Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Bonjour à tous

Bonsoir Charles Ingals, je te vois à l'ouvrage :P

 

Depuis ce matin, et répondant aux conseils des amis Zebulon, j'ai supprimé DoctorAlex Antispyware.

J'ai également réinstallé Spybot S&D.

Mais puisque mon PC tourne sous la protection de KAS Internet Security 6.0 je crois que Spybot est superflu

 

Voici ce que je découvre avec HJT

 

Logfile of HijackThis v1.99.1

Scan saved at 20:40:33, on 17/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\Program Files\Acesoft\Tracks Eraser Pro\te.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Raxco\PerfectDisk\PDSched.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" ---> ????

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadwin PrintScreen 3.1] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

O4 - HKCU\..\Run: [Tracks Eraser Pro] C:\Program Files\Acesoft\Tracks Eraser Pro\te.exe min

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Program Files\Acesoft\Tracks Eraser Pro\autocomp.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) ---> ??

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

 

C:\Program Files\Raxco\PerfectDisk\PDSched.exe ----> CastleCops me dit ceci:

Microsoft DirectX (X) PDSched.exe Added by the SDBOT.CN WORM !!!

 

EDIT Raxco, je ne connais pas.

Sans doute le résultat de ma désinstallation de Doctor Alex ce matin; avant d'installer Spybot S&D.

Voici le détail de son contenu < http://img506.imageshack.us/img506/1476/screenshot055rv3.gif >

 

Je commets une grave erreur; en effet, j'ai trouvé ce Raxco, c'est mon log de défragmentation comme le montre cette capture < http://img360.imageshack.us/img360/3254/screenshot057tq9.gif >

Mais pourquoi est-il pointé "(X) PDSched.exe Added by the SDBOT.CN WORM !!! " par Castlecops ??

Merci pour l'aide que vous pourrez m'apporter

 

 

EDIT j'ai essayé de lancer SmitFraudFix, mais impossible d'avancer, or, le log est bien dézippé; regarde: < http://img218.imageshack.us/img218/5353/screenshot054di2.gif > .

Tu vois que malgré le message, j'ai bien le fichier " Process.exe"

J'ai ensuite téléchargé en Bureau > négatif

J'ai lancé en mode sans échec > négatif

Toujours la même page qui prétend que je n'ai pas le fichier " Process.exe"

 

Merci pour l'aide que vous pourrez m'apporter

Modifié par cotes du rhone

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci Philippe,

 

Non, je n'ai pas fait ça moi-même. Je te raconte:

 

C'est un "connaisseur" qui m'a remis d'allure mon PC après le bug de ZA Pro du mois de juin.

 

Il m'a mitraillé tous les logs habituels ( Ad-Aware, Spybot S&D, Ewido, a²-Squared, CleanUp, ZA Pro, KAS anti-virus personal, etc ), sauf CCleaner.

 

Il m'a installé KAS Internet Security 6.0 et en complément DoctorAlex Antispyware.

 

Mais sur les recommandations des amis "d'Optimisation", je me suis empressé ce matin de supprimer DoctorAlex Antispyware, et de réinstaller Spybot S&D.

 

J'ai questionné le forum KAS qui me répond que ma version n'a pas besoin de compléments, même pas Spybot S&D 1.4.

 

Par précaution, ils (KAS) m'ont proposé de lancer SmitfraudFix; mais c'est échec sur toute la ligne: le message dit qu'il manque "Process.exe" alors qu'il est bien présent ( en mode normal et en mode sans échec ).< http://img218.imageshack.us/img218/5353/screenshot054di2.gif >

 

C'est pourquoi j'ai lancé HJT , et je me suis trompé de diagnostic : j'ignorais ce Raxco ! ( c'est fou )

 

Mais il reste deux lignes sur lesquelles je doute :

•- O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

•- O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

 

 

PS: As-tu un lien pour un tuto (français) relatif à ce Raxco ? SVP. Merci.

Modifié par cotes du rhone

Partager ce message


Lien à poster
Partager sur d’autres sites

salut :P

 

Pour ce "PDSched.exe" qui est noté SDBOT.CN WORM chez Bleeping computer par ex =>

http://www.bleepingcomputer.com/startups/P...d.exe-2844.html

 

ou chez Castelcops, il ne s'agit pas de l'exécutable qui se trouve dans le dossier C:\Program Files\Raxco\PerfectDisk : celui là est tout ce qu'il y a de légitime, puisqu'il appartient bien à Raxco !

Si tu cliques sur le lien qui t'es donné par Bleeping Computer tu attéris sur la page de Trendmicro qui te précise que l'exécutable en question (SDBOT.CN WORM ) se trouve dans le dossier system de windows.

Upon execution, this memory-resident worm drops a copy of itself as PDSCHED.EXE in the Windows system folder.

Donc pas de souci pour le tien!!

 

Mais il reste deux lignes sur lesquelles je doute :

•- O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

•- O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

Quel doute?? elles sont aussi légitimes! c'est bien Kaspersky :P

 

Pourquoi veux tu utiliser SmitFraudFix? tu n'en a pas besoin! c'est un outil qui s'utilise dans un cas bien particulier.Jette un oeil sur la page de S!RI pour comprendre => http://siri.urz.free.fr/Fix/SmitfraudFix.php

 

@+

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci Charles Ingals,

Heureux de te relire.

 

Ce n'est pas moi qui ai décidé de lancer SmitfraudFix; c'est Snooky du forum KAS; à preuve:

« Posté le : Dim Sept 17, 2006 3:35 pm Sujet du message:

Albert , aucun antispyware supplémenatire , ni SpyDoctor , ni Spybot ... KIS 6 , point barre !

Passe SmitfraudFix: < http://siri.urz.free.fr/Fix/SmitfraudFix.php >.

Poste le rapport hijackthis :

il faut s'assurer que ton pc soit clean ... avant tout . »

Je pense que je l'ai trop influencé en citant DoctorAlex Antispyware; il a fait pour un mieux ( et il est généreux sur son forum ). C'est vrai, je n'en voyais pas la raison; mais dans le doute je l'ai fait.

Ça m'aura au moins permis de savoir me servir de SmitfraudFix ( grâce à son conseil : « "clic droit " sur "Extraire vers ..." ---> Tu as alors un nouveau dossier qui s'est créé ».

 

 

Effectivement l'analyse par SmitFraudFix est clean:

 

voici l'option 1 en mode normal:

 

SmitFraudFix v2.91

 

Rapport fait à 9:59:34,51, lun. 18/09/2006

Executé à partir de C:\Documents and Settings\albert\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\albert\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\albert\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

Merci beaucoup à toi

 

Merci pour les explications précises et précieuses sur "PDSched.exe" qui est noté SDBOT.CN WORM .

Je crois, avec du recul, que je me suis trop empressé.

:P

Modifié par cotes du rhone

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×