probleme apres reinstalation xp

[R1nevers]

Logfile of HijackThis v1.99.1

Scan saved at 12:57:28, on 11/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\spooIsv.exe

C:\WINDOWS\System32\cwljnjkz.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\System32\tcpipmon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\tcpipmon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\ipv7.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system\system.exe

C:\WINDOWS\System32\yilckec.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Documents and Settings\laurent\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\yilckec.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O23 - Service: ipv7 - Unknown owner - C:\WINDOWS\ipv7.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Windows System Service (SYSTEMSVC) - Unknown owner - C:\WINDOWS\system\system.exe

[thorgal]

Bonjour R1nevers,

 

Je laisse le soin aux pros de la sécurité pour te dire si tu as un problème suite à ton scan. Par contre, il serait sans doute plus sage que tu installe le sp 2 et que tu tiennes ton windows à jour afin d'éviter d'éventuels soucis.

 

Cordialement...

[regis56]

Salut !

 

tu vient de formater ?

 

eh bien un bon conseil reformate mais cette fois ci avant d'aller sur le net met toi un parefeu et un antivirus !

 

Tu peut suivre ce tuto si tu veut :

http://www.zebulon.fr/articles/installation-securisee-1.php

 

A plus.

[thorgal]

eh bien un bon conseil reformate mais cette fois ci avant d'aller sur le net met toi un parefeu et un antivirus !

Bien vu regis56, je n'avais pas fait attention qu'il n'y avait pas de protections.

Et moi qui étais parti sur le sp 2 = la honte.

 

Bonne continuation...

[regis56]

Salut thorgal !

 

Non tu n'as pas tord ! le sp2 est une necessité !

 

Mais dans le cas d'une reinstalle mieux vaut avoir un parefeu et antivirus puis ensuite faire ses MAJ

 

Ou alors recuperer toutes les MAJ sur cd/clés usb et les installer avant d'aller sur le net.

 

Téléchargez vos mises à jour du système d'exploitation et gravez les sur un CD

Téléchargez le SP1 de XP complet ou le SP2 :

Microsoft SP1 complet

Microsoft SP2 complet

http://www.zebulon.fr/articles/installation-securisee-1.php

 

A plus.

[angelique]

'jour regis56 j'ai discuté avec R1nevers on IRC.

 

1/il a passé sa freebox en mode routeur

2/il installe antivir

3/HJT est deplacé en c:\Hijackthis\Hijackthis.exe

 

_______________________________________

 

R1nevers

 

1/# Télécharge VundoFix.exe (d'Atribune) sur ton Bureau.

 

http://www.atribune.org/ccount/click.php?id=4

 

# Double clique sur VundoFix.exe pour le lancer.

 

#

fais un clic droit dans la fenêtre blanche et clique "Add more files?"

Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin dans les deux cases :

 

C:\WINDOWS\System32\rpcc.dll

 

-- Clique sur le bouton "Add File(s)"

-- Clique sur le bouton "Close Window"

-- Clique à nouveau sur "Remove Vundo"

-- Une invite te demandera si tu veux supprimer les fichiers, clique YES

-- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.

-- Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK

-- Démarre ton PC à nouveau.

-- Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HiJackThis! dans ta prochaine réponse.

 

2/executer

services.msc

 

double clic sur chacune des lignes de service ci dessous, et choisis "type de demarrage" désactivé et clic arreter:

 

Service: ipv7 - Unknown owner - C:\WINDOWS\ipv7.exe

Service: Windows System Service (SYSTEMSVC) - Unknown owner - C:\WINDOWS\system\system.exe

 

puis executer

cmd

 

dans la fenetre d'invite de commande tape et valide par enter:

 

sc delete ipv7

sc delete SYSTEMSVC

 

3/Télécharge et installe les logiciels suivants au préalable

 

-Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.

 

http://downloads.andymanchesta.com/RemovalTools/SDFix.zip

clic droit sur SDFix.zip /extraire ici

 

double clic sur SDFix.exe qui vient de se creer,

 

SDFix va se decompresser en c:\SDFix

Ne l'utilise pas pour le moment.

 

 

- AVG anti spyware --> http://www.ewido.net/en/download/

- Fais la mise à jour

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 <---met le sur ton bureau

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

4/relance hijackthis.exe "do a system scan only" et coche uniquement les lignes ci dessous et clic fixchecked

 

O4 - HKLM\..\Run: [spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\yilckec.exe

O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O23 - Service: ipv7 - Unknown owner - C:\WINDOWS\ipv7.exe <--- elle ne devrait plus etre là

O23 - Service: Windows System Service (SYSTEMSVC) - Unknown owner - C:\WINDOWS\system\system.exe <---elle ne sera surement plus là

 

5/Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur

 

**supprime les fichiers en gras ci dessous si toujours present:

 

C:\WINDOWS\System32\spooIsv.exe <---attention à l'écriture c'est spooIsv.exe et non spoolsv.exe (qui lui est légitime)

C:\WINDOWS\System32\yilckec.exe

C:\WINDOWS\system32\tcpipmon.exe

C:\WINDOWS\ipv7.exe

C:\WINDOWS\system\system.exe

C:\WINDOWS\web\related.htm

 

 

 

**Nettoie ton système avec Jv16 powertools, Easycleaner et ATF-cleaner

 

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

 

Jv16 powertools

 

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

Fais un scan avec avg:

 

AVG AS puis choisis l'onglet Analyse

TRES IMPORTANT!!!

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Re-clique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier est infecté détécté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

***scan ton pc avec antivir, que tu as du installer depuis suite à la conversation on IRC, conserve le rapport

 

***ouvre c:\SDFix et double clique sur RunThis.bat pour lancer le script.

* Appuie sur Y pour commencer le script.

* Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

* Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

 

N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

 

6/poste le rapport SDFix,d'antivir,de avg antispyware, et de vundofix stp

[regis56]

Bon courage vous deux !

[R1nevers]

merci beaucoup c sympas

 

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\System32\rpcc.dll

C:\WINDOWS\System32\rpcc.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

Modifié le 11 mars 2007 par R1nevers

[R1nevers]

SDFix: Version 1.70

 

Run by laurent - 11/03/2007 / 15:44:00,81

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix\SDFix

 

Safe Mode:

Checking Services:

 

 

 

 

 

 

Restoring Windows Registry Entries

Restoring Default Hosts File

 

 

Rebooting...

 

Normal Mode:

Checking Files:

 

Below files will be copied to Backups folder then removed:

 

C:\WINDOWS\system\System.exe - Deleted

C:\WINDOWS\system32\firewall.exe - Deleted

C:\WINDOWS\system32\i - Deleted

C:\WINDOWS\system32\spooIsv.exe - Deleted

C:\WINDOWS\system32\TFTP1268 - Deleted

C:\WINDOWS\system32\TFTP788 - Deleted

 

 

 

ADS Check:

 

C:\WINDOWS\system32

No streams found.

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

 

Remaining Files:

---------------

 

Backups Folder: - C:\SDFix\SDFix\backups\backups.zip

 

 

Checking For Files with Hidden Attributes :

 

C:\WINDOWS\ipv7.exe

C:\WINDOWS\system32\dweclsx.exe

C:\WINDOWS\system32\fzsahlq.exe

C:\WINDOWS\system32\rwajhau.exe

C:\WINDOWS\system32\wcsr.exe

C:\WINDOWS\system32\whay.exe

C:\WINDOWS\system32\yhgcok.exe

C:\WINDOWS\system32\ymlzzh.exe

C:\WINDOWS\LastGood.Tmp\INF\oem7.inf

C:\WINDOWS\LastGood.Tmp\INF\oem7.PNF

 

Finished

[angelique]

il manque le rapport antivir et un nouveau rapport hijackthis ainsi que le rapport avg antispyware.

 

Il faut faire les explications dans l'ordre :

il n'y avait aucune raison que SDFix retrouve C:\WINDOWS\ipv7.exe alors que je t'avais demandé de le supprimer avant l'utilisation de SDFix en tout dernier.