Y a-t-il qqch d'anormal ou pas?

[Silfeed]

Bonjour à tous!

 

Voila, je me permet (a tort ou a raison? ) de vous demander vos avis experts sur quelques points a propos de mon pc.

J'explique :

 

J'ai constaté depuis quelques jours une activité inhabituelle de l'indicateur de réseau du programme Zone Alarm.

En effet, depuis quelques jours il m'affiche constamment du download, parfois un peu, parfois plus alors que je ne fais rien de particulier!

 

J'ai remarqué que si je bloque le trafic avec la fonction "arreter toute activité internet" dans ZA, les niveaux reviennent à Zero. Bizarre!

 

Concernant les parametres de Zone Alarm j'ai un peu tout essayé (bloqué un par un en alternance) et rien n'y fait, je trouve pas ce qui pompe... Alors qu'avant tout allait bien!

 

Je sais bien que windows contient des éléments systèmes qui communiquent avec des serveurs et autres sites, mais depuis que j'ai comparé avec le nouveau PC (au boulot) sur lequel j'ai mis les mêmes programes que sur celui ci, je trouve le comportement du mien bizarre...

 

J'ai Antivir (je viens de changer car AVG devient payant) Zone Alarm bien sûr, Ad Aware (scan propre) je fais des scans en ligne avec Panda Active Scan, j'ai Spybot S&D, NetMeter, SpywareBlaster, j'utilise plus Opera que IE et je fais assez attention à ce que je fais et ou je vais sur le net en général.

 

J'ai Windaube XP SP2 mais... pas la licence seul bémol peut-être... Je sais, les mises à jour... je les ai pas.

 

Alors voici quelques indications pour voir si il y a effectivement de quoi s'inquieter, a commencer par le log Hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 17:10:16, on 6/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\keyhook.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\SPAMfighter\SFAgent.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\NetMeter\NetMeter.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\XP\Mes documents\Mes fichiers reçus\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Silfeed

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [sPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [C:\Program Files\NetMeter\NetMeter.exe] C:\Program Files\NetMeter\NetMeter.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .au: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} -

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1118389481264

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1149515954093

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} -

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} -

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Unknown owner - C:\WINDOWS\system32\LEXBCES.EXE (file missing)

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Une copie d'écran de l'activité montrée par NetMeter peu après le démarrage de mon PC (apres ca a l'air de se calmer, avec des reprises chroniques sans explications apparentes...)

 

 

Une copie d'écran du programe ProcessExplorer (je vois pas ce qui pourrait être inutile... ):

 

 

Une copie décran d'IPCONFIG car je trouve aussi bizarre que je n'aie pas la possibilité de regler quoi que ce soit au niveau de mon modem?/routeur? (la boite quoi) Avant en tapant l'adresse 192.168.1.1 dans IE je savais le faire (avec un autre FAI), mais depuis que je suis passé chez Coditel... plus moyen.

 

 

Et enfin la preuve par windows de cette adresse IP :

 

 

Désolé pour la quantité de questions, d'images et la confusion de mes propos, mais je flippe toujours quand quelquechose tourne autrement que d'habitude.

Je suis devenu parano, et je préfère l'être en lisant ce qui arrive partout, et en entendant constamment ceux (nombreux) qui formatent sans cesse leur PC sans remettre en question leurs mauvaises habitudes ou qui ne veulent pas faire l'effort de se protéger et d'aprendre certains trucs fondamentaux.

 

Merci beaucoup pour votre attention.

 

Alex

Modifié le 6 décembre 2006 par Silfeed

[regis56]

Bonsoir Silfeed !

 

Je ne sait pas si ton Pc est infecté mais on va chercher un peu :

 

Fais ceci STP

 

 

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
    
   
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
    
   
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.
   

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

• Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
   
  
• AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
   
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
   
  
• Redémarre ton ordi en mode Normal.
  

.

 

Je te fais passer un autre outil :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Prière de poster les rapports suivant dans ta prochaine réponse :

 

1) AVG Anti-Spyware

2) BlackLight

3) Nouveau rapport HijackThis!

 

Ensuite va ici

https://www.grc.com/x/ne.dll?bh0bkyd2

Fais le test et donne nous le résultat

Ensuite

Va ici

http://www.pcflank.com/scanner1.htm

Pareil fais le test et donne nous le résultat

 

Tu aura peut étre besoin de fermer quelques ports dans ce cas la tu peut utiliser ce programme :

Télécharger et installer Zeb'Protect dans son répertoire

(Programme fermant certains ports sensibles aux attaques venant d'Internet.)

http://telechargement.zebulon.fr/license-1-123.html

Un tutorial sur l’utilisation de Zeb Protect est disponible ici:

http://www.zebulon.fr/articles/zebprotect.php

 

Et enfin même si tu n'a pas de licence Xp tu as quand même accès aux mises à jours critiques alors fais ceci

 

1/ La mise à jour du système :

Je te conseille vivement de mettre à jour ton système !

(Démarrer/Windows Update)

Le fait de mettre ton système à jour corrigera toutes les failles de sécurité utilisées par les virus et autres malwares !

Pour mettre en automatique faire ceci :

 

Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

Mises à jour automatiques

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Démarrer,

puis dérouler le Type de Démarrage pour le modifier en Automatique

Cliquer sur Appliquer puis OK

 

Bon courage, et @+

Modifié le 6 décembre 2006 par regis56

[Silfeed]

Bonsoir Régis!

 

Merci pour la rapidité!

 

Pour Blacklight la case dont tu parles je ne l'ai pas vue, ni la fonction "rename" normal?

 

 

 

Voici les rapports :

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 19:43:57 6/12/2006

 

+ Résultat de l'analyse:

 

 

 

C:\Documents and Settings\XP\Mes documents\Mes fichiers reçus\antivir-personal-edition-7_antivir_personal_edition_classic_7_7.00.00.47_version_win_9x_anglais_10821.exe -> Trojan.Qhost.dx : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

 

 

Blacklight :

 

12/06/06 19:51:36 [info]: BlackLight Engine 1.0.47 initialized

12/06/06 19:51:36 [info]: OS: 5.1 build 2600 (Service Pack 2)

12/06/06 19:51:36 [Note]: 7019 4

12/06/06 19:51:36 [Note]: 7005 0

12/06/06 19:51:42 [Note]: 7006 0

12/06/06 19:51:42 [Note]: 7011 1180

12/06/06 19:51:42 [Note]: 7026 0

12/06/06 19:51:42 [Note]: 7026 0

12/06/06 19:51:49 [Note]: FSRAW library version 1.7.1020

12/06/06 19:55:32 [Note]: 2000 1012

12/06/06 19:55:32 [Note]: 2000 1012

12/06/06 19:56:42 [Note]: 7007 0

 

Le log Hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:04:10, on 6/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\keyhook.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\SPAMfighter\SFAgent.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\NetMeter\NetMeter.exe

C:\Program Files\Opera\Opera.exe

C:\Documents and Settings\XP\Mes documents\Mes fichiers reçus\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Silfeed

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [sPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [C:\Program Files\NetMeter\NetMeter.exe] C:\Program Files\NetMeter\NetMeter.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .au: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} -

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1118389481264

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1149515954093

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} -

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A364AF35-0CDF-41E8-8F3B-E0E55E15EBA1} -

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} -

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Unknown owner - C:\WINDOWS\system32\LEXBCES.EXE (file missing)

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Ensuite, les 2 tests de ports réussis, log du premier (deuxième tout était "stealth") :

 

----------------------------------------------------------------------

 

GRC Port Authority Report created on UTC: 2006-12-06 at 19:09:11

 

Results from scan of ports: 0-1055

 

0 Ports Open

0 Ports Closed

1056 Ports Stealth

---------------------

1056 Ports Tested

 

ALL PORTS tested were found to be: STEALTH.

 

TruStealth: PASSED - ALL tested ports were STEALTH,

- NO unsolicited packets were received,

- NO Ping reply (ICMP Echo) was received.

 

----------------------------------------------------------------------

 

Pour Zebprotect je l'ai déja , mais une question sur celui ci : est ce qu'il faut le faire juste une fois, ou régulièrement, ou a chaque session?

 

Pour les MAJ : je pensais ne plus y avoir acces, mais je me suis trompé En fait avec ta procédure en utilisant Demarer -> Executer le service était en apparence en "activé", mais dans le panneau de config il était désactivé. Quoi qu'il en soit je l'ai réactivé par là et ca télécharge! Merci à toi encore.

 

A l'instant je discutais avec mon collegue sur WLMessenger, il m'a envoyé un fichier (un mp3 de Deus) et j'ai eu ca, une nouveauté :

 

 

On dirait qu'Antivir a des soucis, à en voir ceci et le résultat d'AVG en sans échec Les 2 ne seraient-ils pas incompatibles ensemble?

Bizarre car pourtant l'antivirus fonctionne encore ; après j'ai su scanner manuellement le fichier mp3 reçu.

 

Et puis pourquoi toujours ce bruit de fond entre les connexions?

 

 

Il y a pas un blanc, pas une interruption alors qu'avant parfois je pouvois voir l'icone s'afficher dans la barre des tâches car le trafic était calme. Ici je ne l'ai plus vue depuis le changement, et difficile à dire quand ca a changé...

Modifié le 6 décembre 2006 par Silfeed

[Silfeed]

Alors les news :

 

Vers la fin des MAJ, pas de passage à la version 7 d'IE car pas de validation possible.

Jusqu'ici rien d'anormal et je préfère Opera, a part pour la sécurité c'est vrai que ca aurait été un plus mais bon à l'impossible...

 

Seulement après, d'abord un rappel de mise à jour pour le "MSXML 4.0 SP2" (a vos souhaits ) avec 2 cases a cocher, ce que je fais. Je me dis : "tranquille"!

Puis une 2ème fois, puis une 3ème

J'ai essayé de le réparer via "ajout et suppression de programmes", mais il m'affiche un message en anglais me demandant un fichier qui s'avère introuvable...

J'ai fini par lui demander de ne plus me le rappeler

 

Et toujours ce bruit dans le réseau...

 

Une idée?

Modifié le 6 décembre 2006 par Silfeed

[regis56]

Re

 

Hum ton problème ne viendrait t'il pas de là :

 

C:\Documents and Settings\XP\Mes documents\Mes fichiers reçus\antivir-personal-edition-7_antivir_personal_edition_classic_7_7.00.00.47_version_win_9x_anglais_10821.exe -> Trojan.Qhost.dx : Nettoyé et sauvegardé (mise en quarantaine).

 

Est ce a partir de ce fichier que tu as instalé antivir ?

 

Si oui je te conseil de virer cette version et de téléchargé antivir sur le site officiel.

 

Ensuite on va continuer les investigations :

 

Fais ceci :

-Faire un scan antivirus en ligne à titre de vérification

http://housecall65.trendmicro.com/ (fire fox ou IE)

Et faire celui-ci

http://www.trendmicro.com/spyware-scan/ (IE avec active x seulement)

 

A la fin du scan, sauvegarder le rapport sur le Bureau.(cliquer sur l'onglet Résultats/ puis cliquer sur Edition/tout sélectionner/copier puis ouvrir un fichier texte et coller la sélection dedans)

 

-Poster le(s) rapport(s) trendmicro

 

A plus.

[Silfeed]

Re

 

Hum ton problème ne viendrait t'il pas de là :

Est ce a partir de ce fichier que tu as instalé antivir ?

 

Si oui je te conseil de virer cette version et de téléchargé antivir sur le site officiel.

 

 

 

C'est possible?

 

Ben voila, c'est fait mais est ce normal que j'ai des alertes serveur de ZA concernant Antivir?

 

Et tant que je ne donne pas accès à la Zone sûre pour "Antivirus System Tray Tool" l'icone en forme de parapluie (lol) ne s'ouvre pas. Mais pourquoi demande t il aussi des droits "serveur"?

Modifié le 7 décembre 2006 par Silfeed

[Silfeed]

 

-Faire un scan antivirus en ligne à titre de vérification

http://housecall65.trendmicro.com/ (fire fox ou IE)

 

 

Voila déja le résultat de celui ci

Je précise que j'ai pas encore fait de scan avec Antivir depuis que je l'ai retéléchargé.

 

 

Edit de ce jour (après réflexion et peu de repos lol) :

 

En fait je me suis dit que le trafic intempestif est peut être apparu depuis que je réutilise Outlook ; je l'ai paramétré pour 3 comptes pop3 (Coditel, No-log.org et Lemail.be) et la seule protection que j'ai a ce niveau c'est par Zone Alarm (Basic Mailsafe) Ca peut être ca?

Modifié le 7 décembre 2006 par Silfeed

[Silfeed]

Je m'autocite

 

rappel de mise à jour pour le "MSXML 4.0 SP2" (a vos souhaits ) avec 2 cases a cocher, ce que je fais. Je me dis : "tranquille"!

Puis une 2ème fois, puis une 3ème

 

 

Apparement le même problème ici: http://www.presence-pc.com/forum/ppc/Logic...jet-18514-1.htm , sans solution trouvée...

[regis56]

Re

 

Mais pourquoi demande t il aussi des droits "serveur"?

 

Aucune idée ? mais bon comme il s'agit d'antivir je pense que tu n'as rien à craindre.

 

Trend micro voit des failles de sécurités tu n'as pas du installer toutes les MAJ windows !

 

Effectivement la MAJ MSXML 4.0 SP2 est peut étre en cause alors tente la manip en manuelle

http://www.microsoft.com/downloads/details...;DisplayLang=fr

Sinon tente le hotfix

http://www.microsoft.com/downloads/details...;displaylang=fr

 

Je dis pas que ca résoudera le problème mais bon on verra !

 

A plus.

[Silfeed]

Re!

alors tente la manip en manuelle

http://www.microsoft.com/downloads/details...;DisplayLang=fr

J'ai essayé comme ca hier soir et ca n'a rien changé... ces 2 MAJ MSXML 4.0 reviennent quand même.

Tu crois pas que c'est plutôt à cause du programme Spywareblaster qui protège trop IE, ou résident de Spybot, ou un autre programme qui empèche la MAJ a s'installer?

Je précise que les 2 MAJ MSXML sont les seules qui figurent dans "ajout et suppr de prgrm", alors qu'il y en a eu d'autres et celles là n'y figurent pas!

Sinon tente le hotfix

http://www.microsoft.com/downloads/details...;displaylang=fr

Et ce Hotfix diffère en quoi de la MAJ normale?

J'essaierais avec le hotfix? C'est pas risqué par après?

Modifié le 7 décembre 2006 par Silfeed