{Résolu}Mon Pc fige san firewall

gdbx · le 16 août 2006

Voici le dernier rapport hitjackthis:

Il y a des choses que je ne comprends pas car j'ai bien supprimer tout ce qui est en rapport avec norton comme expliqué dans le lien plus bas mais je vois a la fin du rapport des reste de symantec ! pourtant j'ai tout vérifier plusieurs fois!!!!

Logfile of HijackThis v1.99.1

Scan saved at 10:38:54, on 16/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Executive Software\Diskeeper\DkService.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\sstray.exe

C:\Program Files\Microsoft IntelliType Pro\type32.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\System32\RunDLL32.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\rundll32.exe

C:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\hitjackthis\gdbx.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.girondins.com/index2.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/...rch/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = P@TOU

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [nForce Tray Options] "sstray.exe" /r

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NvMediaCenter] "RunDLL32.exe" NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [kav] "C:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Yahoo!\Common/ycdict.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Yahoo!\Messenger\yhexbmesfr.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Yahoo!\Messenger\yhexbmesfr.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL

O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/...utocomplete.cab

O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Executive Software\Diskeeper\DkService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~2.EXE (file missing)

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

Gof · le 16 août 2006

Bonsoir gdbx

1.

Tu as encore oublié ceci :

Tu as oublié également de me communiquer ce rapport :

-Exécute Hijackthis

Clique sur Open the misc tools sections

Clique sur Open uninstall Manager

Clique sur Save list

-Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.

Pourquoi je te demande cela ? Pour deux raisons :

- m'assurer qu'il n'y a pas de "rogues", des faux-amis en somme.

- adapter la procédure aux outils que tu possèdes déja pour éviter de t'en faire télécharger d'inutiles en doublons.

2.

Avais tu appliqué ceci ? ->

- Télécharge LSPfix :

http://www.cexx.org/lspfix.htm

Double-clique sur LSPfix, coche "I know what I'm doing" puis clique sur "Finish".

3.

D'autre part, es-tu es certain d'avoir bien suivi le tuto de désinstallation de Norton ? Quelle(s) méthode(s) du tuto as-tu appliqué ? Il y a-t-il des points qui ne t'ont pas semblé clairs ou que tu n'as pas compris ?

4.

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

Cette ligne me laisse penser que tu as des entrées de démarrage décochées dans ton msconfig ; peux-tu ou les recocher pour que ces entrées apparaissent dans le log hijackthis de sorte de vérifier qu'elles ne sont pas signes d'infection, ou appliquer la manipulation qui suit et en poster le résultat dans ton prochain post -> cette manipulation me permettra de savoir ce que tu as décoché sans que tu n'ais besoin de les recocher.

Copier/coller le texte suivant dans le bloc-notes:

regedit /a /e %systemdrive%\regkey.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig"
notepad %systemdrive%\regkey.txt

del /q %systemdrive%\regkey.txt

Sauver comme mslook.bat sur le Bureau.

Nom: mslook.bat

Type: Tous les fichiers.

Localiser mslook.bat sur le Bureau et double-cliquer dessus. Poster le contenu du bloc-notes. Quand le bloc-notes sera fermé, la fenêtre CMD se fermera et le fichier texte sera effacé.

5.

Le rapport Panda révèle la présence de cookies et d'un adware. J'attends le rapport demandé plus haut, quelques réponses à mes questions, et je te poste une procédure.

A bientôt.

gdbx · le 17 août 2006

J'ai supprimé tout les coukies que Panda a révélé.

Voici le rapport que tu m'as demander plus haut DSL j'avais du mal a trouver cette fonction dans hitjackthis.

Merci pour ton aide.

@ bientôt.

3°

3Planesoft Screensaver Manager 1.0

Ad-Aware SE Personal

Adibou et l'Ombre Verte V.1.00 on H

Adobe Reader 7.0 - Français

Adobe SVG Viewer 3.0

AIDA32 v3.93

Archiveur WinRAR

a-squared Free 2.0

Audacity 1.2.1

AVIcodec (remove only)

Call of Duty

Carom 3D

CDex extraction audio

Cheating-Death 4.23.4

Coral Clock 3D Screensaver 1.0

Correctif pour le Lecteur Windows Media [Voir wm828026 pour plus d'informations]

Correctif Windows XP - Article Base de Connaissances 834707

Correctif Windows XP - KB820291

Correctif Windows XP - KB821253

Correctif Windows XP - KB822603

Correctif Windows XP - KB823182

Correctif Windows XP - KB824105

Correctif Windows XP - KB824141

Correctif Windows XP - KB825119

Correctif Windows XP - KB826939

Correctif Windows XP - KB826942

Correctif Windows XP - KB828028

Correctif Windows XP - KB828035

Correctif Windows XP - KB828741

Correctif Windows XP - KB833407

Correctif Windows XP - KB833987

Correctif Windows XP - KB835732

Correctif Windows XP - KB837001

Correctif Windows XP - KB839645

Correctif Windows XP - KB840315

Correctif Windows XP - KB840374

Correctif Windows XP - KB840987

Correctif Windows XP - KB841356

Correctif Windows XP - KB841533

Correctif Windows XP - KB841873

Correctif Windows XP - KB842773

Correctif Windows XP - KB867282

Correctif Windows XP - KB871250

Correctif Windows XP - KB873333

Correctif Windows XP - KB873376

Correctif Windows XP - KB883357

Correctif Windows XP - KB883939

Correctif Windows XP - KB885250

Correctif Windows XP - KB885835

Correctif Windows XP - KB888113

Correctif Windows XP - KB888302

Correctif Windows XP - KB889293

Correctif Windows XP - KB890047

Correctif Windows XP - KB890175

Correctif Windows XP - KB890859

Correctif Windows XP - KB890923

Correctif Windows XP - KB891711

Correctif Windows XP - KB891781

Correctif Windows XP - KB892944

Correctif Windows XP - KB893066

Correctif Windows XP - KB893086

Correctif Windows XP - KB896688

Correctif Windows XP - KB896727

Correctif Windows XP - KB897715

Correctif Windows XP - KB905915

Correctif Windows XP - KB911567

Correctif Windows XP - KB912812

Correctif Windows XP - KB916281

Correctif Windows XP - KB918439

Correctif Windows XP (SP2) Q322011

Correctif Windows XP (SP2) Q327979

Correctif Windows XP (SP2) Q814995

Correctif Windows XP (SP2) Q819696

Creative DVD Audio Plugin for Audigy Series

Decal Converter

Diskeeper Professional Edition

DJ Mix Pro

dod_anzio_euro 1.0

Dora Sakado

DX-Ball 2 v1.25

eEye Digital Security JScript Patch

eMule

EVEREST Home Edition v1.10

Extension HighMAT pour l'Assistant Graver un CD de Microsoft Windows XP

FileZilla (remove only)

Fraps (remove only)

FreeGo 2.0

FTP Expert 3

GameSpy Arcade

Ghost Recon

Google Earth

GrabIt 1.6.2 Beta (build 940)

HDDlife

Helix YUV Codecs (remove only)

HijackThis 1.99.1

Hitman Pro

HLSW v1.0.0.47

HT Photo DVD 3.0

IconPackager

InterActual Player

Internet Explorer Q903235

InterVideo WinDVD 7

IrfanView (remove only)

IsoBuster 1.5

J2SE Runtime Environment 5.0 Update 6

Java 2 Runtime Environment, SE v1.4.2_03

Jeux Classiques

jv16 PowerTools 1.3

Kaspersky Anti-Virus 6.0

Language Pack for Ad-aware 6

Lavasoft VX2 Cleaner

Lecteur Windows Media 10

Lineage II

LiveUpdate 3.0 (Symantec Corporation)

LSPFix Version Française 1.0.0.0

Macromedia Dreamweaver MX 2004

Macromedia Extension Manager

Macromedia Flash Player 8

Macromedia Shockwave Player

MatroskaProp (remove only)

Medal of Honor débarquement allié

Medal of Honor Débarquement allié En Formation

Medal of Honor Débarquement Allié l'Offensive

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 French Language Pack

Microsoft Data Access Components KB870669

Microsoft Office FrontPage 2003

Microsoft Office OneNote 2003

Microsoft Office Professional Edition 2003

Microsoft Office Project Professional 2003

Microsoft Office Visio Professional 2003

Microsoft Office XP Media Content

Microsoft Office XP Professional avec FrontPage

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896422)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896424)

Mise à jour de sécurité pour Windows XP (KB896426)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899588)

Mise à jour de sécurité pour Windows XP (KB899589)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901190)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905495)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB908531)

Mise à jour de sécurité pour Windows XP (KB911280)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB912919)

Mise à jour de sécurité pour Windows XP (KB913446)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour pour Windows XP (KB835409)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB910437)

MOH Débarquement allié En Formation Patch 2.15

Mozilla Firefox (1.5.0.6)

Mozilla Thunderbird (1.5.0.5)

MRT Codecs Pack

MSXML 4.0 SP2 Parser and SDK

Nero 7 Demo

NVIDIA Drivers

NVIDIA WDM Drivers

Outil de suppression du ver Windows Blaster (KB833330)

Pack réseau avancé pour Windows XP

Paint Shop Pro 7 Try And Buy

Panda ActiveScan

Patch de Connexion » Kingdom of Heaven

PC SECURITY TEST 2005

PhotoMate Combo Ver 1.01

PowerIE6

PowerQuest PartitionMagic 8.0

PowerStrip 3 (remove only)

Pro Evolution Soccer 4

QuickPar 0.9

QuickTime

RealPlayer

Return to Castle Wolfenstein

Réussir ses CV et Lettres de Motivation

Reverso Voice (Anglais-Français,Français-Anglais)

SaTstrat (remove only)

SereneScreen Marine Aquarium 2

Shockwave

SLD Codec Pack

SmartFTP FR (désinstallation)

Space Invaders OpenGL (remove only)

SpeedFan (remove only)

Spybot - Search & Destroy 1.4

Spyware Doctor 3.5

SpywareBlaster v3.5.1

StationRipper 2.13A

Steam

StyleXP (remove only)

Sunbelt Kerio Personal Firewall

SysMetrix 3.24

TeamSpeak 2 RC2

Themexp.org File

TrackMania Nations ESWC 0.1.7.5

Ulead DVD PictureShow 2 Trial

Utilitaires Sierra

Visionneuse Journal Windows Microsoft

VP6 VFW Codec

VSprint

Windows Driver Package - MSN (usbccgp) USB (04/19/2006 1.1.0.2)

Windows Installer 3.1 (KB893803)

Windows Live Messenger

Windows Live Sign-in Assistant

Windows Media Format Runtime

WolfET_Fr_Alpha2

Xfire (remove only)

XviD MPEG-4 Video Codec

Yahoo! Address AutoComplete

Yahoo! Extras

Yahoo! Install Manager

Yahoo! Internet Mail

Yahoo! Messenger

ZoneAlarm

Modifié le 17 août 2006 par gdbx

gdbx · le 17 août 2006

Résumé de MSboot.Bat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]

"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\InterVideo WinCinema Manager.lnk"

"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"

"location"="Common Startup"

"command"="C:\\INTERV~1\\Common\\Bin\\WINCIN~1.EXE "

"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Lancement rapide d'Adobe Reader.lnk"

"backup"="C:\\WINDOWS\\pss\\Lancement rapide d'Adobe Reader.lnkCommon Startup"

"location"="Common Startup"

"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "

"item"="Lancement rapide d'Adobe Reader"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk]

"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Lancement rapide de Microsoft Office OneNote 2003.lnk"

"backup"="C:\\WINDOWS\\pss\\Lancement rapide de Microsoft Office OneNote 2003.lnkCommon Startup"

"location"="Common Startup"

"command"="C:\\MICROS~1\\OFFICE11\\ONENOTEM.EXE /tsr"

"item"="Lancement rapide de Microsoft Office OneNote 2003"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Microsoft Office.lnk"

"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"

"location"="Common Startup"

"command"="C:\\MICROS~1\\Office10\\OSA.EXE -b -l"

"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Patrice^Menu Démarrer^Programmes^Démarrage^PowerReg Scheduler.exe]

"path"="C:\\Documents and Settings\\Patrice\\Menu Démarrer\\Programmes\\Démarrage\\PowerReg Scheduler.exe"

"backup"="C:\\WINDOWS\\pss\\PowerReg Scheduler.exeStartup"

"location"="Startup"

"command"="C:\\Documents and Settings\\Patrice\\Menu Démarrer\\Programmes\\Démarrage\\PowerReg Scheduler.exe"

"item"="PowerReg Scheduler"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"=""

"hkey"="HKLM"

"command"=""

"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Inet Xp..]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="teekids"

"hkey"="HKLM"

"command"="teekids.exe"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Steam]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"=""

"hkey"="HKCU"

"command"=""

"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\www.hidro.4t.com ]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="enbiei"

"hkey"="HKLM"

"command"="enbiei.exe "

"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state]

"system.ini"=dword:00000000

"win.ini"=dword:00000000

"bootini"=dword:00000000

"services"=dword:00000000

"startup"=dword:00000002

gdbx · le 17 août 2006

J'ai eu deux Message ce matin le premier de Kerio firewall :

"incompatibilité de Kerio avec un autre programme de Sécurité" donc j'ai pensé a mon Antivirus.

J'ai donc supprimé Kerio & instalé Kaspersky firewall 1.8.180 en version 30 jours.

j'ai eu donc le second message par la suite:

17/08/2006 10:40:28 Votre ordinateur a été attaqué depuis lns-bzn-38-82-253-98-58.adsl.proxad.net. Attaque - Lovesan. Attaque refoulée

Apres Lovesan ma rappellé un vers style W32Blaster.

Par mesure de sécurité j'ai lancé worm fix 1.0.

Si tout cela peut aider dans nos recherches!!!!

@+

Gof · le 18 août 2006

Bonjour gdbx ,

Tout d'abord, j'attire ton attention sur la dangerosité de l'utilisation des réseaux peer-to-peer, qui sont souvent de par leur contenu (lorsque ce n'est directement dans le client) infecté. J'attire également ton attention sur ce sujet sur zebulon qui traite de la nouvelle loi (DADVSI est votée pour de bon) qui traite de l'aspect législatif de ce sujet, et qui est de mauvaise augure pour tous les utilisateurs de ces réseaux. Je ne suis pas là pour te faire la morale, mais pour t'indiquer comment se prévenir des infections, qui dans ton cas, viennent peut-être de là (sans certitudes, hein).

Dans tes entrées MSONFIG décochées, tu as effectivement des entrées infectieuses liées à plusieurs variantes de Blaster, l'une ancienne datant de 2003, l'autre plus récente de cette année. -> Infos Blaster Secuser.com

Suis cette procédure. Prends le temps de la lire, et n'héiste pas à poser des questions si quelque chose ne te semble pas clair.

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page

1. Téléchargement et installation des outils nécessaires.

Ewido anti-malware d' Ewido Networks
Mets le à jour :
Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
Ferme Ewido. Ne pas le lancer tout de suite.
Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html
Télécharge ATF Cleaner par Atribune.
Télécharge JV16 et mets le dans un dossier. Son tutorial pour l'utiliser correctement : ici.
Télécharge FixBlast

2. Préalable au redémarre au mode sans échec :

Rends toi dans ton MSCONFIG et coche toutes les entrées décochées. Une fenêtre va s'ouvrir t'annonçant que tu dois redémarrer l'ordinateur pour que les modifications soient prises en compte. Attention à bien lire ce qui suit pour redémarrer directement en mode sans échec.

3. Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,
Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924

4. Affichage des fichiers et dossiers cachés :

Assure toi d'avoir l'accès aux fichiers et dossiers cachés.

Pour afficher les fichiers et dossiers cachés du systéme :

Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation
---> Répondre OUI à la demande de confirmation

Cliquer Appliquer puis OK

5. Suppression des éléments infectieux et inutiles pouvant occasionner des failles de sécurité :

Je te fais ici -en plus- désinstaller des programmes qui sont inutiles car obsolètes (JAVA), ou dont tu ne sembles pas réussir à te débarrasser (Norton).

Rends toi dans ton panneau Ajout/Suppression de programmes (si tu ne sais pas où il est, va dans ton menu Démarrer>Exécuter et copie-colle Appwiz.cpl puis clique sur Ok) et désinstalle :

J2SE Runtime Environment 5.0 Update 6
Java 2 Runtime Environment, SE v1.4.2_03
LiveUpdate 3.0 (Symantec Corporation)

eMule -> je te conseille de le désinstaller, mais tu fais comme tu l'entends malgré mes conseils.
Va dans ton menu Démarrer>Exécuter et copie-colle : C:\WINDOWS\Downloaded Program Files\
Une fenêtre va s'ouvrir, supprime le fichier suivant :

imloader.exe

Ferme la fenêtre.
Va dans ton menu Démarrer>Exécuter et copie-colle : C:\Program Files\
Supprime les dossiers suivants s'ils sont présents :

Norton

Ferme la fenêtre.
Double-clique sur FixBlast.exe et laisse le travailler. Copie le rapport, et rapporte le moi dans ton prochain post en précisant rapport FixBlast 1.
Dans Menu Démarrer, Rechercher : copie/colle (ce qui suit en gras) : teekids.exe

Va dans Menu démarrer, Rechercher, Des fichiers ou des dossiers... :
- Dans Rechercher dans sélectionne Poste de travail
- clique sur Quand a eu lieu la dernière modification ? et sélectionne Je l'ignore
- clique sur Quelle est la taille ? et sélectionne Je l'ignore
- clique sur Options avancées et coche :

Rechercher dans les dossiers système
Rechercher dans les fichiers et les dossiers cachés
Rechercher dans les sous-dossiers

- Tu peux t'aider et t'inspirer de l'image que tu trouveras ici
Supprime les fichiers trouvés. Ferme la fenêtre.
Renouvelle cette manipulation avec le fichier suivant :

enbiei.exe.
Renouvelle une dernière fois cette manipulation avec le terme suivant : Symantec

Supprime les dossiers trouvés.

Rapporte moi si la recherche de ces 3 éléments a été concluante ; si oui, dans quel chemin les éléments ont été trouvés rapporte moi si tu as pu les supprimer.
Vide la corbeille.

6. Suppression (FIX) des lignes dans HijackThis.

Lance un scan HijackThis.
clique sur Do a system scan only et coche les lignes ci-dessous (si présentes) :

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe"
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~2.EXE (file missing)
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked.

7. Nettoyage du disque pour préparer et faciliter l'intervention d'EWIDO.

Double-cliquer ATF-Cleaner.exe afin de lancer le programme.

Pour internet explorer
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Pour Firefox
Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.
Exécute JV16.
Mets le logiciel en français Preferences > Language > Français > OK.
Ensuite, Outils registre > menu Outils > nettoyeur de registre.
Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".
Clique sur "Continuer" puis sur "Démarrer".
Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer". Tu peux supprimer toutes les entrées en vert.

8. Nettoyage complémentaire par EWIDO.

Lance Ewido et clique sur Scanner
Puis sur l'onglets Settings, pour How to Act sélectionne Quarantine
Reviens a l'onglet Scan et clique sur Complete system Scan, le scan démarre
A la fin clique sur Apply all actions
Puis sur Save report et pour finir Save report as, enregistre sur le Bureau

9. Redémarrage en mode normal

Double-clique encore une fois sur FixBlast.exe. Rapporte moi s'il a encore trouvé des fichiers infectés, si oui lesquels et où, et s'il a pu les corriger. Tu donneras à ce rapport le nom de Fixblast2.
Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
Poste les rapports suivants :
- le rapport Ewido
- le rapport Fixblast 1
- le rapport Fixblast 2
- le rapport Blacklight
- un nouveau log Hijackthis (toujours en utilisant celui que tu as renommé)

En attendant que je regarde tes logs, rends toi à cette adresse pour télécharger la dernière version JAVA :

http://www.java.com/en/download/help/testvm.xml

Il est important que tu me rapportes de toutes les difficultés que tu as rencontrées, ou au contraire de la bonne marche des manipulations demandées.

Bon courage, à bientôt.

Modifié le 18 août 2006 par Gof

gdbx · le 19 août 2006

Merci de ton aide je vais lire & appliquer tes consignes comme je le fais depuis le debut.

Je te remercie te tes conseils sur le reseau P2p mais l'utilisation n'est pas interdite, c'est certaines persones qui ont une utilisation de ses reseaux pour des choses pas legals, rien interdit de partager des fichiers perso, familliales ce qui est mon cas.

Pour le reste j'ai imprimé la procedure & commence desuite le boulot.

Greywolf · le 19 août 2006

ceci dit mettre des fichiers perso et familiaux en partage sur les réseaux p2p, c'est le meilleur moyen pour qu'ils ne le restent plus longtemps (perso et familiaux).

Y'en a qui font tout un foin pour préserver leur vie privée, leur liberté individuelle, etc etc... et d'autres qui la déballent sans vergogne sur les réseaux internet

gdbx · le 19 août 2006

Voivi les rapports dans l'ordre que tu as demandé:

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

+ Created at: 12:46:35 19/08/2006

+ Scan result:

Nothing found.

::Report end

--------------------------------------------------------------

fixblast

Deleted the value "Microsoft Inet Xp.." from the registry key

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run".

Deleted the value "www.hidro.4t.com " from the registry key

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run".

W32.Blaster.Worm has not been found on your computer.

il y a qu'un rapport fixblast le second etait vierge "no files found"

----------------------------------------------------------------------

blacklight

08/19/06 12:55:59 [info]: BlackLight Engine 1.0.46 initialized

08/19/06 12:55:59 [info]: OS: 5.1 build 2600 (Service Pack 1)

08/19/06 12:55:59 [Note]: 7019 4

08/19/06 12:55:59 [Note]: 7005 0

08/19/06 12:56:19 [Note]: 7006 0

08/19/06 12:56:19 [Note]: 7011 700

08/19/06 12:56:19 [Note]: 7026 0

08/19/06 12:56:28 [Note]: FSRAW library version 1.7.1019

08/19/06 13:04:48 [Note]: 7007 0

------------------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 13:14:30, on 19/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Executive Software\Diskeeper\DkService.exe

C:\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\sstray.exe

C:\Program Files\Microsoft IntelliType Pro\type32.exe

C:\WINDOWS\System32\RunDLL32.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\ewido anti-spyware 4.0\ewido.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Kaspersky Anti-Hacker\KAVPF.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\hitjackthis\gdbx.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.girondins.com/index2.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/...rch/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = P@TOU

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [nForce Tray Options] "sstray.exe" /r

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [NvMediaCenter] "RunDLL32.exe" NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [kav] "C:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [!ewido] "C:\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Kaspersky Anti-Hacker\KAVPF.exe