Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

Bonjour,

Je suis sous windows xp. Depuis quelques temps j'ai des problèmes de lenteur, d'impossibilité d'accès à internet, de plantage de machine....

kaspersky a décelé les problèmes suivants :

25/11/2006 supprimé : cheval de Troie Trojan-Proxy.Win32.Horst.pj dans le Le fichier: C:\Documents and Settings\All Users\Documents\setup.exe

puis :

26/11/2006 17:02:28 Intrusion.Win.MSSQL.worm.Helkern! Protocole/service: UDP sur le port local 1434.

 

27/11/2006 21:04:22 Intrusion.Win.LSASS.exploit TCP 139

27/11/2006 21:04:22 Intrusion.Win.LSASS.ASN1-kill-bill.exploit TCP 139

J'ai fait plusieurs scan avec A2, spybot search et dextroy, ad-aware, kapersky et j'ai utilisé cclean.

Hier à la suppression d'un programme, kaspersky m'a alerté qu'un programme était en train de s'installer (installé et placé à mon insu dans les fichiers temporaires, il m'a précisé que c'était une activité typique d'un cheval de troie) et je ne parvenais pas à désinstaller le programme. J'ai donc fait un mode sans échec et là j'ai pu effectuer la suppression espérant aussi avoir supprimé le fichier qui s'activait en même temps que ce programme.

Mias il m'est impossible de me connecter à internet. A chaque tentative, Kapersky me demande si j'autorise IEXPLORER.EXE et que j'accepte ou que je refuse, la page est très longue à télécharger et je n'ai pas de réponse.Quand je parviens à me connecter je subis des tentatives d'attaques : par exemple hier soir :

27/11/2006 21:04:22 Intrusion.Win.LSASS.exploit

Intrusion.Win.LSASS.ASN1-kill-bill.exploit

J'ai téléchargé hijackthis hier soir et j'aurai besoin de votre aide pour savoir quels fichiers il me faut supprimer :

Logfile of HijackThis v1.99.1

Scan saved at 22:49:46, on 27/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Acer\Acer Arcade\PCMService.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\PROGRA~1\LAUNCH~1\LManager.exe

C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\QuickTime\qttask.exe

C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Program Files\Netscape\Netscape\Netscp.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Documents and Settings\sandra\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?p...ER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\sandra\Application Data\Mozilla\Profiles\default\eu6arocx.slt\prefs.js)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - (no file)

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"

O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [boot] C:\Acer\Empowering Technology\ePower\Boot.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?ce43ff4478514a9d9958045d32c15f68

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?ce43ff4478514a9d9958045d32c15f68

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{5FCA5BF0-254B-4060-9AED-05841EB5A6DE}: NameServer = 212.27.32.176,212.27.32.177

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Unknown owner - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

 

 

D'avance merci beaucoup.

Sahant que je ne peux plus accéder à internet, j'espère que je pourrai réaliser les opérations que vous m'indiquerez sans utiliser internet.

Je vous remercie de m'indiquer comment faire pour éviter que ces attaques se reproduisent.

Meric beaucoup pour votre aide.

Modifié par sian

Posté(e)

Bonjour et bienvenue sur zebulon,

 

Pour ce qui est des intrusions, cela est normal car nos pcs sont attaqués chaque jour (KAV t'avertit, mais cela ne signifie pas que tu es en danger), cependant, tu dis que ton internet est très lent. Quelle version de KAV as-tu ?

 

Ton rapport hijackthis est propre (sauf une ligne inutile), souhaites-tu une analyse avec un antispyware plus avancé ?

Posté(e)

Bonjour et bienvenue sur zebulon,

 

Pour ce qui est des intrusions, cela est normal car nos pcs sont attaqués chaque jour (KAV t'avertit, mais cela ne signifie pas que tu es en danger), cependant, tu dis que ton internet est très lent. Quelle version de KAV as-tu ?

 

Ton rapport hijackthis est propre (sauf une ligne inutile), souhaites-tu une analyse avec un antispyware plus avancé ?

Posté(e)

Merci pour ta réponse. La version de KIS est 6.0. Je ne peux plus du tout accéder à internet : j'utilise donc un autre poste la journée pour me connecter. J'ai fait des recherches et ai fixé tout ce qui me parassait suspect dans le précédent rapport :

-04 : ...Boot.exe par exemple, .

- 04...LManager.exe,

-04...ctfmon.exe...

Je me suis rendu compte aussi que 017 avait une adresse DNS suspecte : c'est celle qui apparait dans les propriétés de ma connection ethernet or kis a émis la règles d'interdiction d'entrants et de sortants pour cette adresse DNS : pensant que c'était la raison pour laquelle je ne parvenais plus accéder à internet j'ai supprimé cette règle. Or par la suite j'ai vu dans les tutoriels, qu'il est indiqué que les adresses de serveur DNS des FAI ne commençaient pas par 212...

Il ya donc problème que je n'ai pas encore réparé ni même les processus : pourquoi y at-il plusieurs...sychost.exe : celui commençant par System32\sychost.exe n'est-il pas suspect? De même pour C:\windows\system32\spoolsv.exe?

J'ai édité le nouveau scan mais à mon avis il reste des choses à faire. Merci beaucoup de m'aider : j'y passe des heures interminables or je n'y connais pas grand chose mais c'est mon outil de travail et je suis complètement bloquée......

Il m'est difficile aussi de réparer quand on n'a plus accès à internet puisque tous les items à corriger ne peuvent être vérifiés que sur internet .

Si vous pouvez m'indiquer la marche à suivre pour réparer tout ça, ce serait vraiment gentil. Merci d'avance.

Logfile of HijackThis v1.99.1

Scan saved at 21:39:53, on 28/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Acer\Acer Arcade\PCMService.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Program Files\Netscape\Netscape\Netscp.exe

C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

C:\WINDOWS\system32\wscntfy.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\sandra\Application Data\Mozilla\Profiles\default\eu6arocx.slt\prefs.js)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"

O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?ce43ff4478514a9d9958045d32c15f68

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?ce43ff4478514a9d9958045d32c15f68

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{5FCA5BF0-254B-4060-9AED-05841EB5A6DE}: NameServer = 212.27.32.176,212.27.32.177

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Unknown owner - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Posté(e) (modifié)

Tout ce que tu as supprimé n'était pas néfaste (boot.exe aurait pu l'être, mais LManager et Ctfmon non). Pour ce qui est de svchost.exe et spoolsv, cela est normal, ne les supprime pas ! 212.27.32.176,212.27.32.177 appartient - si je ne me trompe pas - à Free.

 

Télécharge LSPFix : http://cexx.org/LSPFix.exe, transfert le dans ton ordinateur via une clé usb, disquette ou cd. Ouvre LSPFix, clique sur "I know what I'm doing" et clique sur "Finish". Ne fait rien d'autre. Après, dit moi si tu peux accéder à internet :P

Modifié par bibi26
Posté(e)

Tout ce que tu as supprimé n'était pas néfase (boot.exe aurait pu l'être, mais LManager et Ctfmon non). Pour ce qui est de svchost.exe et spoolsv, cela est normal, ne les supprime pas ! 212.27.32.176,212.27.32.177 appartient - si je ne me trompe pas - à Free.

 

Télécharge LSPFix : http://cexx.org/LSPFix.exe, transfert le dans ton ordinateur via une clé usb, disquette ou cd. Ouvre LSPFix, clique sur "I know what I'm doing" et clique sur "Finish". Ne fait rien d'autre. Après, dit moi si tu peux accéder à internet :P

Posté(e)

Merci beaucoup bibi26. Désolée pour mon incopétence ! Et pour les mauvaises manip qui occasionnent les citations qui précèdent mes réponses : je suis aussi novice dans l'utilisation des forums!!!!Heureusement que vous êtes là pour venir en aide aux petits bleus comme moi!

Je vais faire tout ce que tu m'as dit et si internet remarche ce soir :P , je posterai ma réponse (j'espère sans citations involontaires) dans la soirée sinon il faudra attendre demain pour que je puisse te l'indiquer: :P

Oui j'ai fait des recherches ce matin c'est bien la bonne adresse DNS de free (qui est mon FAI) donc ce n'était effectivement pas normal que KIS ai bloqué toutes les entrées et sorties sur tous les ports! Par contre je ne comprends pas comment cette règle a pu s'inscrire : je n'ai rien paramétré moi-même n'étant pas assez calée : j'ai laissé les paramètres par défaut.

Par contre, c'est moi qui ai tout installé et configuré (je l'ai acheté y a pas longtemps car je dois travailler sur ordi chez moi) et comme je n'y connais rien j'ai pu faire de fausse manip. :P

Mais grâce à vous, qui sait je vais peut-être finir par comprendre les méandres de l'informatique!!! :P

En tout bravo, je suis admirative! :P

Posté(e) (modifié)

Bonsoir,

J'ai fait ce que tu m'as indiqué mais auparavant j'ai annulée les modifications que j'avais faites hier :

spy bot m'a demandé si je les autorisais : j'ai refusé.

LPSFix n'a décelé aucune erreur.

J'ai redémarré l'ordinateur mais j'ai eu le même problème qu'hier : il refusait la connexion.

J'ai récupéré le nom des applications connectées ainsi que les ports ouverts et leur activité dans kaperski : surveillance du réseau. Certaines applications apparaissaient furtivement :

 

 

System TCP Entrant mon ip 82.240.214.209 1515

Celle ci dessous était active :

NETSCP.EXE -TURBO TCP Entrant 127.0.0.1 1028 127.0.0.1

1030 00:05:01 0 octet(s) 18 octet(s)

 

NETSCP.EXE -TURBO TCP Entrant 127.0.0.1 1030 127.0.0.1

1030 00:05:01 0 octet(s) 18 octet(s)

Ci dessous j'ai copié tous les ports ouverts avec leur traffic :

 

PORTS OUVERTS

445 UDP System 0.0.0.0 00:08:59

445 TCP System 82.240.x 00:09:24

138 UDP System 82.240.x 00:09:21

137 UDP System 82.240.x 00:09:34

139 TCP System 82.240.x 00:09:48

1033 TCP System 0.0.0.0 00:09:15

135 TCP SVCHOST.EXE -K RPCSS 82.240.x 00:10:18

1025 TCP CLI.EXE RUNTIME -DELAY 127.0.0.1 00:10:13

9999 TCP MEMCHECK.EXE 0.0.0.0 00:10:23

1028 TCP NETSCP.EXE -TURBO 127.0.0.1 00:10:26

1030 TCP NETSCP.EXE -TURBO 0.0.0.0 00:10:35

5180 TCP NETSCP.EXE -TURBO 127.0.0.1 00:10:32

1031 TCP CLMLSERVICE.EXE 0.0.0.0 00:11:05

1032 UDP CLMLSERVICE.EXE 127.0.0.1 00:11:12

12346 TCP CLMLSERVICE.EXE 127.0.0.1 00:11:20

500 UDP LSASS.EXE 0.0.0.0 00:11:25

4500 UDP LSASS.EXE 0.0.0.0 00:11:35

123 UDP SVCHOST.EXE -K NETSVCS 82.240.xxx 00:11:38

123 UDP SVCHOST.EXE -K NETSVCS 127.0.0.1 00:11:47

1900 UDP SVCHOST.EXE -K LOCALSERVICE 127.0.0.1 00:11:49

1900 UDP SVCHOST.EXE -K LOCALSERVICE 82.240.xxx 00:12:01

1038 TCP ALG.EXE 127.0.0.1 00:12:10

1040 UDP SVCHOST.EXE -K NETWORKSERVICE 0.0.0.0 00:12:16

1110 TCP AVP.EXE -R 0.0.0.0 00:12:19

J'ai redémarré l'ordinateur en mode sans echec : j'ai ouvert la cession en administrateur et je suis aller voir la configuration : pour mes deux périphériques de connexions internet : USB et et câble Ethernet : j'en avais pour chacun un autre au nom identique suivie de la mention : port de manipulation de paquets (j'ai pas pu retenir la mention exacte).

Je suis allée voir les différents dossiers et j'ai trouvé de nombreux dossiers avec des noms bizarres, des dossiers portant le même nom à des emplacements différents..: sous C: ou C:\windows ou C: WIN XP.

Par exemple le dossier "CONNECTION WIZARD : vide sous windows mais plein dans le dossier programfiles dans internet explorer avec des fichiers : cwconn2.exe et icwcon1.exe ;

dans le répertoires i386 : CFGMGR32.DLL, CLUSCOM.DLL, fichiersJP_.

Dans les programfiles : GPLGS avec un fichier : ao1001311.pbb ou ao10015h.pbb., dans internet explorer : MUI : 163KDO, mscorier.dll.

J'ai trouvé un dossier : microsoft visual sutio avec DIFX : avec des fichiers avec des chiffres : 7B44739871F4FINDPINST.EXE ou ICONSC44O5F83D7397B.ico

dans "Fichiers communs" : Musée technologie : dossier : 030625, dossier "services" : verisign.bmp, bigfoot.bmp, whowhere.bmp ", répertoire : lightscribe avec dossier : res, content et fichiers : LS_HSI.nsi

un répertoire system avec un dossier ado avec des noms de fichiers tels que msader15.dll ou MDACReadme, msado20, TLB...

un répertoire : sysinfo : avec un dossier inserted..

bref j'ai redémarré en mode normal et essayé de me connecter en réparant ma connexion et après plusieurs mentions d'erreurs, la fermture de fenêtre me demandant un mot de passe..., le disque dur qui tourne...j'ai réussi à aller dans le forum pour te répondre.

J'ai vraiment l'impression qu'il ya de grosses anomalies et j'ai l'impression que c'est plus mon obstination à me connecter qui a abouti qu'autre chose. J'ai noté aussi la présence de nombreux dossiers chiffrés qui disparaissent pour réapparaitre ainsi que de nombreux fichiers dans le dossier temp avec des applications que je ne peux pas supprimer. Dans dossiers partagés par exemple il y a un fichier autorun.

Que dois je faire maintenant pour assainir tout ça ? Je suis vraiment dépassée et ne sais plus quoi faire!

Merci encore de me venir en aide.

Pendant que j'écris ce message, j'ai un message pour m'indiquer que je suis hors connexion et que je ne pouvais pas consulter hors connexion : j'ai du ouvrir et refermer avant d epouvoir revenir poster mon message !!!! :P

Merci beaucoup.

Modifié par sian
Posté(e)

Bonsoir,

 

Même si LSPFix n'a rien trouvé, clique sur "I know what I'm doing" et clique sur "Finish".

 

Télécharge AVG Anti-Spyware qui est un excellent anti-spywares/anti-trojans qui permettra d'éliminer une partie de l'infection : http://downloads.grisoft.cz/softw/70/filed...up-7.5.0.50.exe. Installe le logiciel en double-cliquant dessus et laisse toi guider par l'assistant. Après l'installation, si AVG Anti-Spyware c'est ouvert, ferme-le et télécharge et installe la mise à jour : http://download.ewido.net/avgas-signatures-full-current.exe

 

Redémarre ton ordinateur, dès que ton ordinateur redémarre, appuie plusieurs fois sur le bouton "F8" jusqu'à ce qu'un menu apparaisse, sélectionne "Mode sans échec" et appuie sur le bouton "Entrée" de ton clavier pour continuer le démarrage de Windows. Choisis normalement ton utilisateur, il se peut qu'un message te demande si tu veux vraiment aller en mode sans échec, accepte. N'oublie pas, tu n'as pas accès à internet dans ce mode !!! Copie les instructions dans un fichier.

 

Ouvre AVG Anti-Spyware, clique sur "Analyse" et sur "Analyse complète du système". Après que l'analyse est terminée, clique sur "Action recommandée" et sur "Quarantaine". Clique sur "Appliquer toutes les actions", sur "Enregistrer le rapport" et sur "Enregistrer le rapport sous", sauvegarde le rapport AVG Anti-Spyware. Après, ferme AVG Anti-Spyware. Retourne en mode normal (pas en mode sans échec), fait un nouveau rapport hijackthis que tu posteras avec le rapport AVG.

Posté(e)

Bonjour,

OK, merci beaucoup.

Je n'ai pas réussi à me reconnecter hier (j'ai subi 5 attaques réseau: la plupart sortantes : voir ci-dessous) :

 

Attaques de réseau

------------------

29/11/2006 20:15:29 Intrusion.Win.LSASS.exploit! Adresse IP de l'ordinateur à l'origine de l'attaque: 82.240.243.45. Protocole/service: TCP sur le port local 139. Heure: 29/11/2006 20:15:29.

29/11/2006 20:15:29 Intrusion.Win.LSASS.ASN1-kill-bill.exploit! Adresse IP de l'ordinateur à l'origine de l'attaque: 82.240.243.45. Protocole/service: TCP sur le port local 139. Heure: 29/11/2006 20:15:29.

29/11/2006 21:49:22 Intrusion.Win.DCOM.exploit! Adresse IP de l'ordinateur à l'origine de l'attaque: 82.240.243.190. Protocole/service: TCP sur le port local 135. Heure: 29/11/2006 21:49:22.

29/11/2006 21:56:05 Intrusion.Win.LSASS.exploit! Adresse IP de l'ordinateur à l'origine de l'attaque: 82.240.243.45. Protocole/service: TCP sur le port local 139. Heure: 29/11/2006 21:56:05.

29/11/2006 21:56:05 Intrusion.Win.LSASS.ASN1-kill-bill.exploit! Adresse IP de l'ordinateur à l'origine de l'attaque: 82.240.243.45. Protocole/service: TCP sur le port local 139. Heure: 29/11/2006 21:56:05.

 

 

Activité de l'application

-------------------------

Heure Application Ligne de commande Nom de la règle PID de l'application Action Direction Protocole Hôte distant Port distant Hôte local Port local

----- ----------- ----------------- --------------- -------------------- ------ --------- --------- ------------ ------------ ---------- ----------

29/11/2006 22:49:55 C:\WINDOWS\system32\svchost.exe -K NETWORKSERVICE Interdire n'importe quelle activité UDP avec l'adresse indiquée 1220 bloqué Entrant UDP 212.27.32.176 53 127.0.0.1 1038

 

29/11/2006 22:49:58 C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CLI.exe -HIDE SYSTEMTRAY Interdire n'importe quelle activité TCP avec l'adresse indiquée 3632 bloqué Sortant TCP 127.0.0.1 1025 127.0.0.1 1050

29/11/2006 22:49:58 C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CLI.exe -HIDE SYSTEMTRAY Interdire n'importe quelle activité TCP avec l'adresse indiquée 3632 bloqué Sortant TCP 127.0.0.1 1025 127.0.0.1 1051

29/11/2006 22:50:03 C:\WINDOWS\system32\svchost.exe -K NETWORKSERVICE Interdire n'importe quelle activité UDP avec l'adresse indiquée 1220 bloqué Entrant UDP 212.27.32.176 53 127.0.0.1 1038

29/11/2006 22:50:02 C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CLI.exe -HIDE DASHBOARD Interdire n'importe quelle activité TCP avec l'adresse indiquée 3640 bloqué Sortant TCP 127.0.0.1 1025 127.0.0.1 1064

29/11/2006 22:50:02 C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CLI.exe -HIDE DASHBOARD Interdire n'importe quelle activité TCP avec l'adresse indiquée 3640 bloqué Sortant TCP 127.0.0.1 1025 127.0.0.1 1065

29/11/2006 22:51:27 C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CLI.exe ICOMPONENT REFRESH ASPECT=POWERPLAY Interdire n'importe quelle activité TCP avec l'adresse indiquée 3716 bloqué Sortant TCP 127.0.0.1 1025 127.0.0.1 1181

29/11/2006 22:51:27 C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CLI.exe ICOMPONENT REFRESH ASPECT=POWERPLAY Interdire n'importe quelle activité TCP avec l'adresse indiquée 3716 bloqué Sortant TCP 127.0.0.1 1025 127.0.0.1 1182

 

29/11/2006 22:53:59 C:\WINDOWS\system32\svchost.exe -K NETWORKSERVICE Interdire n'importe quelle activité UDP avec l'adresse indiquée 1220 bloqué Entrant UDP 212.27.32.176 53 127.0.0.1 1038

29/11/2006 22:54:01 C:\WINDOWS\system32\svchost.exe -K NETWORKSERVICE Interdire n'importe quelle activité UDP avec l'adresse indiquée 1220 bloqué Entrant UDP 212.27.32.176 53 127.0.0.1 1115

 

J'ai noté aussi que dans "protection" de KASPERSKY dans la partie "catégories de programmes malicieux" : "virus et chevaux de troie" est coché mais est grisé contrairement aux deux autres : spywares, adwares et programe à risque potentiel.

 

Merci pour tes instructions : je télécharge AVG et les mises à jour d'un autre poste.

Je te posterai les deux rapports ce soir si je parviens à me connecter sinon demain.

 

Bonne journée

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...