Avast scan des mails -> CPU à 100% tout le temps

[szbouby]

Bonjour à tous,

 

Voilà j'ai un souci avec mon ordinateur. Au bout de quelques minutes, la CPU se met à monter en flèche pour rester à 100% quasiement tout le temps. J'ai l'impression qu'il y a un souci avec avast qui n'arrête pas de scanner des mails sortant.

 

J'ai donc mis à jour l'antivirus mais rien n'y fait (j'ai lu votre article et je vais passer à antivir une fois le problème résolu)

J'ai fait une analyse avec CCcleaner et Spybot, aucun résultat. Le problème persiste.

Voici donc mon rapport HiJack

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:09:20, on 18/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

C:\WINDOWS\system32\bgsvcgen.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Winamp\winampa.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\ntfyapp.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\Program Files\802.11 Wireless LAN\WlanMonitor.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Documents and Settings\Hervé\Mes documents\logiciels\HiJackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1817234B-E5C0-4C91-91C2-DB14F3DB3823} - C:\WINDOWS\system32\appmg.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [install_Choix] D:\choix.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ntfyapp] C:\WINDOWS\ntfyapp.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Moniteur & Configuration.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1120384046921

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.157.152.82/AxisCamControl.ocx

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domaine.barbot

O17 - HKLM\Software\..\Telephony: DomainName = domaine.barbot

O17 - HKLM\System\CCS\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{7AF49F00-AE0A-443E-AC73-4D99A22F885F}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{985D3C75-7595-4F34-92A0-36838500D60E}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{B84F8CE3-C37C-4B04-8754-BC8BBA451489}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{BAFEF51C-6C5D-444E-B125-851073DECBDE}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{CEDD6BDA-DBF4-4C01-A5CC-D46564CEDE06}: NameServer = 202.40.171.30

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domaine.barbot

O17 - HKLM\System\CS1\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = domaine.barbot

O17 - HKLM\System\CS2\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

O23 - Service: Gestion d'applications (AppMgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Audio Windows (AudioSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe

O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Explorateur d'ordinateur (Browser) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Services de cryptographie (CryptSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Lanceur de processus serveur DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Client DHCP (Dhcp) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Gestionnaire de disque logique (dmserver) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Client DNS (Dnscache) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Service de rapport d'erreurs (ERSvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Système d'événements de COM+ (EventSystem) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Compatibilité avec le Changement rapide d'utilisateur (FastUserSwitchingCompatibility) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe

O23 - Service: Aide et support (helpsvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Serveur (lanmanserver) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Station de travail (lanmanworkstation) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Assistance TCP/IP NetBIOS (LmHosts) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Connexions réseau (Netman) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: NLA (Network Location Awareness) (Nla) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Stockage amovible (NtmsSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

O23 - Service: Gestionnaire de connexion automatique d'accès distant (RasAuto) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Gestionnaire de connexions d'accès distant (RasMan) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Accès à distance au Registre (RemoteRegistry) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Appel de procédure distante (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Connexion secondaire (seclogon) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Notification d'événement système (SENS) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Pare-feu Windows / Partage de connexion Internet (SharedAccess) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Détection matériel noyau (ShellHWDetection) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Service de restauration système (srservice) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Service de découvertes SSDP (SSDPSRV) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Acquisition d'image Windows (WIA) (stisvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Téléphonie (TapiSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Services Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Thèmes (Themes) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Client de suivi de lien distribué (TrkWks) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Hôte de périphérique universel Plug-and-Play (upnphost) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Horloge Windows (W32Time) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: WebClient - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Infrastructure de gestion Windows (winmgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Service de numéro de série du lecteur multimédia portable (WmdmPmSN) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Extensions du pilote WMI (Wmi) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Centre de sécurité (wscsvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Configuration automatique sans fil (WZCSVC) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Service d'approvisionnement réseau (xmlprov) - Unknown owner - C:\WINDOWS\System32\svchost.exe

 

--

End of file - 12241 bytes

 

Je ne suis pas assez expert pour l'interprêter et déterminer les lignes à fixer.

Pouvez vous m'aider dans l'analyse du rapport ?

 

Un grand merci

[Zonk]

Bienvenue sur le forum

 

Ce pré-nettoyage est un pré requis avant d'aller plus loin....souvent ca ne règle pas tous les ennuis...mais parfois oui.......ensuite l'Équipe Sécurité viendra parfaire le travail...ou te confirmer que tout est beau

 

1-

Téléchargements

 

Pour l’instant enregistre seulement ces fichiers sur ton bureau

ATF

http://www.atribune.org/content/view/25/2/

 

Antivir Classic Free

http://www.free-av.com

 

AVG

AVG Antispyware

 

 

2-

Installation et paramètrage Antivir et AVG

 

Antivir :

 

Note :

Antivir et AVG devront être mis à jour AVANT d'aller en mode sans échec (MSE)

Avant d'installer Antivir, désactive sur le champ......ou supprime ( va lire un peu plus bas ) ton antivirus Avast durant tout le temps de ces procédures

 

http://tutopat.hostonet.org/viewtopic.php?t=2417

http://www.libellules.ch/tuto_antivir.php

 

.....surveille à bien activer la recherche de " rootkits" et "scan master boot sector"

(ces fonctions sont souvent oubliées par les gens)

 

Cherche à activer le mode "Expert" et à optimiser la recherche des menaces...

(et personnellement dans l'onglet "scanner" j'active tout les items dans

"Rootkit search" et

"Manual selection"

Aide en image message #184

Aide en image message #113

 

 

Tutoriel AVG Antispyware

 

En version d'essai , la protection en temps réel (bouclier)sera périmée après 30 jours.......alors sans la licence le programme sera encore utile comme "scanner" (normalement encore possibilité de faire les mises à jour)

Affichage des dossiers cachés

 

N'oublie pas de les mettre à jour !!

 

3-

 

Affichage des dossiers et fichier cachés

 

Aller à …

• Démarrer
  Panneau de configuration
  

• " Option des dossiers"
  
• onglet "Affichage"
  
• Paramètres avancés
  
• Activez la case "Afficher les fichiers et dossiers cachés".
  
• Désactivez la case "Masquer les extensions des fichiers dont le type est connu".
  
• Désactivez la case "Masquer les fichiers protégés du système d'exploitation".
  
• Cliquez sur "Appliquer à tous les dossiers".
   
  Quand tu auras l'approbation des connaisseurs sur la bonne santé de ton ordi ,je te recommande de renverser les changements faits sur l'affichage des dossiers.....ça évitera de possibles bévues dans le futur
   
   
  4-
  
  
  Avast

  
  Selon les infos retrouvées ici ,Avast perd des plumes...malheureusement car foncièrement c'est un bon produit .Donc à toi d'y voir pour ce qui est du destin de celui-ci. (quand tu verras Antivir à l'action tu comprendras )
   
  http://forum.zebulon.fr/index.php?showtopic=123053
  http://forum.zebulon.fr/index.php?showtopic=127217
   
  Demeure que l'un de ces deux antivirus doit obligatoirement disparaitre.
  Si Avast et Antivir cohabite quelques instants, pense à désactiver Avast avant d'installer Antivir et garde Avast déactivé tant et aussi longtemps que Antivir sera présent.
  
  Si Antivir t'intéresse:
  

  
  Suppression d'Avast ?

  
  -Désactiver Avast
  -Terminer les processus Avast (certains parfois refusent d'être "terminer"...rien de bien grave et tu poursuis la démarche malgré tout
  en allant émarrer /Exécuter et tapez taskmgr (onglet processus)

  • AshDisp.exe
    
  • Asmaisv.exe
    
  • ashserv.exe
    
  • ashwebsv.exe
    
  • aawservice.exe
    
  • aswupdsv.exe
    

  tu auras un message de Windows t'avisant de la possible pertes de données et d'instabilité, etc....c'est un message normal dans ces circonstances...et sans danger pour le moment car tu ne touche pas à Windows...

  Ensuite tu vas tout de go à Ajout /Supp de programmes et tu supprimes Avast antivirus

  .......en cas de problème lors de la désinstallation

  Outil de désinstallation Avast

   

  5-

  Incursion en mode sans échec

  Note :

  Imprime le texte car en mode sans échec tu ne pourra avoir accès au net ....le MSE est parfois lent à démarrer/fermer…...soit patient.

  L'affichage sera altéré...c'est normal...ça reviendra normal suite à un redémarrage ....le redémarrage suivant retournera ton ordi en mode normal

   

  http://www.malekal.com/modesansechec.php

  • Cliques sur Démarrer
    
  • Cliques sur Arrêter
    
  • Sélectionne Redémarrer
    
  • clique sur OK.
    
  • Appui sur la touche F8 dès qu'un écran de texte apparaît puis disparaît
    
  • Utilise les touches de direction pour sélectionner spécifiquement "mode sans échec" (celui du haut)
    , puis appuyez sur ENTRÉE.
    

  6-

  ATF (en MSE)

   

  Double-clique ATF-Cleaner.exe afin de lancer le programme

  Petit programme gratuit ne nécessitant pas d'installation ,sans danger....de la même famille que Ccleaner mais travaille plus profondément sur un secteur.Parfois avec les ordis moins performants le nettoyage est lourd ,alors y aller deux cases à la fois.

  (si tes cookies te sont précieux ,exclu les)

   

  Sous l'onglet Main, choisis : Select All (ou deux cases à la fois....idéalement toutes les cases et fait ton choix pour les cookies )

   

  Si tu utilises le navigateur Firefox :

  1. Clique Firefox au haut et choisis : Select All
     
  2. Clique le bouton Empty Selected
     

  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

   

  Si tu utilises le navigateur Opera :

  1. Clique Opera au haut et choisis : Select All
     
  2. Clique le bouton Empty Selected
     

  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

  Clique Exit, du menu prinicipal, afin de fermer le programme.

   

  Désactive ton antivirus Avast si il est encore présent.

   

  7-

  Ensuite faire des vérifications complètes en MSE avec Antivir et AVG

  Note :

  C’est rare que des conflits majeurs surviennent mais 2 antivirus actifs ne font pas bon ménage ...surtout lors d'un redémarrage , alors tente de te défaire de Avast ou de Antivir avant de redémarrer...bien entendu une fois le travail en mode sans échec terminé

   

  Quand tu auras fini en mode sans échec pense à garder les rapport

   

  L'un de ces deux antivirus doit obligatoirement disparaitre.

   

  Profite du mode sans échec pour passer tout tes autres logiciels de nettoyage en ce mode

   

  Si parfois tu gardes Avast ,alors désactive Avast durant le pré-nettoyage et durant tout le temps ou Antivir est activé (si tu désires malgré tout garder Avast ,alors tu devras obligatoirement supprimer Antivir

   

  8-

  Suppression d'Antivir

  Suppression que je ne te conseille pas

   

  Pour désinstaller Antivir , à la fin de son utilisation……..

  • Terminer les processus Antivir
    Démarrer
    Exécuter
    

  et tapez taskmgr (onglet processus)

  Pour arrêter un processus Antivir :

  • -Clic droit sur le processus
    -Terminer le processus
    
  • AVGUARD.EXE
    AVSCHED.EXE
    AVWUPSRV.EXE
    AVGNT.EXE
    

  tu auras un message de Windows t'avisant de la possible pertes de données et d'instabilité, etc....c'est un message normal dans ces circonstances...et sans danger pour le moment car tu ne touche pas à Windows...

  Ensuite tu vas tout de go à Ajout /Supp de programmes et tu supprimes Antivir antivirus

   

  Pour sortir du mode sans échec tu n’as qu’a redémarrer……..

   

  9-

  Les rapports

  Suite à tout cela tu amènes tous tes rapports d’analyse à la suite de ton sujet ….

  y compris un nouveau HJT en mode normal.....

   

  10-

  ..Si tu veux avoir un regard externe très potable, la vérification avec Kaspersky est de mise.(mais pour l'instant pas obligatoire)

  Parfois les antivirus sont chatouilleux avec ce genre de scan...alors le cas échéant ,pense à désactiver ton antivirus temporairement le temps de la vérification et ensuite réactive le !

   

   

  -Scan en ligne Kaspersky

  -Clique sur Accept

  Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.

  clique une nouvelle fois sur "Accept"

  Les bases de mises à jour vont s'installer, patiente un moment

  -Clique sur Next.

  -Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

   

   

  A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

   

  Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

   

  Colle ce rapport dans ta réponse sur le forum.

   

  NOTE: Le scan est à faire avec Internet Explorer.

   

  11-

  Vérification des logiciels non sécuritaires

  Quand tu auras quelques minutes:

  Secunia Software Inspector

  Ce test ne nécessite aucune installation de logiciel mais tu devras avoir préalablement Java de SunSystem

  http://www.java.com/fr/

  • Va à "Start Now"
    
  • Tu devras accepter l'analyse (sans obligation de cocher la petite case "Toujours faire confiance au contenu....." ) et ensuite tu fais "Exécuter"
    

  

  • Ensuite tu dois aller à "Start"
    
  • active la petite case à :
    

  Enable thorough system inspection.

  Enable the Secunia Software Inspector to search for software installed in non-default locations.

  ....et suit les recommandations....

  @+

Modifié le 21 février 2008 par Zonk

[szbouby]

Bonjour ZONK

Merci pour ce tuto très précis.

 

J'ai donc suivi le guide et fait toutes les actions recommandées . J'ai fait le choix de virer mon Avast au profit d'antivir qui il est vrai est une bombe

 

Voici mes rapports

 

---------- MSE ------------

 

 

AntiVir PersonalEdition Classic

Report file date: vendredi 22 février 2008 14:52

 

Scanning for 1119683 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: Hervé

Computer name: BARBOT-1A3597E9

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 11:33:51

ANTIVIR2.VDF : 7.0.2.113 1673728 Bytes 08/02/2008 11:33:51

ANTIVIR3.VDF : 7.0.2.177 325632 Bytes 22/02/2008 11:33:51

AVEWIN32.DLL : 7.6.0.67 3293696 Bytes 22/02/2008 11:33:51

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 22/02/2008 11:33:51

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: F:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: vendredi 22 février 2008 14:52

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'guard.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

12 processes with 12 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[NOTE] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'F:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '59' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\38.tmp

[DETECTION] Contains detection pattern of the worm WORM/Zhelatin.no

[iNFO] The file was moved to '47ecd3e4.qua'!

C:\39.tmp

[DETECTION] Contains detection pattern of the worm WORM/Mydoom.BO.1

[iNFO] The file was moved to '47ecd3e7.qua'!

C:\3A.tmp

[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen

[iNFO] The file was moved to '47ecd3f2.qua'!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\C_DILLA\setup\_install.exe

[DETECTION] Contains detection pattern of the worm WORM/Zhelatin.nn

[iNFO] The file was moved to '482cd41e.qua'!

C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\47ecd3e4.qua

[DETECTION] Contains detection pattern of the worm WORM/Zhelatin.no

[iNFO] The file was moved to '4823d3f6.qua'!

C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\47ecd3e7.qua

[DETECTION] Contains detection pattern of the worm WORM/Mydoom.BO.1

[iNFO] The file was moved to '494f8b6f.qua'!

C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\47ecd3f2.qua

[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen

[iNFO] The file was moved to '4823d3f7.qua'!

C:\Documents and Settings\Hervé\Mes documents\boulot olivier\_install.exe

[DETECTION] Contains detection pattern of the worm WORM/Zhelatin.nn

[iNFO] The file was moved to '482cd446.qua'!

C:\WINDOWS\system32\shift.exe.exe

[DETECTION] Contains detection pattern of the worm WORM/Zhelatin.nn

[iNFO] The file was moved to '4827dcc0.qua'!

Begin scan in 'F:\'

 

 

End of the scan: vendredi 22 février 2008 15:35

Used time: 42:36 min

 

The scan has been done completely.

 

2429 Scanning directories

243079 Files were scanned

9 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

9 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

243070 Files not concerned

931 Archives were scanned

1 Warnings

0 Notes

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

A V G A n t i - S p y w a r e - R a p p o r t d ' a n a l y s e

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

 

 

+ C r é é à : 1 6 : 1 4 : 1 7 2 2 / 0 2 / 2 0 0 8

 

 

 

+ R é s u l t a t d e l ' a n a l y s e :

 

 

 

 

 

 

 

C : \ S y s t e m V o l u m e I n f o r m a t i o n \ _ r e s t o r e { 8 5 0 F B 7 7 B - 4 6 0 4 - 4 7 3 0 - 9 D D A - A E 6 7 3 0 7 F F F 2 E } \ R P 9 2 \ A 0 1 3 0 7 7 6 . s y s - > R o o t k i t . A g e n t . p r : A u c u n e a c t i o n e n t r e p r i s e .

 

C : \ S y s t e m V o l u m e I n f o r m a t i o n \ _ r e s t o r e { 8 5 0 F B 7 7 B - 4 6 0 4 - 4 7 3 0 - 9 D D A - A E 6 7 3 0 7 F F F 2 E } \ R P 9 3 \ A 0 1 3 7 3 9 3 . e x e : e x t . e x e - > T r o j a n . A g e n t . d k y : A u c u n e a c t i o n e n t r e p r i s e .

 

C : \ S y s t e m V o l u m e I n f o r m a t i o n \ _ r e s t o r e { 8 5 0 F B 7 7 B - 4 6 0 4 - 4 7 3 0 - 9 D D A - A E 6 7 3 0 7 F F F 2 E } \ R P 9 4 \ A 0 1 3 7 5 0 9 . d l l - > T r o j a n . B H O . a g z : A u c u n e a c t i o n e n t r e p r i s e .

 

 

 

 

 

F i n d u r a p p o r t

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:17:03, on 22/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Documents and Settings\Hervé\Mes documents\logiciels\HiJackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1817234B-E5C0-4C91-91C2-DB14F3DB3823} - C:\WINDOWS\system32\appmg.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [install_Choix] D:\choix.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ntfyapp] C:\WINDOWS\ntfyapp.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Moniteur & Configuration.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1120384046921

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.157.152.82/AxisCamControl.ocx

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domaine.barbot

O17 - HKLM\Software\..\Telephony: DomainName = domaine.barbot

O17 - HKLM\System\CCS\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{7AF49F00-AE0A-443E-AC73-4D99A22F885F}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{985D3C75-7595-4F34-92A0-36838500D60E}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{B84F8CE3-C37C-4B04-8754-BC8BBA451489}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{BAFEF51C-6C5D-444E-B125-851073DECBDE}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{CEDD6BDA-DBF4-4C01-A5CC-D46564CEDE06}: NameServer = 202.40.171.30

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domaine.barbot

O17 - HKLM\System\CS1\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = domaine.barbot

O17 - HKLM\System\CS2\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

--

End of file - 6552 bytes

 

------------------------ et le HiJack en mode normal ---------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:20:37, on 22/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\bgsvcgen.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\802.11 Wireless LAN\WlanMonitor.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Hervé\Mes documents\logiciels\HiJackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1817234B-E5C0-4C91-91C2-DB14F3DB3823} - C:\WINDOWS\system32\appmg.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [install_Choix] D:\choix.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ntfyapp] C:\WINDOWS\ntfyapp.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Moniteur & Configuration.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1120384046921

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.157.152.82/AxisCamControl.ocx

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domaine.barbot

O17 - HKLM\Software\..\Telephony: DomainName = domaine.barbot

O17 - HKLM\System\CCS\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{7AF49F00-AE0A-443E-AC73-4D99A22F885F}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{985D3C75-7595-4F34-92A0-36838500D60E}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{B84F8CE3-C37C-4B04-8754-BC8BBA451489}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{BAFEF51C-6C5D-444E-B125-851073DECBDE}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{CEDD6BDA-DBF4-4C01-A5CC-D46564CEDE06}: NameServer = 202.40.171.30

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domaine.barbot

O17 - HKLM\System\CS1\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = domaine.barbot

O17 - HKLM\System\CS2\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

--

End of file - 7616 bytes

 

 

J'attends donc l'aval de l'équipe sécurité avant de crier victoire

Encore merci à toi et longue vie à Zebulon !!!!

[angelique]

je ne prends pas ton sujet en charge , dsl , mais veux tu stp uploader ce fichier en gras::

 

C:\WINDOWS\ntfyapp.exe

 

là >> http://upload.malekal.com/

 

-------- 'lo Zonk , y'a du RK[Rootkit] aussi ^^---- je te laisse continuer.

[Zonk]

-------- 'lo Zonk , y'a du RK[Rootkit] aussi ^^---- je te laisse continuer.

Salut A.

Continuer?? à première vue ,pour l'instant ,mes connaissances sont dépassées...alors ne n'oserai pas aller plus loin.....ça m'évitera de faire encore une autre gaffe

@+ et merci

Modifié le 22 février 2008 par Zonk

[angelique]

as tu uploader le fichier?? si oui::

 

DNS pointe à Honk-Kong , ça me plait pas trop:

202.40.168.0 - 202.40.171.255

Cathay Pacific Airways Ltd.

Hong Kong

Jessica Cheung

Cathay Pacific Airways Ltd

16/F Warwick House, Taikoo Place

979 King's Road

Quarry Bay, Hong Kong

+852-2747-4071

postmaster@cxair.com

Raymond So

Cathay Pacific Airways Ltd

16/F Warwick House, Taikoo Place

979 King's Road

Quarry Bay, Hong Kong

+852-2747-4787

rayso@cxair.com

 

telecharge et extrait sur ton bureau::

 

http://www.tacktech.com/pub/winsockfix/WinsockFix.zip

 

assure toi que ta freebox est en mode routeur::

http://www.freenews.fr/nat/454-freebox-tut...embre-2006.html

 

 

1/relance HJT " do a system scan only" coche uniquement et clic fixchecked:

 

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe

O2 - BHO: (no name) - {1817234B-E5C0-4C91-91C2-DB14F3DB3823} - C:\WINDOWS\system32\appmg.dll (file missing)

O4 - HKCU\..\Run: [ntfyapp] C:\WINDOWS\ntfyapp.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domaine.barbot

O17 - HKLM\Software\..\Telephony: DomainName = domaine.barbot

O17 - HKLM\System\CCS\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{7AF49F00-AE0A-443E-AC73-4D99A22F885F}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{985D3C75-7595-4F34-92A0-36838500D60E}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{B84F8CE3-C37C-4B04-8754-BC8BBA451489}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{BAFEF51C-6C5D-444E-B125-851073DECBDE}: NameServer = 202.40.171.30

O17 - HKLM\System\CCS\Services\Tcpip\..\{CEDD6BDA-DBF4-4C01-A5CC-D46564CEDE06}: NameServer = 202.40.171.30

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domaine.barbot

O17 - HKLM\System\CS1\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = domaine.barbot

O17 - HKLM\System\CS2\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30

 

 

2/si tu perds ta connexion , tu executes WinsockFix.exe, uniquement si tu la perds!!!

 

3/cree un nouveau dossier en c:\ nommé Gmer

telecharge http://www.gmer.net/gmer.zip

extrait le dans c:\Gmer

 

4/Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix.

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

 

 

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!)

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire)

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

 

5/lance c:\Gmer\Gmer.exe

onglet rootkit , clic scan

à la fin du scan , clic "copy"

ouvre ton bloc-note[executer--notepad] , edition, coller pour coller le rapport de gmer que tu posteras avec le rapport de SDFix

[ph1ph1l0u]

Salut

 

as tu uploader le fichier?? si oui::

 

DNS pointe à Honk-Kong , ça me plait pas trop:

202.40.168.0 - 202.40.171.255

Cathay Pacific Airways Ltd.

Hong Kong

Jessica Cheung

Cathay Pacific Airways Ltd

16/F Warwick House, Taikoo Place

979 King's Road

Quarry Bay, Hong Kong

+852-2747-4071

postmaster@cxair.com

 

Raymond So

Cathay Pacific Airways Ltd

16/F Warwick House, Taikoo Place

979 King's Road

Quarry Bay, Hong Kong

+852-2747-4787

rayso@cxair.com

 

bien vu, c'est la 1ère chose que j'ai vu, qui m'a fait tilté car:

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?

FAI=Orange?

 

assure toi que ta freebox est en mode routeur::

http://www.freenews.fr/nat/454-freebox-tut...embre-2006.html

comment tu le sais Angélique qu'il/qu'elle a une FBX?

Modifié le 22 février 2008 par philipped94

[angelique]

car je vois son IP d'ou elle post ^^

 

enfin du moins son dernier message::

ssv10-2-88-161-147-227.fbx.proxad.net (88.161.147.227)

 

88.160.0.0 - 88.165.149.255

Proxad / Free SAS

Static IP address (Freebox)

NCC#2005090519

Administrative Contact for ProXad

Free SAS / ProXad

8, rue de la Ville L'Eveque

75008 Paris

+33 1 73 50 20 00

+33 1 73 92 25 69

Technical Contact for ProXad

Free SAS / ProXad

8, rue de la Ville L'Eveque

75008 Paris

+33 1 73 50 20 00

+33 1 73 92 25 69

 

son 1er message etait de::

proxy.pprgroup.net (194.206.254.

 

194.206.254.0 - 194.206.254.255

TEAMTEL

 

Vincent SCHAAL

PPR Group

10, avenue Hoche

75008 Paris

France

+33 1 45 64 65 62

+33 1 45 64 64 62

 

 

----------------------------- alors du coup elle serait à Honk-Kong maintenant??

[ph1ph1l0u]

ah oui OK

 

j'avais oublié que les modos avaient plein de supers pouvoirs

[angelique]

faudra tout de meme qu'il\elle eclaircisse ce point!!! je me base par rapport à son dernier message , ce qui a engendré cette réponse ^^