PC=> Freeze + rapport HIJACKTHIS/ merci

Minkus · le 19 juillet 2007

Salut Chrifleur,

Quand tu reviendras sur le forum, si tu as encore la patience...

Mon PC n'a pas voulu booter tout à l'heure, il y avait une erreur ; ecran noir typo blanche : "votre ordinateur n'a pas pu demarrer normalement" etc..."Problème matériel ou autre "/c'était sur l'interface de demarrage avancé...J'ai donc "démarrer normalement" quand même !

Décidemment ! Est ce que ça pourrait être SDfix ? Il est toujours sur mon bureau ? => Je n'ai pas fait la manip que tu m'as décrite avant de fermer cette nuit.

Mais qu'est ce qui se passe ?

là, tout à l'air de fonctionner...Mias pour combien de temps ?

Merci pour tout, encore !

Il y a 52 (!) processus qui tournent...(c'est beaucoup ! non?)

Je te remets un autre rapport HJT, au cas où !

Logfile of HijackThis v1.99.1

Scan saved at 16:27:51, on 19/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\ZoneLabs\vsmon.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\PROGRA~1\ANTIVI~1\AVG7\avgamsvr.exe

D:\PROGRA~1\ANTIVI~1\AVG7\avgupsvc.exe

D:\WINDOWS\system32\drivers\CDAC11BA.EXE

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\Tablet.exe

D:\WINDOWS\system32\RunDll32.exe

D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

D:\PROGRA~1\ANTIVI~1\AVG7\avgcc.exe

D:\PROGRA~1\ANTIVI~1\AVG7\avgemc.exe

D:\Program Files\Logitech\VideoCam\LogiTray.exe

D:\WINDOWS\system32\RUNDLL32.EXE

D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

D:\Program Files\Logitech\iTouch\iTouch.exe

D:\PROGRA~1\Wanadoo\TaskbarIcon.exe

D:\PROGRA~1\Wanadoo\CnxMon.exe

D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

D:\PROGRA~1\MESSAG~1\Demon.exe

D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

D:\Program Files\Messenger\msmsgs.exe

D:\Program Files\Logitech\VideoCam\FxSvr2.exe

D:\Program Files\Logitech\MouseWare\system\em_exec.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\Tablette\TabUserW.exe

D:\Program Files\WinZip\WZQKPICK.EXE

D:\Program Files\OpenOffice.org 2.2\program\soffice.exe

D:\Program Files\Dicos\Les 4 Dictionnaires Utiles\MediaDICO4Ut.EXE

D:\Program Files\OpenOffice.org 2.2\program\soffice.BIN

D:\PROGRA~1\ANTIVI~1\AVG7\avgw.exe

D:\Program Files\Dicos\Les 4 Dictionnaires Utiles\Rac4Ut.EXE

D:\Program Files\Tools PC\hijackthis\HijackThis.exe

D:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - D:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - D:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\ANTIVI~1\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\ANTIVI~1\AVG7\avgemc.exe

O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\Logitech\VideoCam\LogiTray.exe

O4 - HKLM\..\Run: [LogitechGalleryRepair] D:\Program Files\Logitech\VideoCam\ISStart.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [WooCnxMon] D:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\Logitech\VideoCam\ISStart.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [Google Desktop Search] "D:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [Demon] D:\PROGRA~1\MESSAG~1\Demon.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NavRegReminder] "D:\WINDOWS\temp\NavBrowser.exe" /r /i "D:\WINDOWS\temp\NavLoad.ini"

O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MediaDICO4Ut] D:\Program Files\Dicos\Les 4 Dictionnaires Utiles\LanceMediaDICO4Ut.exe Lancement

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - Startup: OpenOffice.org 2.2.lnk = D:\Program Files\OpenOffice.org 2.2\program\quickstart.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Tablette.lnk = D:\Program Files\Tablette\TabUserW.exe

O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\ANTIVI~1\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\ANTIVI~1\AVG7\avgupsvc.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - D:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Voilà!

@+ , je reste en ligne !

chrifleur · le 19 juillet 2007

as ti vidé la quarantaine d'avg?

il n'y a pas de raison pour que SDFx ait causé ce problème..

j'analyse son rapport mais en attendant

télécharge GenProc de Lazzzy et Narco4 sur ton bureau

http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

Minkus · le 19 juillet 2007

Bonjour Chrifleur !!!

Toujours de l'aventure ??? Merci

Voici le rapoort Genproc qui n'en est pas un : J'imagine qu'il faut que je suive la procédure ...NON?

Rapport GenProc 0.62 - VERSION PROVISOIRE - [1] effectué le 19/07/2007 à 17:46:38,00 - SystemRoot = D:\WINDOWS

# Etape 1/ Télécharge :

- CCleaner http://www.ccleaner.com/download/downloadpage.aspx?f=2

Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.

***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.microsoft.com/technet/prodtechn...c.mspx?mfr=true (choisis ta session courante "X") *****

# Etape 2/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.

- Exécute l'option R.

- Si l'infection est détectée, exécute l'option N.

- Sauvegarde ce rapport sur ton bureau.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste :

- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/th.../HiJackThis.exe ;

- Le contenu du rapport MSNfix situé sur le Bureau ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

chrifleur · le 19 juillet 2007

oui et tu postes les rapports obtenus

Minkus · le 19 juillet 2007

J'espère que ce sera la bonne !

En exécutant msnfix, il n'a pas proposé "N", il n'a donc pas trouvé d'infection ?

Est ce que tout ces logs sont pas dangeureux pour ma sécurité ?

Ah! j'ai remplacé le nom de ma session WinXPSP2 car c'etait bêtement mon prénom ...

les rapports:

MSNfix

MSN_Fix 1.337

D:\Documents and Settings\utilisateur\Bureau\MSNFix

Fix exécuté le 19/07/2007 - 18:08:56,48 By utilisateur

mode sans échec

************************ Recherche les fichiers présents

... D:\WINDOWS\_default.pif

... D:\WINDOWS\SiSport.sys

************************ Recherche les dossiers présents

... D:\Temp\

************************ Suppression des fichiers

.. OK ... D:\WINDOWS\_default.pif

.. OK ... D:\WINDOWS\SiSport.sys

************************ Suppression des dossiers

.. OK ... D:\Temp\

************************ Nettoyage du registre

************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[D:\augustin_confessions.zip] 5C68EF4047A5C210F03EBA116C8E69FD

[D:\SpeedTouch330seriesR4.0.0.5.zip] E08D8063762FD7EE27E73511D3C5B04E

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 19072007_18092190.zip

Info ... Info .... Info .... Info .... Info .... Info

Le groupe "Casahack Security Team" propose une copie de MSNFix sous le nom de MSN_reg

Ce groupe n'est et n'a jamais été associé à MSNFix

l'outil diffusé sous l appellation MSN_reg par Net-Viper n est qu'une copie de MSNFix

Alerte diffusée le 14 juillet http://sosvirus.changelog.fr/Alerte_copieur.html

MSNFix ne dispose d'auncun site de téléchargement miroir

Seule la version téléchargée à partir de changelog.fr peut être estampillée officielle.

Info ... Info .... Info .... Info .... Info .... Info

------------------------------------------------------------------------

Auteur : !aur3n7 Contact: http://246694.aceboard.fr

------------------------------------------------------------------------

Commande ECHO d‚sactiv‚e.

--------------------------------------------- END ---------------------------------------------

Qu'est ce que c'est cette commande ECHO ???

rapport HJT:

Logfile of HijackThis v1.99.1

Scan saved at 18:17:33, on 19/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\ZoneLabs\vsmon.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\PROGRA~1\ANTIVI~1\AVG7\avgamsvr.exe

D:\PROGRA~1\ANTIVI~1\AVG7\avgupsvc.exe

D:\WINDOWS\system32\drivers\CDAC11BA.EXE

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\Tablet.exe

D:\WINDOWS\system32\RunDll32.exe

D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

D:\PROGRA~1\ANTIVI~1\AVG7\avgcc.exe

D:\PROGRA~1\ANTIVI~1\AVG7\avgemc.exe

D:\Program Files\Logitech\VideoCam\LogiTray.exe

D:\WINDOWS\system32\RUNDLL32.EXE

D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

D:\Program Files\Logitech\iTouch\iTouch.exe

D:\PROGRA~1\Wanadoo\TaskbarIcon.exe

D:\PROGRA~1\Wanadoo\CnxMon.exe

D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

D:\Program Files\Logitech\MouseWare\system\em_exec.exe

D:\PROGRA~1\MESSAG~1\Demon.exe

D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\Dicos\Les 4 Dictionnaires Utiles\MediaDICO4Ut.EXE

D:\Program Files\Dicos\Les 4 Dictionnaires Utiles\Rac4Ut.EXE

D:\Program Files\Tablette\TabUserW.exe

D:\Program Files\WinZip\WZQKPICK.EXE

D:\Program Files\Logitech\VideoCam\FxSvr2.exe

D:\Program Files\OpenOffice.org 2.2\program\soffice.exe

D:\Program Files\OpenOffice.org 2.2\program\soffice.BIN

D:\WINDOWS\system32\wuauclt.exe

D:\Program Files\Tools PC\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers

communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - D:\Program Files\PDFCreator

Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - D:\Program Files\PDFCreator