jocelyne

Bonjour a toutes et a tous !!!!!!!!!!!!!! Logfile of HijackThis v1.99.1 Scan saved at 15:32:28, on 03/08/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Raxco\PerfectDisk\PDSched.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\WINDOWS\system32\cidaemon.exe C:\Program Files\a-squared Free\a2free.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.tiscali.fr R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O17 - HKLM\System\CCS\Services\Tcpip\..\{89BAD54B-414A-42F2-BBCA-8832FA21BA67}: NameServer = 213.36.80.1 213.36.80.1 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Outre le faite que ce log est normalement propre meme si j'ai tjs des petits problemes comme des ralentissements du pc et d'apres le gestionnaire de tache une utilisation par exemple pour un petit utilitaire, de 100% du cpu (là je reboot) car meme en tuant la tache ce qui est parfois difficile... les ressorces cpu sont utilisées au max. (j'ai utilisé memtest sans resultat, au cas ou...) bon enfin , c'est pas la fin du monde par contre j'aimerais bien savoir si 2000 tentatives d'acces et 300 alertes de niveau critique d'apres Zone Alarm sont des chiffres normaux ou pas (ceci en 40h de connexion environ). Autre question, cette ligne : O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k sert a quoi ??? (c'est le kernelfault... qui m'inquiète , soyez pas trop technique je suis presque débutante) Derniere precision , les scans en ligne ne trouvent rien, panda, kaspersky et celui de trend micro. les versions d'essai de spysweeper , ewido, prevx1, la beta de blacklight de f secure et enfin et puis avast (free version) et a squarred (derniere version) mais ca vous l'avez remarqué ds le log . ouppps et puis avg (free version)!! en outre j'utilise chque semaine Spybot search and destroy et ccleaner . Je sais, ca fait bcp lol . Merci pour vos reponses. Bisous tt le monde Jocelyne

======================================================== vu le nom (debutant par kb) je me doutais qu'il s'agissait de fichier en rapport avec le clavier. Si tu utilises xP home edition (je ne sais pas si la pro est différente) , as tu essayer de détruire par l'explorateur de windows ces fichiers et la question sont ils recréés par le systeme presque aussitot. Si c'est le cas cela peut expliquer que prevx1 ait identifié une menace , mise en quarantaine que j'ai ensuite deletée. Ds l'hypothèse ou ces fichiers etaient infectés, ils ont disparus puis été recréés par XP mais CLEAN, ce qui explique pour le scan suivant prevx1 ne trouve plus rien. CA se tient ou pas à ton avis ??? Merci pour le tuyau sur le multi scan A+ Jocelyne

=================================================================== salut Greywolf, Effectivement on peut desactiver les messages des boucliers d'avast qu'il soit bouclier P2P, reseau, web.... c'est d'ailleurs ce que je pense faire dès que je serais sure a 99% que je suis clean (mefiante la girl) Pour une interférence, je ne sais pas, j'ai installé ZA depuis 2 jours seulement. Le délai est trop court pour porter un jugement . TU me conseilles quoi dans l'optique du "gratuit" comme outils de protection. Sachant que mes moyens de chomeuse m'interdisent d'investir ds des solutions onéreuses peut etre plus performante.... Je ne sais pas ce que sont des "hooks ip" , j'ai averti ds mon premier post que je ne suis qu'une modeste utilisatrice, j'ai qq bribes de connaissance en info , c'est tout !!! Merci a toi Bises Jocelyne

Spy sweeper n'apu me donner de nom pour le rootkit , je me souviens qu'il a précisé que cela pouvait en etre un. Effectivement le fichiers ont ete déplacés en quarantaine et supprimés. LEs 2 fichiers dll (dupliqués) de 8 et 9 ko ont ete identifiés comme des menaces par prevx1 (cf mon premier post ainsi qu'un gros fichier setup.exe ds le repertoire windows , ce dernier n'est pas réapparu apres avoir ete detruit par contre les fichiers dll , oui. Est ce qu'il etait impossible de les detruire sachant qu'ils font parti de XP, des que je les effacais avec l'explorateur , ils etaient recréés. mais le plus bizarre c'est qu'ils ne soient plus considérés apres comme des menaces alors qu'ils étaient tjs la, ca je ne comprend pas comment un logiciel de securité peut ds un premier scan considerer qu'il ya une menace puis en refesant le scan juste apres, ce meme logiciel ne detecte plus de menaces. Je comprends pas du tout. Enfin merci pour tes explications, ca me tranquillise un peu . Bisous JOJO

================================================================== Pour le scan , je n'ai rien a te poster kasp ne trouve rien donc ne genere pas de rapport. J'ai Scanné zones critiques puis tt le pc , puis tt le pc avec le mode étendue. Rien !! Si tu as raison et que mon pc est clean pourquoi , j'ai eu ces avertissements avec AVAST LSASS et DCOM exploit (avertissement que je n'avais pas avant meme avec avst activé).....??? et ca franchement c'est la question qui me prend le plus le tete, aton avis je suis folle, parano? Pourquoi 3 fichiers MP3 ont ete detecté detectés d'apres spy sweeper comme des rootkits, qu'ils étaient impossibles à ecouter et à effacer avec l'explorateur de windows.....??? Ensuite pourquoi est ceque j'ai recupéré en un temps tres court plusieurs trojans , qui ont certes ete detectés et eradiqués alors que je n'avais "pratiquement " jamais rien ....??? Que pensez ds le meme temps du fait que je sois redirigé non pas vers la page de mon FAI mais vers celle de microsoft....? Que pensez du fait que PREVX1 ait trouvez 5 fichiers suspects dont 1 fichier SETUP ds le repertoire Windows qui se soit "volatilisé"? (voir premier post) Pourquoi ces memes fichiers etaient detectés comme une menace et maintenant ne le sont plus ??? (alors que rien n'a été modifié ds le paramétrage de PREVX1 !!!) Tu me parles de bruit de fond , je pense que tu fais allusion aux rigolos qui scannent en permanence les ports de ton PC, d'ou la floppée d'alertes generée par le firewall (par ex 702 attaques dont 126 de niveau "élevé" depuis l'installation de Zone ALarm (EN A PEU PRES DEUX JOURS , je reve !!!) Je suis d'accord pour les ressources je vais garder ZA+avast et ferais une analyse hebdomadaire avec les autres.... na !!!!!! A bientot et merci JOJO PS: Si d'autres personnes peuvent me donner leur avis, je les en remercie vivement.

salut, ok ==> dis donc je me sens toute nue a montrer mon pc comme ca C:\WINDOWS\System32\wpa.dbl -->29/07/2006 14:38:01 C:\WINDOWS\System32\vsconfig.xml -->29/07/2006 14:37:58 C:\WINDOWS\System32\PDBootState -->29/07/2006 14:37:49 C:\WINDOWS\System32\nvapps.xml -->29/07/2006 14:37:39 C:\WINDOWS\System32\zllictbl.dat -->28/07/2006 00:50:21 C:\WINDOWS\System32\SndDrv32dd.ini -->25/07/2006 23:25:31 C:\WINDOWS\System32\ikhcore.log -->25/07/2006 09:19:07 C:\WINDOWS\System32\bdod.bin -->24/07/2006 19:08:45 C:\WINDOWS\System32\Uninstall.ico -->23/07/2006 20:24:26 C:\WINDOWS\System32\Help.ico -->23/07/2006 20:24:25 C:\WINDOWS\System32\pavas.ico -->23/07/2006 20:24:24 C:\WINDOWS\System32\vsutil_loc040c.dll -->09/07/2006 13:43:38 C:\WINDOWS\System32\vsdatant.sys -->09/07/2006 13:42:44 C:\WINDOWS\System32\zlcommdb.dll -->09/07/2006 13:42:14 C:\WINDOWS\System32\zlcomm.dll -->09/07/2006 13:42:14 C:\WINDOWS\System32\vsxml.dll -->09/07/2006 13:42:12 C:\WINDOWS\System32\vswmi.dll -->09/07/2006 13:42:12 C:\WINDOWS\System32\vsutil.dll -->09/07/2006 13:42:10 C:\WINDOWS\System32\vsregexp.dll -->09/07/2006 13:42:10 C:\WINDOWS\System32\vspubapi.dll -->09/07/2006 13:42:08 C:\WINDOWS\System32\vsmonapi.dll -->09/07/2006 13:42:08 C:\WINDOWS\System32\vsinit.dll -->09/07/2006 13:42:08 C:\WINDOWS\System32\vsdata.dll -->09/07/2006 13:42:06 C:\WINDOWS\System32\libeay32_0.9.6l.dll -->09/07/2006 13:41:58 C:\WINDOWS\System32\WRLogonNtf.dll -->07/07/2006 16:43:54 C:\WINDOWS\0.log -->29/07/2006 14:37:53 C:\WINDOWS\bootstat.dat -->29/07/2006 14:37:17 C:\WINDOWS\WindowsUpdate.log -->29/07/2006 00:46:00 C:\WINDOWS\setupapi.log -->29/07/2006 00:06:09 C:\WINDOWS\tsc.ini -->25/07/2006 23:53:23 C:\WINDOWS\VPTNFILE.605 -->25/07/2006 23:52:43 C:\WINDOWS\GetServer.ini -->25/07/2006 23:52:21 C:\WINDOWS\TMUPDATE.DLL -->25/07/2006 23:52:05 C:\WINDOWS\UNZIP.DLL -->25/07/2006 23:52:03 C:\WINDOWS\PATCH.EXE -->25/07/2006 23:52:01 C:\WINDOWS\adidsl.ini -->24/07/2006 21:26:59 C:\WINDOWS\adiras.ini -->24/07/2006 21:24:36 C:\WINDOWS\Fast800.ini -->24/07/2006 21:24:16 C:\WINDOWS\win.tmp -->23/07/2006 23:07:17 C:\WINDOWS\win.ini -->23/07/2006 23:07:17 Le volume dans le lecteur C s'appelle Disque local Le num‚ro de s‚rie du volume est 50D2-5FA2 R‚pertoire de C:\WINDOWS\system32 19/08/2004 17:09 6ÿ144 csrss.exe 1 fichier(s) 6ÿ144 octets 0 R‚p(s) 41ÿ704ÿ529ÿ920 octets libres Le volume dans le lecteur C s'appelle Disque local Le num‚ro de s‚rie du volume est 50D2-5FA2 R‚pertoire de C:\Program Files 28/07/2006 23:10 <REP> . 28/07/2006 23:10 <REP> .. 28/07/2006 17:49 <REP> a2 Free 15/02/2006 12:16 <REP> Adobe 06/06/2006 20:19 <REP> Alwil Software 15/02/2006 12:06 <REP> AMD 24/02/2006 18:46 <REP> ASUS 15/02/2006 12:05 <REP> AvRack 18/02/2006 21:07 <REP> CCleaner 14/02/2006 20:03 <REP> ComPlus Applications 16/02/2006 18:07 <REP> CyberLink 28/07/2006 16:58 <REP> ewido anti-spyware 4.0 24/07/2006 18:53 <REP> Fichiers communs 14/07/2006 11:03 <REP> Grisoft 28/07/2006 23:10 <REP> HardwareDetection 28/07/2006 19:34 <REP> Hijackthis Version Fran‡aise 23/07/2006 15:00 <REP> Internet Explorer 14/04/2006 18:23 <REP> Java 17/02/2006 20:11 <REP> Lavalys 13/03/2006 11:29 <REP> Marvell 18/02/2006 00:05 <REP> Messenger 01/03/2006 18:53 <REP> microsoft frontpage 03/05/2006 16:06 <REP> Microsoft Office 14/02/2006 20:56 <REP> Movie Maker 14/02/2006 20:03 <REP> MSN Gaming Zone 15/02/2006 22:34 <REP> NetMeeting 18/02/2006 19:53 <REP> NT Registry Optimizer 23/07/2006 14:59 <REP> Outlook Express 29/07/2006 15:56 <REP> Prevx1 15/05/2006 09:29 <REP> QuickTime 16/02/2006 21:04 <REP> Raxco 15/02/2006 12:05 <REP> Realtek AC97 18/02/2006 21:04 <REP> RegCleaner 24/07/2006 21:22 <REP> SAGEM 14/02/2006 20:03 <REP> Services en ligne 02/04/2006 14:46 <REP> Spybot - Search & Destroy 24/07/2006 22:55 <REP> SysShield Tools 15/02/2006 11:50 <REP> VIA 12/07/2006 17:39 <REP> VideoLAN 24/07/2006 16:57 <REP> Webroot 16/02/2006 18:28 <REP> Windows Media Player 14/02/2006 20:48 <REP> Windows NT 25/06/2006 11:10 <REP> WinRAR 14/02/2006 20:05 <REP> xerox 23/07/2006 19:13 <REP> XnView 20/07/2006 23:29 <REP> XP Codec Pack 08/04/2006 14:31 <REP> Zeb-Utility 28/07/2006 00:48 <REP> Zone Labs 0 fichier(s) 0 octets 48 R‚p(s) 41ÿ704ÿ525ÿ824 octets libres Le volume dans le lecteur C s'appelle Disque local Le num‚ro de s‚rie du volume est 50D2-5FA2 R‚pertoire de C:\Program Files\fichiers communs 24/07/2006 18:53 <REP> . 24/07/2006 18:53 <REP> .. 16/02/2006 20:59 <REP> Adobe 01/03/2006 18:55 <REP> Designer 15/02/2006 12:15 <REP> InstallShield 14/04/2006 18:22 <REP> Java 01/03/2006 18:54 <REP> Microsoft Shared 14/02/2006 20:03 <REP> MSSoap 14/02/2006 19:58 <REP> ODBC 16/02/2006 21:04 <REP> Raxco 14/02/2006 19:58 <REP> SpeechEngines 23/07/2006 14:59 <REP> System 16/03/2006 16:14 <REP> SystemRequirementsLab 24/07/2006 16:57 <REP> Webroot Shared 0 fichier(s) 0 octets 14 R‚p(s) 41ÿ704ÿ525ÿ824 octets libres c:\Documents and Settings\All Users\Application Data\Prevx\PXSetup.exe c:\Documents and Settings\jojo\Bureau\SafeXP.exe c:\Documents and Settings\jojo\Bureau\xp-AntiSpy.exe c:\Documents and Settings\jojo\Bureau\avast\aswclear.exe c:\Documents and Settings\jojo\Bureau\avast\aswclnr.exe c:\Documents and Settings\jojo\Bureau\avast\setupfrepro.exe c:\Documents and Settings\jojo\Bureau\chercher\chercher\LFiles.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\antivirus\a2freesetup.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\antivirus\avast-setupfre.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\antivirus\avg71free_394a763.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\antivirus\blbeta.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\antivirus\ewido-setup_4.0.0.172b.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\antivirus\HijackThisFR.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\antivirus\InstallPREVX101020053.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\antivirus\ssftrialsnrsetup1_1878809408.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\antivirus\zlsSetup_65_731_000_fr.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\AdbeRdr705_fra_full.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\ccleaner_setup127.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\directx_jun2006_redist.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\everesthome220.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\GSpot_2.21_fr.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\iv5play.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\ntregopt-setup.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\Patch_fr_PerfectDisk_7.0_b31.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\pd70ds.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\PPVIEWER.EXE c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\RegCleaner.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\Setup_Fichier_koup.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\Setup_Zeb-Utility.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\spybotsd14.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\WinLAMEpre1_Fr.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\wrar351fr.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\xp-AntiSpy.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\dessin\AideDePixia.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\dessin\pf-setup.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\dessin\XnView-win.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\Nouveau dossier\lame-3.97b\lame.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\Outils vid‚o\vlc-0.8.5-win32.exe c:\Documents and Settings\jojo\Bureau\Nouveau dossier\recu internet\SafeXP\SafeXP.exe c:\Documents and Settings\All Users\Application Data\Microsoft\USMT\iconlib.dll c:\Documents and Settings\All Users\Application Data\Prevx\AntiVirusWMIProvider.dll c:\Documents and Settings\All Users\Application Data\Prevx\msvcp71.dll c:\Documents and Settings\All Users\Application Data\Prevx\msvcr71.dll c:\Documents and Settings\All Users\Application Data\Prevx\pxbho.dll c:\Documents and Settings\All Users\Application Data\Prevx\qt-mt336.dll c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll Vérifications de quelques clefs Recherche de clefs EGDACCESS HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler IMPORTANT =====> lors du landement de ton petit util j'ai eu un message d'erreur style clef non trouvée un truc comme ca, c'est important ? ================================================= Bon ca y est les parametres D'I.e sont remis "par défaut"...... ====================================================== reste le log je reboot par ce que je ne sais pas si les nvx parametres D'I.E sont pris en compte, je poste ensuite le scan. A+ JOJO

j'ai deja fait des scans en ligne ??????? on verra demain Merci

Bonjour à tous et à toutes , J'ABANDONNE et me tourne vers les balaises en info, vous !!!!!!!!!!!!!! (D'habitude je me debrouille seule, mais là ....) Je vous explique (du moins je vais essayer) ; au boot du pc, Avast 4.7 Home Edition, se charge. Grace à lui j'ai vu que lors de chaque connexion internet, il affichait deux messages d'informations. Bouclier réseau : "LSASS Exploit (SXP) bloqué + (une adresse IP qui change tt le temps) :445/TCP" OU Le meme truc mais avec DCOM Exploit, l'adresse IP aléatoire:135/TCP J'ai des alertes aléatoires 2,3 5 minutes ou 15 secondes .... Autre symptome, la connexion ADSL devient parfois hyper lente, le PC est comme "gelé". (Meme sans etre sur le net ca rame parfois , utilisation du processeur a 100% d'apres le gestionnaire de taches.) Dernier point pour l'internet : Ma page de démarrage a changé plusieurs fois au lieu de me connecter sur mon FAI, je tombe sur microsoft !!! ca, c'est pas encore trop grave Voyant cela, je me suis dit j'ai un virus, je sors donc la panoplie de détection..... Spybot - Search & Destroy V 1.4 A-Squared Free V 1.6.5 AVG Free Edition V 7.1.394 Avast 4.7 Home Edition CCLEANER V1.27.260 (pour donner un coup de balai à la fin) Apres avoir mis tous produits à jour, plus xp et IE via windows update que j'ai réactivé pour l'occasion... Je lance et bingo (enfin je croyais, idiote que je suis), un trojan W32...., il y avait dialer ds le nom , me souviens plus. Je détruis puis utilise CCLEANER. Je reboot (je précise que j'ai désactivée les points de restauration depuis longtemps, il me semble avoir lu que des bebetes pouvaient revenir par ce biais ?). Je me reconnecte ET .... meme messages. Je relance tous les utilitaires qui ne trouvent rien, en plus sur le net j'ai utilisé le scan en ligne du site SECUSER.COM... de TREND MICRO (je crois) rien!! puis le scan du site Bit defender ...re -rien !! puis le scan du site kaspersky .... re re rien !!! Je telecharge !! Spy Sweeper V 5.0 (trial version) de Webroot Prevx1 1.2.053 (trial version) qui contrairement au premier detecte ET EFFACE sans avoir besoin d'acheter le produit. La dernière version beta Blacklight(de F-Secure) Ewido 4.0 (trail version) Hijackthis Résultat : Spy Sweeper trouve qq chose qu'il identifie comme une menace, 3 fichiers MP3 et me parle de Rootkit. La c'est la panique parait que c'est le super truc mechant indetectable et tout et tout ... Bon, comme il n'efface pas, je passe par l'explorateur.. pas moyen d'effacer ces fichiers( qui je le note au passage ne se lance plus, sniff )....Je telecharge un utilitaire qui y arrive et réecrit sur le disque (3 ou 7 fois, je sais plus...) là je suis plus confiante. Je reboote un coup de ccleaner ca peut pas faire de mal , lancement d'internet, de nouveau les memes messages. Je relance tous les utilitaires, rien de detecté... (sauf un autre trojan, j'efface pas de pb) mais j'en ai marre. Dernière chance , Prevx1, j'installe, le lance, met a jour et scanne.... résultat. 5 fichiers représentant une menace, enfin !! C:\WINDOWS\SYSTEM32\DLLCACHE\KBDJPN.DLL (9Ko) C:\WINDOWS\SYSTEM32\DLLCACHE\KBDKOR.DLL (8Ko) C:\WINDOWS\SYSTEM32\KBDJPN.DLL (9Ko) C:\WINDOWS\SYSTEM32\KBDKOR.DLL (8Ko) et C:\WINDOWS\SETUP.EXE (165 Ko) (le p...... de chef peut etre)!!! Tout ce petit monde en quarantaine, puis effacement.. REBoot ...(bref la routine) ..et là ,vous vous en doutez re message d'Avast, LSASS et DCOM Exploit.... en plus cette saloperie m'avait changé ma page de démarrage ds Internet Explorer. Je relance TOUTES les détections.... seul PREVX1 retrouve les 4 fichiers (le plus gros, SETUP.EXE a disparu mystérieusement ??? je demande bien ce que j'ai effacé) (et au passage un autre trojan detecté, facilement trouvé par la plupart des outils et effacé.) PAs moyen de les effacer, mes 4 fichiers, c'est peut etre du a XP qui les protege ou a un autre fichier qui coordonne tout ca??? LE lendemain je relance PREVX1, qui ne trouve plus de menaces par contre tjs les memes messages d'avast . ======== BILAN ======== J'ai effacé des fichiers mp3 (ruse de mon envahisseur??), n'arrive pas a en effacer d'autres considérés comme dangereux (bof !!) j'ai la nette impression qu'en plus , le TRUC-BIDULE (quel nom lui donné ???) controle ma connexion Internet , me balance des troyens, a bloqué le PC plusieurs fois, "coordonne" les attaques signalées par AVAST (DCOM et LSASS). Je me demande meme s'il n'a pas le pouvoir de modifier les resultats des scans pour se planquer !!! (Je deviens parano là, peut etre pas, d'après vous ???) QUE FAIRE ?? J'AI BESOIN DE MON PC POUR FAIRE DES COURRIERS ,CHERCHER DES INFOS SUR LE NET.... BREF TROUVER DU BOULOT !!! HELP !!! Merci d'avance pour vos réponses et merci de ne pas etre trop technique ou expliquer moi lentement je suis pas blonde (pardon a celles qui me liront lol) mais quand meme, je suis pas une informaticienne. Bisous a tout le monde (j'espère avoir été précise dans la présentation de mes problèmes)!!! MERCI d'avoir lu jusqu'ici le recit de mes misères..... Jocelyne PS: J'ai installé Zone ALARM en plus mais avec avast que je tiens absolument a garder, je n'ai pas l'impression que c'est le mariage idéal. J'ai désinstallé AVG aussi . En bref , au demarrage se lance Avast, Zone alarm et ewido voila vous savez TOUT !!!! PPS : Je colle le log d'hijackthis si qq veut bien m'aider et celui de l'anti root kit blacklight Logfile of HijackThis v1.99.1 Scan saved at 19:34:19, on 28/07/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\cisvc.exe C:\Program Files\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Raxco\PerfectDisk\PDSched.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\cidaemon.exe C:\Program Files\ewido anti-spyware 4.0\ewido.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.tiscali.fr R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Application Data\Prevx\pxbho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [PrevxOne] C:\Program Files\Prevx1\PXConsole.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - O17 - HKLM\System\CCS\Services\Tcpip\..\{89BAD54B-414A-42F2-BBCA-8832FA21BA67}: NameServer = 213.36.80.1 213.36.80.1 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx1\PXAgent.exe" -f (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe ====================== 07/28/06 19:38:02 [info]: BlackLight Engine 1.0.42 initialized 07/28/06 19:38:02 [info]: OS: 5.1 build 2600 (Service Pack 2) 07/28/06 19:38:02 [Note]: 7019 4 07/28/06 19:38:02 [Note]: 7005 0 07/28/06 19:38:03 [Note]: 7006 0 07/28/06 19:38:03 [Note]: 7011 520 07/28/06 19:38:03 [Note]: 7026 0 07/28/06 19:38:03 [Note]: 7026 0 07/28/06 19:38:06 [Note]: FSRAW library version 1.7.1019 07/28/06 19:38:33 [Note]: 7007 0