Dossier résolu : copie du rapport hijackthis

[Gof]

Bonsoir jimy

 

Pour Java, tu prends celle-ci :

 

Dans Windows Platform - J2SE Runtime Environment 5.0 Update 8 -> tu choisis celle-ci :

 

Download Now! Windows Offline Installation, Multi-language-> jre-1_5_0_08-windows-i586-p.exe

 

 

Avec toutes les manipulations faites pour désinfectées mon pc, j'ai des fichiers un peu partout maintenant, dois-je les conserver ?

Supprime :

 

-le rapport "Results of Security Risk Scan" que t'avais fait faire Xeti

- LSPfix

- winsockfix

- FxNdotN

- Blacklight et son rapport [fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres)]

- le dossier BFU (dans c:\) et son rapport egd.txt (dans c:\)

- les rapports d'analyses en ligne Panda et Kaspersky

- le fichier au format texte du résultat de Regsearch (tu le trouveras dans le dossier de Regsearch sous le nom regsearch.txt)

- le fichier FixEvery.reg que je t'ai fait créé

 

Je te conseille de conserver :

 

- Atf-cleaner

- JV16

- Ewido (mais tu peux supprimer les rapports)

 

 

Je n'ai pas de souci avec IE

Bien !

 

mais pour msn il m'arrive d'avoir les messages d'erreur de windows live messenger mais on m'a dis que cette dernière version n'etait pas encore tout à fait au point

Curieux. De quel type sont ces messages d'erreurs ?

 

Pour l'IE, le rapport m'a demandé de faire une mise à jour, saurait tu où la trouver ?

Quel est le rapport dont tu parles qui te demande de faire une mise à jour ? Ta version me semble à jour.

 

Je suppose que tu utilises le pare-feu windows ? Dis m'en un peu plus sur ton pare-feu ?

 

Je viens de trouver 2 autres fichiers que je n'arrive pas à supprimer les voilà :

 

C:\Program Files\a2 free\a2contmenu.dll

C:\Program Files\Overnet\temp\Fat Hip Hop Mix October 2005 Mixtape presents Cassidy Rihanna Fatman Scoop 50 Cent Tony Yayo Amerie The Pussycat Dolls Lil John

Pourquoi veux-tu les supprimer ? Ménage ? Normalement, lorsqu'un dossier se trouve dans "Program Files", on trouve généralement une entrée de désinstallation dans le panneau Ajout/Suppression de programmes. Cherche a2 free, et Overnet. (je ne les ai pas vus dans tes premiers rapports).

S'ils n'apparaissent pas dans le panneau, rends toi dans chacun de ces dossiers et regarde s'il n'y a pas un fichier commençant par uninstall ou quelque chose s'y rapprochant.

 

A bientôt.

[jimy]

Bonjour Gof,

 

Voilà j'ai supprimer les fichiers cités dans ton dernier message et j'ai bien conserver le JV16, ewido et Atf Cleaner.

 

Pour IE j'ai toujours le meme problème :

la fenetre IE se bloquent et le message d'erreur qui apparait je clic envoyer le rapport mais ils disent que cela vient d'un péripérique. Lequel ? Ils ne savent pas non plus.

 

Pour les 2 fichiers que je n'arrive pas à supprimer ils ne se trouvent dans le panneau ajout/suppression de programmes. mais seulement sur C:\Program Files mais ils sont vides pour pour j'ai supprimer overnet comme il faut mais il reste ce fichier. Pour l'autre pareil j'ai bien supprimer le fichiers dans le panneau ajout/suppression de programmes mais il reste a2contmenu.dll. Bizarre. Dois je les laisser ou au contraire les supprimer ?

 

Avant j'utiliser F-secure comme antivirus mais j'avais beaucoup de fenetres intempestives (systemdoctor, et autres sites coquins et de jeu en lignes tels que les casino...) du coup je l'ai supprimer et remplacer par McAfee mais je sais pas si c'est le meilleur pour proteger mon pc. Je voulais savoir si tu aurais un Antivirus à me conseiller.

 

Merçi

[jimy]

Rebonjour Gof,

 

J'ai trouver ça sur le Gestionnaire des taches dans le processus : pctspk.exe

 

J'ai un doute sur ce truc, pourrais-tu me dire si c'un virus ou autres

 

Mon UC est montée jusque 100%, je sais que c'est pas normal alors je prefere te mettre au courant.

[Gof]

Bonsoir Jimy,

• Pour tes deux fichiers qui posent problème, fais ceci :
   
  Télécharge la dernière version de Killbox -> http://www.downloads.subratam.org/KillBox.zip
  Place le programme dans le répertoire qui te plaît (pas d'installation Windows)
   
  - lance Pocket Killbox
  --- choisis l'option Delete on Reboot
  --- copie le chemin complet du fichier dans la boîte "Full Path of File to Delete" :
   
  C:\Program Files\a2 free\a2contmenu.dll
   
  * les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
  Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
  --- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
  --- si un ou des fichiers ".dll" sont présents dans la liste, coche "Unregister .dll Before Deleting".
  --- clique sur la croix blanche sur fond rouge (Delete File) :
   
  - "File will be Removed on Reboot, Do you want to reboot now?", réponds NON à cette étape.
   
  -Procède de même en copiant le chemin complet du fichier suivant dans la boîte "Full Path of File to Delete" en renouvelant toutes les étapes :
   
  C:\Program Files\Overnet\temp\Fat Hip Hop Mix October 2005 Mixtape presents Cassidy Rihanna Fatman Scoop 50 Cent Tony Yayo Amerie The Pussycat Dolls Lil John
   
  A cette question enfin, "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI. L'ordinateur devrait redémarrer.
   
  Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.
   
  Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm
   
  Indique moi si tes fichiers sont toujours présents.
   
   
   
  
• Concernant ce processus sur lequel tu m'interroges :

  pctspk.exe

  Il est légitime mais pas indispensable semble-t-il. -> process pctspk.exe. Est-ce processus qui a fait monter ton uc à 100% ? S'est-il figé et provoqué un plantage du pc, ou cela n'a durer qu'un instant et tout est revenu à la normale ?
   
   
   
  
• Ton problème IE :

  Pour IE j'ai toujours le meme problème :
  la fenetre IE se bloquent et le message d'erreur qui apparait je clic envoyer le rapport mais ils disent que cela vient d'un péripérique. Lequel ? Ils ne savent pas non plus.

  Ouvre ton gestionnaire de périphériques. Si tu ne sais pas où il est, fais ceci :
   
  Fais un clic droit sur Poste de travail et sélectionne Propriétés.
  Clique sur l'onglet Matériel, puis clique sur Gestionnaire de périphériques et indique moi si tu vois des points d'interrogations jaune ou des triangles jaunes signalant un disfonctionnement.
  

A plus tard.

Modifié le 18 août 2006 par Gof

[jimy]

Salut Gof,

 

J'ai réussi à supprimer a2contmenu.dll grace à Killbox, par contre pas l'autre.

 

Pour le UC qui est montée à 100%, effectivement tout c'est bloquée et j'ai du redémarrer le pc. Ce n'est pas pctspk.exe qui l'a bloqué, mais drwtsn32.exe ce n'est pas la première fois qui me fait figer le pc.

 

Je n'ai aucun triangle ni point d'interrogations en jaune, mais j'ai une carte réseau qui est désactivée d'une croix rouge, c'est un Realtek RTL8139/810x Family Fast Ethernet NIC.

 

J'ai deux carte réseau, mais je crois que c'est normale si cette dernière est désactivée.

 

Merçi Gof.

[jimy]

Gof,

J'ai un Isass.exe dans mon Gestionnaire des tâches, j'ai vu sur http://www.processlibrary.com/directory/files/isass/ que c'etait comme un virus ou un trojan.

 

Peux tu m'en dire plus ? Merçi

[Gof]

Bonsoir jimy,

 

Peux tu me donner l'extension du fichier que tu n'arrives pas à supprimer :

 

C:\Program Files\Overnet\temp\Fat Hip Hop Mix October 2005 Mixtape presents Cassidy Rihanna Fatman Scoop 50 Cent Tony Yayo Amerie The Pussycat Dolls Lil John

 

Il y a-t-il un message d'erreur lorsque tu cherches à le supprimer ? As tu bien fait la manipulation avec la pocket Killbox ? Voudrais-tu réessayer ?

 

Concernant Isass.exe, lorsque la première lettre est un " i " majuscule, en effet il est infectieux. Mais il ressemble beaucoup à lssas.exe qui lui est légitime. Ne confonds-tu pas les 2 ? Je pense que je m'en serais aperçu si cela était le cas. Si tu veux t'en assurer, refais un log hijackthis, et dans les running processes copie directement le processus que tu soupçonnes infectieux.

 

Si je le fais d'après ton dernier rapport hijackthis, je vais copier-coller ceci :

C:\WINDOWS\system32\lsass.exe

-> ce qui nous donnera ceci => http://www.processlibrary.com/directory/fi...sass/index.html qui est légitime. Tu as compris ? Il vaut mieux éviter au possible de recopier les noms de fichiers de crainte de faire une erreur, car beaucoup d'infections ressemblent à des processus systèmes légitimes ; il vaut mieux privilégier le copier-coller.

 

Néanmoins, reposte unn log hijackthis que je regarde à nouveau ; cela me permettra également de m'assurer que tu as pu faire correctement la mise à jour Java et la désinstallation de la version obsolète.

 

Pour ton souci avec drwtsn32.exe, il peut être d'origine multiple, mais je ne le crois pas d'origine infectieuse. Je vais chercher quelques pistes à te donner.

 

A bientôt.

 

EDIT : pour ton souci avec drwtsn32.exe, consulte et suis ce tuto de Sinus pour le configurer -> http://www.zebulon.fr/astuces/tip176/Confi...-Dr-Watson.html

 

Je te demande de ne pas appliquer par contre la modification registre à la fin du tuto qui permet de complétement le désactiver. Dis moi s'il y a du mieux.

Modifié le 19 août 2006 par Gof

[jimy]

Bonsoir Gof,

 

Effectivement, lsass.exe s'ecrit bien comme tu le dis.

 

Pour le fichier C:\Program Files\Overnet\temp\Fat Hip Hop Mix October 2005 Mixtape presents Cassidy Rihanna Fatman Scoop 50 Cent Tony Yayo Amerie The Pussycat Dolls Lil John il n'y a aucune extension. Lorsque je le supprime il me met se message : " Impossible de supprimer Fat Hip Hop Mix October 2005 Mixtape presents Cassidy Rihanna Fatman Scoop 50 Cent Tony Yayo Amerie The Pussycat Dolls Lil John : Le fichier spécifié est introuvable. Vérifiez que le chemin et le nom de fichier spécifiés sont corrects. "

 

En ce qui concerne drwtsn32.exe je l'ai configurer comme indiqué sur le tuto, mais juste une petite question qu'est ce qui arrive si l'on désactive complètement DrWatson ?

 

Voilà le nouveau log Hijackthis, en espèrant que je n'ai plus de souci avec mon pc.

 

Logfile of HijackThis v1.99.1

Scan saved at 19:15:42, on 20/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

C:\PROGRA~1\McAfee\MSC\mclogsrv.exe

C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe

C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe

C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

C:\PROGRA~1\McAfee\MSC\mctskshd.exe

C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\McAfee\MPF\MPFSrv.exe

C:\WINDOWS\system32\pctspk.exe

c:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\hijackthis\jimy.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\SiteAdv.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\program files\mcafee\virusscan\scriptsn.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\SiteAdv.dll

O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe

O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AAE7BADD-76FA-4DD1-B935-74026F5E695A}: NameServer = 212.151.137.170 212.151.136.246

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mclogsrv.exe

O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mctskshd.exe

O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

 

Merçi Gof

[Gof]

Bonsoir jimy,

 

Pour ton fichier que tu n'arrives pas à supprimer. Redémarre en mode sans échec, comme tu l'as appris. Pour rappel :

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924

-Au lieu de démarrer en mode sans échec sur ta session normale, sélectionne la session Administrateur.

-Puis rends toi à l'emplacement du fichier, et supprime le normalement.

-Vide la corbeille.

-Redémarre en mode normal.

 

Ton rapport est propre, tu as bien installé la bonne version de JAVA, tout va bien ; je te fais juste corriger une ligne qui est inutile :

-Lance un scan HijackThis.

-clique sur Do a system scan only et coche les lignes ci-dessous (si présentes) :

• R3 - Default URLSearchHook is missing
  

-Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked.

 

En ce qui concerne drwtsn32.exe je l'ai configurer comme indiqué sur le tuto, mais juste une petite question qu'est ce qui arrive si l'on désactive complètement DrWatson ?

Il ne créera plus de rapport en cas de gros plantages du pc. Il peut être très utilde d'avoir les rapports pour définir ce qui a posé problème et occasionné le plantage. En le configurant comme indiqué dans le tuto, il ne créera des rapports qu'en cas de plantages dits "critiques" et ne se surchargera pas d'informations additionnelles dont l'utilisateur lambda (comme toi et moi) n'a que faire.

 

J'attends de tes nouvelles pour savoir si tu as réussi à supprimer le fichier comme je te l'ai indiqué. Dis moi également ce qu'il en est de tes disfonctionnements ? Est-ce que cela va mieux ?

 

A bientôt.

[jimy]

Bonjour Gof,

 

Impossible de supprimer le fichier overnet meme en mode sans echec (j'ai essayer sous administrateur et l'autre mais impossible) je crois que ce fichier est incrusté dans mon système pour toujours.

 

Pour le scan Hijackthis, c'est fait, j'ai supprimer la ligne concernée.

 

A l'achat de mon pc mon frère avait baissé la vitesse du pc (me demande pas pourquoi je n'en sait rien lol)

et ce samedi il a vu au combien mon pc était une vraie petite tortue (beaucoup trop lent) il l'a remis un peu de vitesse. Et depuis, moins de plantage (j'en ai encore mais pas autant ) on verra bien au fil du temps si cela règlera le problème une bonne fois pour toute.

Si ce n'est pas le cas je te redirais ce qui ne va pas.

 

Merçi infiniment.