[Vista] Redémarrage intempestif de l'explorateur windos [RESOLU]

[Lertsenem]

Bonjour à tous.

 

Comme l'indique le titre du sujet, j'ai affaire à un problème qui est apparu récemment avec Windows Vista : l'explorateur windows plante et redémarre quelque minutes après l'avoir ouvert, typiquement pendant ou juste après la copie d'un fichier.

Après quelques recherches, ce serait peut-être dû à une infection... seulement mon antivirus (AVG Free 7.5.484, mis à jour) ne détecte rien, pas plus que le BitDefender de Windows.

Comme je ne m'y connaît pas trop, j'aimerais avoir votre avis, vos explications et votre aide :]

 

Mon système :

Processor : Intel® Core2 CPU T7200 @ 2.00GHz

Operating System : Windows Vista HomePremium

Windows version : 6.0

Build Number : 6000

 

J'ai également exécuté SmitfraudFix sur les conseils de cette page. Cependant, je n'ai pas exactement compris à quoi servait ce logiciel (une explication, quelqu'un?)

Voilà le rapport qui m'a été renvoyé (Si là aussi on pouvait m'expliquer ce qu'il signifie...) :

 

SmitFraudFix v2.195

 

Rapport fait à 22:04:16,19, 18/08/2007

Executé à partir de C:\Users\Niels_2\Downloads\Firefox\SmitfraudFix

OS: Microsoft Windows [version 6.0.6000] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\Windows\system32\csrss.exe

C:\Windows\system32\wininit.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe

C:\Windows\SYSTEM32\WISPTIS.EXE

C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe

C:\Windows\SYSTEM32\WISPTIS.EXE

C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe

C:\Windows\system32\Dwm.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre1.6.0\bin\jusched.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe

C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe

C:\Program Files\Dell\MediaDirect\PCMService.exe

C:\Program Files\Grisoft\AVG7\avgcc.exe

C:\Program Files\FlashGet\flashget.exe

C:\Program Files\DellSupport\DSAgnt.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\Program Files\Dell\QuickSet\quickset.exe

C:\Windows\System32\rundll32.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\dlcfcoms.exe

C:\Windows\system32\lxblcoms.exe

C:\Windows\system32\svchost.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

c:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\Tablet.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\SearchIndexer.exe

C:\Windows\system32\DRIVERS\xaudio.exe

C:\Windows\system32\WTablet\TabUserW.exe

C:\Windows\system32\Tablet.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe

C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Program Files\Grisoft\AVG7\avgwb.dat

\\?\C:\Windows\system32\wbem\WMIADAP.EXE

C:\Windows\system32\wbem\wmiprvse.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\SearchProtocolHost.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Windows\system32\cmd.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» \

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

 

C:\Windows\system32\sysmain.dll PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Niels

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Niels\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Niels\FAVORI~1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

"LoadAppInit_DLLs"=dword:00000001

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6ABD0E31-FF57-496C-9A1D-212DFBE424A8}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9D74ED0E-CD0E-4203-AC71-8A0E43349310}: NameServer=212.27.54.252,212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{6ABD0E31-FF57-496C-9A1D-212DFBE424A8}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{9D74ED0E-CD0E-4203-AC71-8A0E43349310}: NameServer=212.27.54.252,212.27.53.252

HKLM\SYSTEM\CS2\Services\Tcpip\..\{6ABD0E31-FF57-496C-9A1D-212DFBE424A8}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{9D74ED0E-CD0E-4203-AC71-8A0E43349310}: NameServer=212.27.54.252,212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Merci d'avance pour votre aide rapide et efficace

Modifié le 28 août 2007 par Lertsenem

[Gof]

Bonsoir Lertsenem

 

Messages: 1

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

Smitfraudfix n'est pas compatible Vista, il ne faut pas l'utiliser sous ce système, il risque de supprimer des fichiers sains (sous vista) qui ne le sont pas sous XP. Donc, supprime smitfraudfix (le répertoire dans lequel tu l'as décompressé, et le ZIP téléchargé).

 

Je ne suis pas à l'aise sous Vista pour les désinfections, je n'ai pas ce système, je le connais peu, et beaucoup d'outils ne fonctionnent pas avec. Néanmoins, on va fouiller un peu voir si on peut trouver quelque chose du côté infectieux. Si l'on ne trouve rien, il te faudra t'orienter sur une autre partie du forum pour régler ton souci.

 

Télécharge HijackThis sur ton bureau.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  
• Poste le rapport généré sur le forum.
  

[Lertsenem]

Merci Gof pour ton aide.

J'ai supprimé SmitfraudFix et téléchargé HijackThis.

 

Le rapport obtenu a été fait avec un compte administrateur:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:37:18, on 19/08/2007

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\SYSTEM32\WISPTIS.EXE

C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre1.6.0\bin\jusched.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe

C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe

C:\Program Files\Dell\MediaDirect\PCMService.exe

C:\Program Files\Grisoft\AVG7\avgcc.exe

C:\Program Files\DellSupport\DSAgnt.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\Program Files\Dell\QuickSet\quickset.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Windows\system32\WTablet\TabUserW.exe

C:\Program Files\Grisoft\AVG7\avgw.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe

C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Users\Niels_2\Downloads\Firefox\HiJackThis\HijackThis.exe

C:\Windows\system32\NOTEPAD.EXE

C:\Windows\Explorer.EXE

C:\Windows\system32\SearchFilterHost.exe

C:\Users\Niels_2\Desktop\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fourni par Dell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program Files\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "c:\Program Files\Java\jre1.6.0\bin\jusched.exe"

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe"

O4 - HKLM\..\Run: [ECenter] c:\dell\E-Center\EULALauncher.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [FlashGet] "C:\Program Files\FlashGet\FlashGet.exe" /min

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [DellSupport] "C:\Program Files\DellSupport\DSAgnt.exe" /startup

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-21-1833828432-3781600289-1015629323-1001\..\Run: [DellSupport] "C:\Program Files\DellSupport\DSAgnt.exe" /startup (User 'Niels_2')

O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = ?

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: QuickSet.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O13 - Gopher Prefix:

O17 - HKLM\System\CCS\Services\Tcpip\..\{9D74ED0E-CD0E-4203-AC71-8A0E43349310}: NameServer = 212.27.54.252,212.27.53.252

O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: dlcf_device - - C:\Windows\system32\dlcfcoms.exe

O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: lxbl_device - - C:\Windows\system32\lxblcoms.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\Windows\system32\Tablet.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 9461 bytes

 

 

Si au passage tu pouvais m'expliquer (ou me renvoyer vers une page) ce que font SmitfraudFix et HijackThis, ce serait parfait

[Gof]

Bonjour Lertsenem

 

Si au passage tu pouvais m'expliquer (ou me renvoyer vers une page) ce que font SmitfraudFix et HijackThis, ce serait parfait

-> Hijackthis :

• Tuto Bleeping Computer : la référence.
  
• Tutorial d'interprétation des listes d'HijackThis (sur Zebulon)
  
• Formation à l'analyse de rapports HijackThis (sur Zebulon)
  
• Tutorial et Guide HijackThis de Malekal morte.
  

-> Smitfraudfix :

• Tutorial par S!Ri (l'auteur de l'outil).
  

Rien d'inquiétant à première vue dans ton rapport. Ton souci n'est peut-être pas d'origine infectieuse.

 

Fais un scan en ligne avec Panda (Totalscan).

Et poste le rapport qu'il t'affichera à la fin :

• pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici.
  
• Si tu n'y arrives pas, tu trouveras un tuto ici
  
• Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : adresse jetable
  Je t'invite à bien lire le tuto pour comprendre comment sauvegarder le rapport et le poster dans ta prochaine réponse. Le tuto porte sur une version légèrement différente du scan, il est possible que cela diffère quelque peu.
  

[Lertsenem]

Bonsoir,

merci encore de prendre le temps de t'occuper de mon cas Gof.

 

Merci pour les liens que tu m'as fourni, je comprend un peu mieux comment ça fonctionne.

 

Rien d'inquiétant à première vue dans ton rapport. Ton souci n'est peut-être pas d'origine infectieuse.

Ca, c'est une bonne nouvelle! Ca ne résoudra pas mon problème, mais un souci technique est plus rassurant qu'un virus .

 

Voici le rapport que m'affiche Panda TotalScan:

 

;***************************************************************************************************************

ANALYSIS: 2007-08-19 20:39:45

PROTECTIONS: 1

MALWARE: 1

SUSPECTS: 0

;***************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;=======================================================================================

AVG 7.5.484 7.5.484 Yes Yes

;=======================================================================================

Id Description Type Active Severity Disinfectable Disinfected Location

;=======================================================================================

00139535 Application/Processor HackTools No 0 Yes No C:\Windows\System32\Process.exe

;=======================================================================================

SUSPECTS

Location

;=======================================================================================

;=======================================================================================

 

Apparemment, j'aurais donc un spyware du nom de Process.exe sur mon ordinateur... Cependant, il me semble qu'à l'utilisation de SmitfraudFix on m'a averti que ce programme était une fausse alerte. Est-ce que c'est bien de cela qu'il s'agit?

 

Autre question : tout au long des tutoriels HijackThis on m'explique qu'il teste les pages de démarrage (les onglets, etc...) d'Internet Explorer. Je suppose que ça fonctionne en fait pour le navigateur web par défaut, non? Si ce n'est pas le cas, étant donné que j'utilise Firefox... que faire?

[Gof]

Bonjour Lertsenem

 

Me revoila.

 

Apparemment, j'aurais donc un spyware du nom de Process.exe sur mon ordinateur... Cependant, il me semble qu'à l'utilisation de SmitfraudFix on m'a averti que ce programme était une fausse alerte. Est-ce que c'est bien de cela qu'il s'agit?

Oui, c'est bien de cela qu'il s'agit.

 

Autre question : tout au long des tutoriels HijackThis on m'explique qu'il teste les pages de démarrage (les onglets, etc...) d'Internet Explorer. Je suppose que ça fonctionne en fait pour le navigateur web par défaut, non? Si ce n'est pas le cas, étant donné que j'utilise Firefox... que faire?

Il liste en effet quelques entrées liées à Internet Explorer (R0, R1, R2, R3, etc.), mais il ne fait pas que ça. Concernant les autres navigateurs, il listera aussi, sous une entrée différente les entrées malveillantes (par exemple les urls des pages de démarrage/de recherche de Netscape/Mozilla qui apparaitront en N1, N2, N3, N4 lorsqu'elles sont malveillantes).

 

Indépendamment de tout ça :

• FlashGet. Je te conseille de t'en débarasser, c'est un pourvoyeur de malwares. Je te conseille Free Download Manager (gratuit) qui lui est sain sans ambigüités (à vérifier s'il est compatible vista).
  

Oups ! Un processus révélé par le rapport Smitfraudfix en option 1 m'avait échappé, et je ne le vois plus sous HijackThis. S'il est présent, il est surprenant que aucun outil ne l'ait révélé. Je vais te demander d'exécuter un petit batch qui va rechercher certains fichiers automatiquement dans tes répertoires système. Comme je te l'avais annoncé, je ne suis pas très à l'aise avec Vista, le batch de recherche ne fonctionnera peut-être pas, merci de me l'indiquer en ce cas.

 

Télécharge Lertsenem.bat sur ton bureau.

• Si le téléchargement ne se lance pas en cliquant sur le lien, fais un clic-droit puis enregistrer sous et sauvegarde le sur le bureau.
  
• Double-clique sur le fichier pour l'exécuter. Il est possible que sous vista il soit nécessaire de l'exécuter sous des droits administrateurs (?).
  
• Une fenêtre cmd va s'ouvrir et va travailler.
  
• Cela peut prendre un certain temps, sois patient. Si cela a fonctionné, un rapport s'ouvrira automatiquement, poste le à la suite.
  

A bientôt.

[Lertsenem]

Re-bonjour.

 

Voici le rapport fourni par le .bat que tu m'a donné (exécuté en mode administrateur):

 

Effectué le 24/08/2007 à 10:13:34,45.

Le volume dans le lecteur C s'appelle OS

Le numéro de série du volume est 2E16-F3F2

Le volume dans le lecteur C s'appelle OS

Le numéro de série du volume est 2E16-F3F2

Le volume dans le lecteur C s'appelle OS

Le numéro de série du volume est 2E16-F3F2

 

Répertoire de C:\Windows\System32

 

02/11/2006 11:44 68 608 conime.exe

1 fichier(s) 68 608 octets

 

Répertoire de C:\Windows\winsxs\x86_microsoft-windows-consoleime_31bf3856ad364e35_6.0.6000.16386_none_b403c7645ad02a2c

 

02/11/2006 11:44 68 608 conime.exe

1 fichier(s) 68 608 octets

Le volume dans le lecteur C s'appelle OS

Le numéro de série du volume est 2E16-F3F2

Le volume dans le lecteur C s'appelle OS

Le numéro de série du volume est 2E16-F3F2

Le volume dans le lecteur C s'appelle OS

Le numéro de série du volume est 2E16-F3F2

 

J'ai interprété le (?) comme une question, donc je répond. Tant pis si je me trompe .

Sous Vista, certains programmes nécessitent des droits d'administrateur pour être exécutés (typiquement : les programme d'installation) et d'autres non. Cependant, ces derniers peuvent être exécuté avec des droits d'administrateur (auquel cas il faut rentrer le mot de passe et ainsi de suite), ce qui est parfois nécessaire à leur fonctionnement. Par exemple, l'invite de commande de Windows peut tout à fait être lancée par un utilisateur normal. Par contre, pour utiliser dans cette console la commande "netstat -b" (qui relie les connexions existantes avec les applications en cours) on doit bénéficier de droit d'administrateur (je n'ai aucune idée de pourquoi par contre).

 

Maintenant, à ton tour de m'expliquer :

 

Puis-je supprimer Process.exe, où est ce que ça peut encore m'être utile?

Quel est le problème avec FlashGet? Parce que c'est dommage, mais il s'intégrait bien à Firefox. Cela dit, Free Download Manager reprend la même interface, je ne serai donc pas dépaysé :].

 

Merci beaucoup .

[Gof]

Bonsoir Lertsenem

 

Tu peux supprimer le batch. J'ai pu vérifier ce que je souhaitais, rien d'inquiétant

 

Puis-je supprimer Process.exe

Oui, en même temps que Smitfraudifx (répertoire et Zip).

 

Quel est le problème avec FlashGet?

Je t'invite à consulter cette page de Spybot et cette page d'Assiste où tu le trouveras dans la liste.

 

Bon, tout me semble propre. Je vais juste te demander une dernière analyse, en ligne, afin de le confirmer.

 

Exécute une analyse en ligne sur ce lien Panda (compatible Vista) et communique moi le rapport généré. Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

 

A bientôt.

[Lertsenem]

Voici le rapport délivré par Panda :

 

;***********************************************************************************************************************************************************************************

ANALYSIS: 2007-08-25 20:36:15

PROTECTIONS: 1

MALWARE: 1

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

AVG 7.5.484 7.5.484 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Users\Niels\AppData\Roaming\Mozilla\Firefox\Profiles\vuja3zm3.default\cookies.txt[fl01.ct2.comclick.com/]

00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Users\Niels\AppData\Roaming\Mozilla\Firefox\Profiles\vuja3zm3.default\cookies.txt[fl01.ct2.comclick.com/]

00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Users\Niels\AppData\Roaming\Mozilla\Firefox\Profiles\vuja3zm3.default\cookies.txt[fl01.ct2.comclick.com/]

;===================================================================================================================================================================================

SUSPECTS

Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

 

Les seuls fichiers détectés seraient en fait des cookies, je peux les supprimer sans problème donc tout va bien... non?

 

Par rapport au problème qui m'avait fait poster ici : j'ai envoyé un courrier électronique au support de Microsoft, qui m'a conseillé de réinstaller mes programmes les uns après les autres en testant au fur et à mesure l'explorateur.

J'ai commencé par désinstaller ceux qui m'étaient inutiles, et ça y est tout semble refonctionner correctement.

 

Merci beaucoup pour ta patience à mon égard et les réponses que tu m'as apportées .

[Invité JoK]

Bonsoir.

 

Puis-je savoir quels sont ces programmes que vous avez désinstallé ?

 

J'aimerais également vous recommander de créer un autre compte d'utilisateur. Ce nouveau compte, laissez le en administrateur. Si vous êtes le seul à utiliser la machine, vous pourrez vous passer de mettre un mot de passe sur ce compte.

Au contraire, si vous deviez être plusieurs à l'utiliser, il sera recommandé d'y adjoindre un pass.

 

Quittez ensuite la session, et loguez vous sous le nouveau compte admin. Retournez dans les comptes utilisateurs, et passer votre véritable compte en utilisateur standard.

 

Si vous avez besoin de faire des analyses en ligne avec Internet Explorer, inscrivez les sites dans la zone de confiance, cela va vous permettre de faire une analyse en ligne sous compte standard. Il est évident que vous devrez installer l'ActiveX sous compte admin.

 

Si vous devez installer un pilote, ou un programme, vous pourrez lancer l'exécutable d'installation via le clic droit, et le menu contextuel "Lancer en tant qu'administrateur". Durant toute la durée d'installation, seul ce processus sera l'ayant droit du jeton temporaire admin, donc avec les droits correspondants.

 

Tout bouton sur lequel vous verrez un "bouclier au logo Windows" déclenchera une demande d'élévation de privilèges administrateur. Cette demande se verra accordée avec l'inscription du pass administrateur, et validation. Si vous ne mettez pas de pass, pressez juste le bouton OK.

 

Rien ne peut s'installer sans les privilèges administrateur. C'est le premier rempart de sécurité et sans doute le meilleur à l'heure actuelle.

 

UAC est un peu encombrant au début, mais l'utilisateur patient est grandement récompensé par la suite. Le système reste sain dans l'ensemble; au point qu'il est parfois à se demander pourquoi et à quoi sert l'antivirus...

 

Merci pour le renseignement demandé, et bonne continuation.

 

Cordialement.

Modifié le 25 août 2007 par JoK