Pec

Un grand merci pour votre aide si rapide.

et voici https://up.security-x.fr/file.php?h=R5534ee2f8eb2aa124be051df34a29b07

Ok, super https://up.security-x.fr/file.php?h=Re73ce05905902740994ede33f430109c

Merci FRT fixlog https://up.security-x.fr/file.php?h=R70fb958c5b580aa81f723b20b6078e9b adwcleaner https://up.security-x.fr/file.php?h=R48e1039e3285e0175ce75e4ecbe846fc mbam https://up.security-x.fr/file.php?h=Rb0111d7c1d3cccaedab564ab61628b00 Merci encore pour ce temps passé à vérifier

oui, le proxy c'est celui du boulot.

Non, c'est un compte professionnel. un accès à l'interface web. j'ai bien entendu commencé par changer mon mdp. Mais maintenant, je voudrais juste être certain qu'il n'y a pas de mouchard sur mon pc. Je viens de désinstaller comodo pour refaire un scan. https://up.security-x.fr/file.php?h=R52f7c9b473eb4797e138a9f02778e87a https://up.security-x.fr/file.php?h=R94f6c177c2e658976885dbb7bf596e60

Ok, c'était juste pour aller plus vite et ne pas te prendre trop de ton temps. Je suis l'autre de près, ça vient

Bonjour relativement à mon précédent post sur l'infection de mon pc, je vous soumets un second rapport pour la surface que j'utilise aussi. Ne sachant pas d'où vient l'infection à ce stade, je préfère scanner les deux. voici les logs : https://up.security-x.fr/file.php?h=R278e0dcf91da1406af4faf6a2064d210 https://up.security-x.fr/file.php?h=R763724a78dde09ce4f03e75f808319b5 Merci beaucoup

Bonjour J'ai eu il y a trois jours une alerte de sécurité avec un fichier localisé sur le dossier /temp. j'ai confiné et supprimé, mais à priori trop tard, puisqu'un de mes comptes a été piraté ce matin. je viens de lancer un scan avec FRST, voici le log. https://up.security-x.fr/file.php?h=R563a6d0c2baac5512df7befba5ac2c27 https://up.security-x.fr/file.php?h=R48d8e8203c12403d1528029a64ca2fa3 Merci bcp

Super, merci beaucoup. j'avais déjà supprimé les outils de nettoyage à la mano, j'ai passé Delfix, puis filé la machine à son proprio, en oubliant de choper le log. Pas grave, non ? Merci en tous cas. Bonne journée.

Ça semble OK avec Chrome. J'ai plus reproduit les erreurs. Merci

Salut Merci beaucoup. Voici les logs : ZHP https://up.security-x.fr/file.php?h=R7ade681d5178118f579e4d4fb9aff5d0 ADWcleaner https://up.security-x.fr/file.php?h=Rc7a5b8f5a5f187054d55cbd0954b913a Fixlog https://up.security-x.fr/file.php?h=Rd04253ba594e230c246922670bd63797 Bonne soirée

Bonjour J'ai un pc qui déconne chaque fois que j'ouvre chrome. j'ai déjà fait les diags frst Voici les logs frst https://up.security-x.fr/file.php?h=Ra797b5484833afe65317b943f52e764a et addition https://up.security-x.fr/file.php?h=R81e7fb7e177d056c3f6e91bcd7404cdb Merci pour l'aide. PE

VOilà le rapport. Search Navipromo version 1.0.7 commencé le 17/03/2007 à 0:32:31,21 !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! !!! Poster ce rapport sur le forum pour le faire analyser !!! !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!! Fix lancé depuis C:\Documents and Settings\Pe\Bureau\navilog1 Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO Executé en mode normal *** Recherche Programmes installes *** *** Recherche dossiers dans C:\WINDOWS *** *** Recherche dossiers dans C:\Program Files *** *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data *** *** Recherche dossiers dans C:\Documents and Settings\Pe\Application Data *** *** Recherche avec BlackLight Engine/F-secure *** BlackLight Engine est un produit de F-secure, pour + d'infos : http://www.f-secure.com/blacklight/blacklight_help.html F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR ====================================== Copyright 2005-2006 F-Secure Corporation. All rights reserved. This is a beta version. It will expire on 1st of April, 2007. Version information: 2.2.1055. [+] Started on 03/17/07 at 00:32:33. [+] Initializing ... [+] Starting scan, press Ctrl-C to abort. [+] Scanning for hidden items ..................................................................................... [+] Scan complete. [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming. [+] Exited on 03/17/07 at 00:41:33 (return code = 0). *** Recherche fichiers *** C:\WINDOWS\pack.epk trouvé ! C:\WINDOWS\system32\nvs2.inf trouvé ! *** Recherche cles registre *** Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] Recherche Clé Magic Control HKEY_CURRENT_USER\Software\Lanconfig trouvé ! *** Module de recherche complémentaire *** (recherche fichiers spécifiques) 1)Recherche fichiers connus: 2)Recherche Heuristique : * ** *** **** ***** ****** ******* ******** *** Analyse Terminé le 17/03/2007 à 0:42:07,43 *** Merci pour l'analyse....

C'est fait. Bon alors Vundofix n'a rien trouvé. J'ai fait un scan avec hijackthis, mais entre temps, j'ai regardé ce qui était lancé avec le démarrage du pc et j'ai trouvé un truc bizarre : dqevrmpngz, situé dans system32. il y en avait 4 avec des extensions bizarres, alors je les ai viré. Voilà mon scan hijackthis. Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\netdde.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Spyware Terminator\sp_rsser.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\Program Files\UPHClean\uphclean.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\atwtusb.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\explorer.exe C:\Documents and Settings\Pe\Bureau\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scolastance.com/clgherr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - AutorunsDisabled - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Mozilla Thunderbird (2).lnk = C:\Program Files\Mozilla Thunderbird\thunderbird.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe Je pense que je peux virer spyware terminator realtime, il n'a rien à faire en même temps que spybot, non ? Cependant je ne connaissais pas ce produit, il vaut quoi ? il est comment par rapport à spybot ? En tous cas, merci pour la réponse rapide. Après quelques minutes de surf, il ne semble plus y avoir d'ouvertures intempestives... à suivre, cependant, je veux bien que vous regardiez mon rapport hihi

Bonjour à tous... Depuis hier, mon thunderbird ralenti à mort et j'ai des fenêtres intempestives qui s'ouvrent tout le temps (spyware secure, drive cleaner, même des trucs de rencontres). De plus, mon firewall m'avertit souvent qu'une application logée dans system32, avec un nom trop bizarre du style xmgdtipos.dll ou exe tente d'accéder à un site du style aussi très bizarre et très variable. Comme j'ai vu dans les forums du site que les solutions étaient assez personnalisées, dois-je vous poster un rapport hijackthis ou alors autre chose en préambule ? Merci pour votre aide.

Effectivement, tu réponds à pas mal de mes questions. Cependant, il m'en vient d'autres du coup : avec zeb protect, on ferme les ports critiques. Mais cela ne gène-t-il pas le fonctionnement des programmes ? Exemple le port 135 est censé être utilisé, non ? S'il n'est utilisé que par les services RPC et que je ne les utilise pas, alors y'a pas de stress pour le fermer complètement et qu'il ne s'ouvre pas, mais si une autre application l'utilise à un moment donné, alors va-t-elle pouvoir le dévérouiller toute seule ? Sinon, je partage ton avis en ce qui concerne le firewall, c'est effectivement la principale des défenses.

Merci pour ta réponse. J'ai pas trop cherché, c'est vrai, mais est-ce qu'il y a quelque part un post qui résume ce genre de connaissances ? Du style meilleure combinaison de protection ? Par exemple, tu disais que mettre Prevx et Teatimer en même temps était fortement déconseillé. D'accord, mais pourquoi ? Juste parce qu'ils pourraient s'autoannuler ou un truc comme ça ? Autre chose, je comprends de ce que tu dis, qu'on peut ne tourner qu'avec un seul module d'Avast ? Pourquoi virer les autres alors ? Si on devait faire une combinaison de softs de protection, alors lesquels choisir ? Prevx est-il fiable à 100 % avec son mode de détection ? Ne fait-il pas alors le même type de travail qu'un antivirus ordinaire ? Bon voilà, tu vois le genre de questions que je me pose. Libre à toi d'y répondre si tu veux, il y a peut être trop de questions d'un coup, mais bon, s'il existait un post plutôt général...

Ok, merci beaucoup Tesgaz, j'avais pas callé que ce processus prennait autant de place dans lors de mes installations précédentes. Merci encore pour le soutient technique.

Merci Tesgaz de t'intéresser comme ça à mon problème. voici la liste des services en question : Pour ce qui est des threads, je sais pas trop quoi chercher, donc si tu pouvais me dire ce qui devrait clocher, ou alors je poste une autre image (mais là, vu que ça change tout le temps chez moi...ça risque d'être difficile).

Salut, Bon alors d'accord, j'ai fait toutes les manipulations pour alléger mon CPU. J'ai donc viré du lancement automatique antispyware, teatimer (déjà fait suite au premier post), et n'ai gardé que prevx, pour l'instant celui que je trouvais le moins chiant à gérer. ensuite, j'ai viré les autres services supperflus, mais contrairement à ce que tu dis, svchost ne va pas trop mieux, il plafonne à 23 400 et ne veut rien savoir car il persiste à se connecter au réseau (accompagné de son copain ntoskrnl, qui si je ne me trompe pas, correspond au boot de xp ?, non ? Alors qu'est-ce qu'il va foutre sur la toile ???) Le problème continue donc ?

Ok, merci de ta réponse. Je m'en vais donc tranquille. ++

That's it !! Après vérifications, car j'en avais un qui n'était pas fermé Mais cependant, j'ai toujours mon gros à 24000 Ko, et un autre qui me tanne pour accéder au réseau. Mais peut-être est-ce tout à fait normal. Vous en avez un svchost qui vous prend du processeur et 24 000 Ko ?

Oui, c'est mon pc qui partage la connexion. Je voudrais juste comprendre : tu me dit de virer les services, et beaucoup correspondent à des services pour la gestion du réseau (en tout cas, c'est que tu mets dans ta page web sur les services). Je devrais donc les laisser, non ? Tu peux m'expliquer leur utilité alors dans ce cas ? (c'est histoire de comprendre ce que je fais, pas de te faire ch...) Merci.

voici le tasklist que j'ai fait après avoir optimisé mes services. Il faut savoir que je suis en réseau domestique. merci.