Problème au démarrage [RESOLU]

[tiamat69fr]

C'est mieux

 

Je te colle le log ici, il n'est pas très gros (en plus, pear pourra aussi y jeter un oeil ) :

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\Accessibility_Options]

"IconIndex"=dword:0000006e

"Info"="Personnalise les fonctions d'accessibilité de votre ordinateur."

"Module"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\

5c,61,63,63,65,73,73,2e,63,70,6c,00

"Name"="Options d'accessibilité"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\Add-Remove_Programs]

"IconIndex"=dword:000005dc

"Info"="Installe et supprime les programmes et les composants Windows."

"Module"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\

5c,61,70,70,77,69,7a,2e,63,70,6c,00

"Name"="Ajout/Suppression de programmes"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\Date-Time]

"IconIndex"=dword:000000c8

"Info"="Modifie l'heure, la date et les informations de fuseau horaire."

"Module"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\

5c,74,69,6d,65,64,61,74,65,2e,63,70,6c,00

"Name"="Date/Heure"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\Dialing_Options]

"IconIndex"=dword:00000064

"Info"="Configure les paramètres de numérotation téléphonique de votre zone géographique."

"Module"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\

5c,74,65,6c,65,70,68,6f,6e,2e,63,70,6c,00

"Name"="Options de numérotation"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\Display_Properties]

"IconIndex"=dword:00000064

"Info"="Personnalise l'affichage de votre Bureau et de l'écran de veille."

"Module"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\

5c,64,65,73,6b,2e,63,70,6c,00

"Name"="Affichage"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\Internet_Options]

"IconIndex"=dword:00001187

"Info"="Configure votre affichage Internet et les paramètres de connexion."

"Module"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\

5c,69,6e,65,74,63,70,6c,2e,63,70,6c,00

"Name"="Options Internet"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\Printers]

"IconIndex"=dword:0000012c

"Info"="Ajoute, supprime et change les paramètres pour l'imprimante."

"Module"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\

5c,6d,61,69,6e,2e,63,70,6c,00

"Name"="Imprimantes et télécopieurs"

@="{2227A280-3AEA-1069-A2DE-08002B30309D}"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{0DF44EAA-FF21-4412-828E-260A8728E7F1}]

@="Taskbar and Start Menu"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}]

@="Folder Options"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{7007ACC7-3202-11D1-AAD2-00805FC1270E}]

@="Connexions réseau"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{785784CF-5C16-44D8-AB94-ABF876FB1D2E}]

@="Microsoft Malware Protection Software explorers"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{C3113E55-7BCB-4de3-8EBF-60E6CE6B2097}]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{D20EA4E1-3957-11d2-A40B-0C5020524152}]

@="Polices"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{D20EA4E1-3957-11d2-A40B-0C5020524153}]

@="Outils d'administration"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}]

@="Tâches planifiées"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{E211B736-43FD-11D1-9EFB-0000F8757FCD}]

@="&Scanneurs et appareils photo"

 

A++

[regis56]

SAlut !

 

@ tiamat69fr

Merci pour le rapport !

 

Cette clsid n'a pas l'air connue ni sur google ni sur CC :

C3113E55-7BCB-4de3-8EBF-60E6CE6B2097

 

@ Pear quand dis tu ?

 

Faire sauter cette clée ?

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{C3113E55-7BCB-4de3-8EBF-60E6CE6B2097}]

 

Je vais tenter de faire quelques tests sur VM plus tard dans la soirée sinon

 

A plus.

[tiamat69fr]

Ok, j'attends ta (vos) réponse(s).

Je verrai demain matin car je dois couper.

 

A+

[regis56]

RE

 

Le test sur VM à l'air probant.

 

@ tiamat69fr tu peut attendre l'avis de pear (qui est un expert de la base de registre) si tu le souhaite.

 

sinon fais ceci stp :

 

On va créer un outil pour modifier la base de registre pour éliminer les traces d'infections !

 

1/Faire une sauvegarde du registre

Cliquer sur démarrer/executer

Taper ou copier/coller :

regedit /e Sav.reg

Cliquer sur Ok

Le fichier de sauvegarde se trouve ici

C:\Documents and Settings\Le nom de ta session\Sav.reg

 

2/ Créer un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

---code---

REGEDIT4

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{C3113E55-7BCB-4de3-8EBF-60E6CE6B2097}]

 

---code---

 

-Enregistre ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc

 

Sur le bureau tu dois avoir ce remove.

 

- Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.

 

Dis nous si ca à marché

 

- Elimine le fichier remove.reg seulement si ca à marché.

 

A plus.

[pear]

Bonjour Tiamat69r, Regis56,

 

 

Eh bien, Tiamat69r,vous aviez mis le doigt dessus.

"j'ai surligné la clé qui me "poserait problème" (pas de valeur définie)."

 

Après avoir suivi Regis56, le problème devrait être réglé, non ?

[tiamat69fr]

Bonjour Tiamat69r, Regis56,

Eh bien, Tiamat69r,vous aviez mis le doigt dessus.

"j'ai surligné la clé qui me "poserait problème" (pas de valeur définie)."

 

Après avoir suivi Regis56, le problème devrait être réglé, non ?

 

Effectivement, le "répertoire" a disparu après la manip de Regis56.

 

Merci beaucoup, les gars.

Je vais refaire plus reboot, et attendre demain matin. Si tout est toujours OK, je signalerai le sujet comme clos.

 

PS : pour info, Régis, ça pourrait éventuellement me servir : c'est quoi les CC et VM dont tu parles sur ton message d'hier à 21h13 ?

Modifié le 11 juillet 2007 par tiamat69fr

[regis56]

SAlut !

 

Désolé je parlait à pear et du coup j'ai utilisé des abréviations

 

CC pour un site de sécurité => Castlecop

Vm pour virtual machine => permet de tester en toute sécurité des manip/outils/programmes

 

Tiens nous au courant à plus.

[tiamat69fr]

Salut,

 

Alors, niveau arret et démarrage du pc, pas de soucis.

Niveau du "répertoire" dans le panneau de config, pas de ré-apparition.

MAIS, car mais il y a (c'eut été trop beau !!!), je suis aller voir dans les processus, ce matin, après démarrage du pc, et un process qu'il n'y avait pas avant est apparu : netfxupdate.exe.

J'ai fait quelques recherches sur le net, mais apparemment, ce process n'est pas trop connu. Il viendrait de microsoft, mais certains parle d'un trojan.

 

Vous avez des infos, sur ça ?

Je dois le laisser car légitime, ou bien nettoyer ?

 

A+

[regis56]

SAlut !

 

Ok c'est tout simple quand tu as un doute sur un fichier fait le analyser :

 

D'abord le chercher :

 

-Vérifier d'avoir accès à tous les fichiers :

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

Utiliser la fonction rechercher via "démarrer/rechercher/des fichiers ou des dossiers"(si problème voir ici http://www.hiboox.com/image.php?img=go6nc45.jpg )

Si problème encore faire ceci pour permettre d'effectuer la recherche dans les dossiers et fichiers cachés

* cliquer ici http://www.davehigham.zen.co.uk/downloads/xphidden.zip pour télécharger xphidden.zip.

* cliquer xphidden.zip et extraire xphidden.reg de l'archive vers le bureau.

* double-cliquer xphidden.reg, et quand demandé, autoriser la modification du registre.

Rechercher surement dans C:\WINDOWS\System32\ ou C:\WINDOWS\System\ le(s) fichier(s) en gras suivant(s) si présent(s):

netfxupdate.exe

 

Repère le chemin du fichier pour la suite !

 

Rends-toi sur :

www.virustotal.com/flash/index_en.html

- Cliquez sur "Distribute" une fois pour obtenir un trait rouge barrant l'icône :

- Cliquez ensuite sur le bouton "Parcourir..." pour récupérer le fichier à scanner.

 

- Pour finir, cliquez sur "Send" pour faire analyser votre fichier.

- Copie-colle le rapport dans une réponse.

 

A plus.

[tiamat69fr]

Ok

 

Donc, recherche faite sur le nom de fichier "*netfxupdate*.*", trois résultats :

 

1) NETFXUPDATE.EXE-1BB060FE.pf, 7Ko, date : 11/07/2007 (sous le répertoire : C:\WINDOWS\Prefetch)

2) NetFxUpdate_v1.1.4322.log, 14Ko, date 12/07/2007 (sous le répertoire : C:\WINDOWS\Temp)

3) netfxupdate.exe, 72Ko, date : 15/01/2007 (sous le répertoire : C\WINDOWS\Microsoft.NET\Framework\v1.1.4322)

 

Une idée ?

 

A+

 

EDIT : le lien que tu m'as filé pour faire analyser le fichier ne marche pas

Modifié le 13 juillet 2007 par tiamat69fr