Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

pb avec explorer.exe

tuff2

Par tuff2
dans Sécurisation, prévention

 Partager

Messages recommandés

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e) (modifié)

Bonjour a tous,

 

JANGO-FEET, j'avais vu cette ligne mais j'aimerai faire quelques petites vérifications avant.

 

Menu Demarrer/executer/ et tape : notepad

 

Copie ce qui est en citation sans le mot citation :

cd %systemdrive%\

If not exist lsafiles MkDir lsafiles

regedit /a /e lsafiles\1.txt HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces\Tcpip_{82CDF756-8C8A-4FA8-BEFA-B24EAC67CCFE}

regedit /a /e lsafiles\2.txt HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{82CDF756-8C8A-4FA8-BEFA-B24EAC67CCFE}

regedit /a /e lsafiles\3.txt HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NetBT\Parameters\Interfaces\Tcpip_{82CDF756-8C8A-4FA8-BEFA-B24EAC67CCFE}

regedit /a /e lsafiles\4.txt HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{82CDF756-8C8A-4FA8-BEFA-B24EAC67CCFE}

Copy lsafiles\*.txt = %systemdrive%\lsa.txt

rmdir /s /q lsafiles

Notepad %systemdrive%\lsa.txt

del /q %systemdrive%\lsa.txt

 

-Enregistrez ce fichier dans : Bureau

-Nom du fichier : search.bat

-Type du fichier : tous les fichiers

-cliquez sur Enregistrer

-quittez le Bloc Notes.

 

Lance le fichier search.bat qui se trouve sur ton bureau, une fenetre noir va apparaitre, laisse faire. A la fin le bloc-notes s'ouvrira fait un copié/collé de tous son contenu.

 

@+

Modifié par bruce lee

tuff2 Member

tuff2

Posté(e)
  • Auteur
Posté(e)

Bonjour à tous,

 

Je te poste ce que tu m'as demandé Bruce Lee :

 

 

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces\Tcpip_{82CDF756-8C8A-4FA8-BEFA-B24EAC67CCFE}]

"NameServerList"=hex(7):00,00

"RASFlags"=dword:00000001

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{82CDF756-8C8A-4FA8-BEFA-B24EAC67CCFE}]

"UseZeroBroadcast"=dword:00000000

"EnableDHCP"=dword:00000000

"IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00

"SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00

"DefaultGateway"=hex(7):00

"EnableDeadGWDetect"=dword:00000001

"DontAddDefaultGateway"=dword:00000000

"RegisterAdapterName"=dword:00000000

"RegistrationEnabled"=dword:00000000

"DhcpIPAddress"="0.0.0.0"

"DhcpSubnetMask"="0.0.0.0"

"Domain"=""

"NameServer"=""

"DhcpNameServer"="85.255.116.41,85.255.112.125"

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NetBT\Parameters\Interfaces\Tcpip_{82CDF756-8C8A-4FA8-BEFA-B24EAC67CCFE}]

"NameServerList"=hex(7):00,00

"RASFlags"=dword:00000001

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{82CDF756-8C8A-4FA8-BEFA-B24EAC67CCFE}]

"UseZeroBroadcast"=dword:00000000

"EnableDHCP"=dword:00000000

"IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00

"SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00

"DefaultGateway"=hex(7):00

"EnableDeadGWDetect"=dword:00000001

"DontAddDefaultGateway"=dword:00000000

"RegisterAdapterName"=dword:00000000

"RegistrationEnabled"=dword:00000000

"DhcpIPAddress"="0.0.0.0"

"DhcpSubnetMask"="0.0.0.0"

"Domain"=""

"NameServer"=""

"DhcpNameServer"="85.255.116.41,85.255.112.125"

 

 

 

Merci

tuff2 Member

tuff2

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Donc j'ai fais ce que tu m'as demandé et je te poste le rapport :

 

 

REGEDIT4

 

; Registry Search by Bobbi Flekman © 2005

; Version: 1.0.2.4

 

; Results at 24/04/2007 17:09:59 for strings:

; '85.255.116.41'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{82CDF756-8C8A-4FA8-BEFA-B24EAC67CCFE}]

"DhcpNameServer"="85.255.116.41,85.255.112.125"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{AAAF551F-A102-425D-A6DE-E0F269CAAFB1}]

"DhcpNameServer"="85.255.116.41,85.255.112.125"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{F325BC6F-F902-44D7-ADC7-4ACEFE3C3A72}]

"DhcpNameServer"="85.255.116.41,85.255.112.125"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{82CDF756-8C8A-4FA8-BEFA-B24EAC67CCFE}]

"DhcpNameServer"="85.255.116.41,85.255.112.125"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{AAAF551F-A102-425D-A6DE-E0F269CAAFB1}]

"DhcpNameServer"="85.255.116.41,85.255.112.125"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{F325BC6F-F902-44D7-ADC7-4ACEFE3C3A72}]

"DhcpNameServer"="85.255.116.41,85.255.112.125"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{82CDF756-8C8A-4FA8-BEFA-B24EAC67CCFE}]

"DhcpNameServer"="85.255.116.41,85.255.112.125"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{AAAF551F-A102-425D-A6DE-E0F269CAAFB1}]

"DhcpNameServer"="85.255.116.41,85.255.112.125"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F325BC6F-F902-44D7-ADC7-4ACEFE3C3A72}]

"DhcpNameServer"="85.255.116.41,85.255.112.125"

 

; End Of The Log...

 

 

 

 

Tu crois que nous arriverons à bout du problème ^^ ?

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e) (modifié)

Bonjour tuff2,

 

Tu crois que nous arriverons à bout du problème ^^ ?

 

Oui :P

 

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

 

Télécharge le FixWareout sur le bureau:

 

http://downloads.subratam.org/Fixwareout.exe

http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

Quand ton système aura redémarré, suis les invites des messages.

 

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

 

Au final, poste le contenu de C:\fixwareout\report.txt

Modifié par bruce lee
tuff2 Member

tuff2

Posté(e)
  • Auteur
Posté(e)

Re,

 

Donc voici le poste de fixwareout qie tu m'as demandé :

 

 

 

Fixwareout Last edited 2/11/2007

Post this report in the forums please

...

»»»»»Prerun check

 

»»»»» System restarted

 

»»»»» Postrun check

HKLM\SOFTWARE\~\Winlogon\ "system"=""

....

....

»»»»» Misc files.

....

»»»»» Checking for older varients.

....

 

Search five digit cs, dm, kd, jb, other, files.

The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.

 

 

 

Click browse, find the file then click submit.

http://www.virustotal.com/flash/index_en.html

Or http://virusscan.jotti.org/

 

»»»»» Other

 

 

 

»»»»» Current runs

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Wireless Console 2"="C:\\Program Files\\Wireless Console 2\\wcourier.exe"

"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"

"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_11\\bin\\jusched.exe\""

"SSBkgdUpdate"="\"C:\\Program Files\\Fichiers communs\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"

"SpySweeper"="\"C:\\Program Files\\Webroot\\Spy Sweeper\\SpySweeper.exe\" /startintray"

"SetDefPrt"="C:\\Program Files\\Brother\\Brmfl05a\\BrStDvPt.exe"

"RTHDCPL"="RTHDCPL.EXE"

"rfagent"="\"C:\\Program Files\\RFA\\rfagent.exe\""

"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe"

"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"

"Power_Gear"="C:\\Program Files\\ASUS\\Power4 Gear\\BatteryLife.exe 1"

"PowerForPhone"="C:\\Program Files\\ASUS\\PowerForPhone\\PowerForPhone.exe"

"PaperPort PTD"="C:\\Program Files\\ScanSoft\\PaperPort\\pptd40nt.exe"

"nwiz"="nwiz.exe /install"

"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""

"IndexSearch"="C:\\Program Files\\ScanSoft\\PaperPort\\IndexSearch.exe"

"HControl"="C:\\WINDOWS\\ATK0100\\HControl.exe"

"gcasServ"="\"C:\\Program Files\\Microsoft AntiSpyware\\gcasServ.exe\""

"ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"

"dragonsayenprocessus"="C:\\Documents and Settings\\David Chotard\\Mes documents\\Mes fichiers reçus\\Dragonsayenprocessus.exe"

"ControlCenter2.0"="C:\\Program Files\\Brother\\ControlCenter2\\brctrcen.exe /autorun"

"avast!"="C:\\PROGRA~1\\Avast4\\ashDisp.exe"

"ATKMEDIA"="C:\\Program Files\\ASUS\\ATK Media\\DMEDIA.EXE"

"ASUS Live Update"="C:\\Program Files\\ASUS\\ASUS Live Update\\ALU.exe"

"ACU"="\"C:\\Program Files\\Atheros\\ACU.exe\" -nogui"

"ACMON"="C:\\Program Files\\ASUS\\Splendid\\ACMON.exe"

"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

"Creative Detector"="C:\\Program Files\\Creative\\MediaSource\\Detector\\CTDetect.exe /R"

"Uniblue Registry Booster2"="C:\\Program Files\\Uniblue\\RegistryBooster2\\RegistryBooster.exe /S"

....

Hosts file was reset, If you use a custom hosts file please replace it

»»»»» End report »»»»»

 

 

Merci pour ton aide, et les autres aussi...

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e)

bonjour,

 

Lance AVG AS puis clique sur Mise à jour

Ferme le programme.

 

1/ ouvre le Bloc-notes (Démarrer\Tous les programmes\Accessoires\Bloc-notes)

 

2/ copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{82CDF756-8C8A-4FA8-BEFA-B24EAC67CCFE}]

"DhcpNameServer"=-

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{AAAF551F-A102-425D-A6DE-E0F269CAAFB1}]

"DhcpNameServer"=-

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{F325BC6F-F902-44D7-ADC7-4ACEFE3C3A72}]

"DhcpNameServer"=-

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{82CDF756-8C8A-4FA8-BEFA-B24EAC67CCFE}]

"DhcpNameServer"=-

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{AAAF551F-A102-425D-A6DE-E0F269CAAFB1}]

"DhcpNameServer"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{F325BC6F-F902-44D7-ADC7-4ACEFE3C3A72}]

"DhcpNameServer"=-

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{82CDF756-8C8A-4FA8-BEFA-B24EAC67CCFE}]

"DhcpNameServer"=-

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{AAAF551F-A102-425D-A6DE-E0F269CAAFB1}]

"DhcpNameServer"=-

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F325BC6F-F902-44D7-ADC7-4ACEFE3C3A72}]

"DhcpNameServer"=-

 

-Enregistrez ce fichier reg dans : Bureau

-Nom du fichier : fixme.reg

-Type du fichier : tous les fichiers

-cliquez sur Enregistrer

-quittez le Bloc Notes

 

 

3/ demarre en mode sans echec

 

 

4/Lance hijackthis en cliquant sur do a scan system only et coche cette ligne:

 

O4 - Global Startup: explorer.lnk = C:\WINDOWS\explorer.exe

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

5/Utilisation du fichier: fixme.reg précedemment créé

- double clique sur le fichier (Bureau) / Accepte l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valide le message disant que la fusion est terminée.

 

 

6/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

7/redemarre en mode normal et reposte un nouveau log hijackthis et le rapport de AVG Anti Spyware.

 

8/ réexecute reg search avec comme recherche : 85.255.116.41 puis poste le rapport a la fin du scan.

tuff2 Member

tuff2

Posté(e)
  • Auteur
Posté(e)

Bonjour Bruce lee,

 

J'ai suivi tes indications, dont voici les rapports:

 

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 17:39:10 25/04/2007

 

+ Résultat de l'analyse:

 

 

 

C:\Documents and Settings\David Chotard\Cookies\david_chotard@aolfr.122.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.

C:\Documents and Settings\David Chotard\Cookies\david_chotard@metacafe.122.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.

C:\Documents and Settings\David Chotard\Cookies\david_chotard@adbrite[2].txt -> TrackingCookie.Adbrite : Aucune action entreprise.

C:\Documents and Settings\David Chotard\Cookies\david_chotard@adtech[2].txt -> TrackingCookie.Adtech : Aucune action entreprise.

C:\Documents and Settings\David Chotard\Cookies\david_chotard@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Aucune action entreprise.

C:\Documents and Settings\David Chotard\Cookies\david_chotard@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.

C:\Documents and Settings\David Chotard\Cookies\david_chotard@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Aucune action entreprise.

C:\Documents and Settings\David Chotard\Cookies\david_chotard@questionmarket[2].txt -> TrackingCookie.Questionmarket : Aucune action entreprise.

C:\Documents and Settings\David Chotard\Cookies\david_chotard@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.

C:\Documents and Settings\David Chotard\Cookies\david_chotard@serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.

C:\Documents and Settings\David Chotard\Cookies\david_chotard@specificclick[2].txt -> TrackingCookie.Specificclick : Aucune action entreprise.

C:\Documents and Settings\David Chotard\Cookies\david_chotard@tacoda[1].txt -> TrackingCookie.Tacoda : Aucune action entreprise.

C:\Documents and Settings\David Chotard\Cookies\david_chotard@weborama[1].txt -> TrackingCookie.Weborama : Aucune action entreprise.

C:\Documents and Settings\David Chotard\Cookies\david_chotard@m.webtrends[1].txt -> TrackingCookie.Webtrends : Aucune action entreprise.

 

 

Fin du rapport

 

 

 

 

REGEDIT4

 

; Registry Search by Bobbi Flekman © 2005

; Version: 1.0.2.4

 

; Results at 25/04/2007 18:12:38 for strings:

; '85.255.116.41'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

; End Of The Log...

 

 

 

Merci de ton aide

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...