Analyse rapport Winpfind3u.exe

[chtilo]

J'ai mis le texte puis run tout c'est bien passer voici le rapport

 

[Registry - Non-Microsoft Only]

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\\DisableWindowsUpdate deleted successfully.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\EXPLORER\\NoWindowsUpdate deleted successfully.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WINDOWSUPDATE\\DisableWindowsUpdateAccess deleted successfully.

< End of log >

Created on 09-05-2007 22:21:37

 

j'ai enlever les restriction que je met avec mes apps , j'ai kick Regprot, pas DSA d'habitude il ne gène pas il faudrait que j'essaie peut être .

 

Pas de changement pour les Màj toujours le même message d'erreur.

 

En plus voici ce que je découvre en voulant mettre a jours Spyware guard , je le démarre quand je fais mes Màj

 

 

Pour DSA je l'ai eu sur le site de Malekal , mais depuis que j'avais eu l'infection il merde un peu mais je peut pas le désinstaller , problème de droit administrateur et je le laissse de coté pour pouvoir essayer quand j'aurais a nouveaux mes droit .Je vais l'enlever du démarrage avec windows.

 

amicalement

[chtilo]

Je voulai savoir pour les droit administrateur est ce qu'il est possible de les remettre ? je veux dire tel qu'il devrait être quand on a rien configurer.

 

Et j'ai une autre question mais là c'est plus une question de protection Puis-je crypter mon fichier hosts pour le protéger ou cela empècherai son bon fonctionnement ?

Car lecture seul ne sert pas à grand chose.

 

amicalement

[chtilo]

Je sais pas si sa peut aider , mais les clé n'existe pas dans mon registre, c'est normal. ?

 

Si elle s'y sont j'ai mal fait ma recherche.par contre les valeur pour windows update (les clés de ton texte )sont sur (0)

Modifié le 5 septembre 2007 par chtilo

[chtilo]

Est il possible de reprendre demain ?

 

Amicalement

[Thanos]

salut,

 

Je répasse toute à l'heure! en attendant pour ceci >

 

En plus voici ce que je découvre en voulant mettre a jours Spyware guard , je le démarre quand je fais mes Màj

Regarde si tu trouves le fichier msinet.ocx dans le dossier C:\Windows\System32

S'il est présent, fais ceci >

 

Passe par Démarrer/Exécuter et copie/colle ceci >

 

regsvr32 C:\WINDOWS\system32\msinet.ocx

 

ensuite tu tapes sur la touche [entrée] pour valider > un message doit t'avertir que le fichier ocx a bien été enregistré.

Si tu n'as pas ce fichier, télécharge le depuis ce lien, et colle le dans ton répertoire C:\WINDOWS\system32

 

ensuite réenregistre le.

 

@+ tard

Modifié le 6 septembre 2007 par charles ingals

[chtilo]

Merci Charles la manip a réussi mais j'ai toujours le message quand je veux mettre à jour.

 

Charles est il possible de retirer les restriction pour mes droit administrateur car je voudrai désinstaller DSA car il bloque des truc y a pas de nom et je ne peu pas le supprimer : le message dit qu'il y a des restriction je n'ai pas les droit administrateur.

 

Merci de l'aide que tu m'apporte, je dois partir au boulot, en attendant je te souhaite une bonne journée.

 

PS : j'ai oublier de dire : le racourci pour les Màj windows ne marche pas et sinon le problème peut peut être venir des clés que j'ai suppr. pour me désinfecter.c'est dans le message sous le forum software si je ne me trompe pas, lien pour mon 2émé topic (software)je te met le lien car tout les souci ne sont pas que sur ce topic mais étaler sur les deux, en tout cas je ne sais pas le nom de la merde que j'avais choper mais elle ma foutu le bordel dans mon PC .

 

Si besoin de rapport particulier ou autre je suis a ta disposition.

 

Encore merci, bonne journée,

 

amicalement.

Modifié le 6 septembre 2007 par chtilo

[Thanos]

la manip a réussi? quelle est la taille de ce fichier lorsque tu passes le curseur de ta souris dessus ?

 

Passe cet outil stp >

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

 

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
  

[chtilo]

Le fichier fait 116 Ko (taille sur le disque).

 

SInon au début tu me demandait si je voulait que tu enlève la restriction du registre, et bien en faite je veux bien, car j'ai voulu désactivé deux apps au démarrage DSA et Regprot, d'ailleur DSA block un processus qui n'a aucun nom.Donc je désactive les application et il me dit :

 

Et pourtnt après il met NON pour dire ne redémarrera pas mais en fait elle démarre quand même.

 

Voici le rapport de l'analyse que tu m'as demandé :

 

 

SDFix: Version 1.101

 

Run by Loickos on 2007-09-06 at 17:37

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

No Trojan Files Found

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

C:\WINDOWS

No streams found.

 

C:\WINDOWS\system32

No streams found.

 

C:\WINDOWS\system32\svchost.exe

No streams found.

 

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

 

Remaining Files:

---------------

 

 

Files with Hidden Attributes:

 

C:\WINDOWS\system32\fddccfebcf_r.dll

C:\Documents and Settings\Loickos\NTUSER.tmp.LOG

C:\WINDOWS\system32\config\SAM.tmp.LOG

C:\WINDOWS\system32\config\SECURITY.tmp.LOG

 

Finished

 

 

Je te met aussi un rapport Hijackthis car j'ai vu une ligne avec restriction Internet explorer.Pour les processus au début il y en quelques un qui serve a rien mais je sais que j'avais remis des service en pensant que sa allait débloquer le problème pour mes Màj et je ne les ai pas re arrèter.Mais je sais plus lesquel exactement.

 

Logfile of HijackThis v1.99.1

Scan saved at 18:14, on 2007-09-06

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\oodag.exe

C:\Program Files\OO Software\CleverCache\ooccag.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\locator.exe

C:\Program Files\Webroot\Washer\WasherSvc.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exe

C:\Program Files\PowerISO\PWRISOVM.EXE

C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

C:\Program Files\OO Software\CleverCache\ooccctrl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\regprot\regprot.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe

U:\Optimisation & Diagnostic\Tray It\TrayIt!.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\totalcmd\TOTALCMD.EXE

C:\HijackThis-fr\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [DSA] "C:\Program Files\Privacyware\Dynamic Security Agent\DSA.exe"

O4 - HKLM\..\Run: [PWRISOVM.EXE] "C:\Program Files\PowerISO\PWRISOVM.EXE"

O4 - HKLM\..\Run: [H2O] "C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe"

O4 - HKLM\..\Run: [ooccctrl.exe] "C:\Program Files\OO Software\CleverCache\ooccctrl.exe" /tasktray

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Fichiers communs\Acronis\Partition Suite\oss_reinstall.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [RegProt] c:\regprot\regprot.exe /start

O4 - HKLM\..\Run: [sDFix] C:\SDFix\RunThis.bat /second

O4 - HKLM\..\RunOnce: [MRUBlaster] C:\Program Files\MRU-Blaster\indexcleaner.exe -COOKIES

O4 - HKLM\..\RunOnce: [sDFix] C:\SDFix\RunThis.bat /second

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"

O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE

O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe

O4 - Startup: TrayIt!.lnk = U:\Optimisation & Diagnostic\Tray It\TrayIt!.exe

O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O11 - Options group: [iNTERNATIONAL] International*

O15 - Trusted Zone: http://download.windowsupdate.com

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - http://www.update.microsoft.com/windowsupd...b?1185227167531

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Program Files\OO Software\CleverCache\ooccag.exe

O23 - Service: Privacyware network service (PFNet) - PWI, Inc. - C:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Program Files\Webroot\Washer\WasherSvc.exe

 

Merci Charles, J'attend tes instruction.

 

Amicalement

Modifié le 6 septembre 2007 par chtilo

[chtilo]

Un pas vient d'être franchie, le raccourcie pour les Màj Windows marche, mais pas les Màj.Peut être dût au restriction présentent (voir log Hijack)sinon pour mes droit admin rien de changé et pour le registre je suis toujours bloquer , je peut toujours pas désactiver des application au démarrage voir l'image (JV16 PowerTools).

 

Sinon je peut trouvé où ces texte qu'il faut mettre dans Winpfind3u ? Car à par celui pour ton topic où tu désinfectait quelqu'un auquel le texte servait pour le problème de droit admin avec ré activation de panneau de config, j'en ai trouvé que 1 seul, et il y avait écrit JUSTE POUR CET UTILISATEUR.

 

Amicalement.

[chtilo]

Charles peut tu débloquer mes restriction ou me dire ou trouvé les petit texte.

 

Merci, amicalement