinfection ne servira à rien.

Un peu d'info utile pour comprendre à propos des cracks par ex...> http://forum.malekal.com/ftopic893.php

Modifié le 18 décembre 2007 par charles ingals

[sindrome]

merci pour le conseil et le lien que je vais aller consulter tout de suite.

 

sinon voici le résultat de Combofix que tu m'as demandé (encore merci de ton aide) :

 

ComboFix 07-12-18.1 - Ú&&&&&&&&&&&&&&&&&&& 2007-12-18 20:35:59.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.293 [GMT 1:00]

Running from: C:\ComboFix.exe

* Created a new restore point

.

/wow section - STAGE 1

/wow section - STAGE 34

 

((((((((((((((((((((((((((((( Fichiers créés 2007-11-18 to 2007-12-18 ))))))))))))))))))))))))))))))))))))

.

 

2007-12-18 20:32 . 2007-12-18 20:32 1,477,761 --a------ C:\ComboFix.exe

2007-12-18 18:53 . 2007-12-18 18:53 <REP> d-------- C:\Program Files\Trend Micro

2007-12-18 18:53 . 2007-12-18 18:53 812,344 --a------ C:\HJTInstall.exe

2007-12-18 17:58 . <REP>

2007-12-18 17:58 . <REP>

2007-12-18 15:54 . 2007-12-18 17:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2007-12-18 08:15 . 2007-12-18 08:15 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2007-12-18 08:15 . <REP>

2007-12-18 08:15 . <REP>

2007-12-18 08:15 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-12-17 22:27 . 2007-12-17 22:27 <REP> d-------- C:\WINDOWS\Hide & Secret

2007-12-17 19:29 . 2007-12-17 19:29 <REP> d-------- C:\WINDOWS\ERUNT

2007-12-17 19:08 . 4,456,448

2007-12-17 19:08 . 4,456,448

2007-12-17 09:14 . 2007-12-17 09:31 <REP> d-------- C:\Program Files\a-squared Free

2007-12-10 20:16 . 2007-12-14 09:39 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2007-12-10 20:16 . 2007-12-10 20:16 1,409 --a------ C:\WINDOWS\QTFont.for

2007-12-10 14:14 . 2001-03-17 20:34 22,528 --a------ C:\WINDOWS\system32\WNASPI32.DLL

2007-12-10 14:14 . 2002-07-17 08:05 16,512 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS

2007-11-26 18:34 . <REP>

2007-11-26 18:34 . <REP>

2007-11-23 13:34 . 2007-11-23 13:34 <REP> d--h----- C:\WINDOWS\PIF

2007-11-19 14:49 . 2007-11-19 14:57 <REP> d-------- C:\Program Files\Alawar

2007-11-19 12:53 . 2007-11-19 12:53 <REP> d-------- C:\WINDOWS\Neptune's Secret

2007-11-19 12:53 . 2007-11-19 12:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NeptunesAdve

2007-11-19 12:26 . 2007-07-04 18:46 <REP> d-------- C:\Program Files\Data

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:54]

"LClock"="lclock.exe" [2004-12-08 18:06 C:\WINDOWS\LClock.exe]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Cmaudio"="RunDll32 cmicnfg.cpl" []

"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-04-05 07:22]

"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-04-05 07:19]

"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2005-04-05 07:23]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]

"Share-to-Web Namespace Daemon"="C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" []

"RemoteControl"="C:\WINDOWS\system32\rmctrl.exe" [2000-10-16 09:37]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-05-26 11:45]

"iPodManager"="C:\Program Files\iPod\bin\iPodManager.exe" []

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 05:24]

"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 14:02]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:54]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"LSD_III"="C:\WINDOWS\LSD\end.cmd" [2002-12-22 14:56]

"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 01:37]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSMBalloonTip"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\inetfmt]

inetfmt.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\windows\system32\vtstrsp.dll

 

S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 08:05]

 

*Newly Created Service* - PROCEXP90

.

**************************************************************************

 

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-18 20:37:38

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180]

-> C:\WINDOWS\LC.dll

.

Completion time: 2007-12-18 20:38:23

[sindrome]

je suis allé voir le lien sur les cracks et leurs dangers

et je me suis rendu compte que j'avais oublié de dire que depuis un des nombreux redémarrages de l'ordi ces quelques dernieres

heures, une fenetre noire rectangulaire de type c:\ s'ouvre et disparaît l'espace d'une seconde juste avant l'affichage final du bureau, fond d'écran etc... à chaque fois, pas le temps de voir ce que c'est....

[Thanos]

re!

 

1) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/zgf0qr

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

2) Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.

Notes: lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur Agree

Tu va certainement reçevoir une alerte du parefeu te demandant si tu acceptes que le processus sigcheck.exe puisse se connecter à internet > accepte.

A la fin du scan tu sera dirigé vers la page de l'auteur afin d'expédier le fichier c:\upload_moi_xxxxx.zip

Envoie le fichier stp : si tu reçois un message d'erreur ferme simplement la page internet et clique sur la touche [Enter]

pour obtenir le rapport. S'il ne s'affiche pas, tu le trouvera dans le répertoire C:\ > il se nomme resultat.txt

 

3) Poste un nouveau rapport hijackthis avec ca.

 

@++

[sindrome]

...

pas encore pu envoyer le fichier upload_moi car trop mauvaise connexion au net.

ça plante avant la fin de l'envoi... ((

Modifié le 19 décembre 2007 par sindrome