message " restriction en vigueur sur mon ordi " + Windows Se

[jlulu]

Bonjour ,

 

Un coup de main serait le bienvenu car je m'aperçois que je ne peux plus aller sur les propriétés de " IE " et du " poste de travail " car un message s'affiche à chaque fois : restrictions en vigueur sur l'ordi et contactez l'administrateur !! alors que je suis l'unique utilisateur de mon ordi ; je n'ai plus mon panneau de Config dans mon menu " Demarrer " et aussi un message " Windows security alert " s'invite de temps à autre qui m'indique : Warning ! Potential Spyware Operation ...

 

D'avance , merci pour votre futur aide !!

 

Je suis sous Windows XP SP2 et IE7 , Norton 2007 .

 

Je poste un rapport d'analyse :

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:00:29, on 28/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\proper.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\vsnpstd.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll

O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [undefined] C:\WINDOWS\system32\winter.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [undefined] C:\WINDOWS\system32\winter.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - S-1-5-18 Startup: infos.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: infos.exe (User 'Default user')

O4 - Startup: infos.exe

O4 - Global Startup: autos.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1185139285625

O20 - AppInit_DLLs: C:\WINDOWS\system32\sol629.txt

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

 

--

End of file - 8012 bytes

Modifié le 28 novembre 2007 par jlulu

[wong]

Bonjour jlulu,

 

Télécharge SmitFraudFix de S!Ri : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

 

Utilise cette adresse pour télécharger la dernière version du fix ( le fichier contient la version anglaise et française ) :

Pour utiliser SmitFraudFix:

Faux positif : process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

• Double clique sur SmitfraudFix.exe
  
• Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection.
  
• Le rapport se trouve à la racine du disque système C:\rapport.txt
  
• Copie/Colle le rapport dans ton prochain message.
  

Cordialement.

Modifié le 28 novembre 2007 par wong

[jlulu]

je te poste le rapport :

 

SmitFraudFix v2.256

 

Rapport fait à 16:31:30,48, 28/11/2007

Executé à partir de C:\Documents and Settings\Hugot\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\proper.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

Fichier hosts corrompu !

 

192.168.200.3 download.microsoft.com

192.168.200.3 downloads.microsoft.com

192.168.200.3 go.microsoft.com

192.168.200.3 microsoft.com

192.168.200.3 msdn.microsoft.com

192.168.200.3 office.microsoft.com

192.168.200.3 support.microsoft.com

192.168.200.3 windowsupdate.microsoft.com

192.168.200.3 www.microsoft.com

192.168.200.3 pandasoftware.com

192.168.200.3 www.pandasoftware.com

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\bronto.dll PRESENT !

C:\WINDOWS\system32\proper.exe PRESENT !

C:\WINDOWS\system32\winter.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Hugot

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Hugot\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

C:\DOCUME~1\Hugot\MENUDM~1\PROGRA~1\DMARRA~1\infos.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Hugot\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="C:\\WINDOWS\\system32\\sol629.txt"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4F6119B4-34B0-4E02-BB6A-B38C4CE74F74}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{4F6119B4-34B0-4E02-BB6A-B38C4CE74F74}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{4F6119B4-34B0-4E02-BB6A-B38C4CE74F74}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{4F6119B4-34B0-4E02-BB6A-B38C4CE74F74}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[wong]

Bonsoir jlulu,

 

1°) Redémarre en mode sans échec

 

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer la procédure ( ou, événtuellement, de l'enregistrer dans un fichier texte ).

• Clique sur Démarrer
  
• Clique sur Arrêter l'ordinateur
  
• Dans la fenêtre qui s'ouvre : clique sur " Redémarrer "
  
• Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
  
• Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul )
  
• Appui dur la touche " ENTRÉE "
  
• Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ).
  
• Clique sur ta session normale : ton nom (Administrateur )
  
• Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI
  

Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php

 

 

Nettoyage avec SmitFraudFix

• Double clique sur SmitfraudFix.exe
  
• Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
  
• A la question: Voulez-vous nettoyer le registre ? répond O (OUI) et presse Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  
• Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répond O (OUI) et presse Entrée pour remplacer le fichier corrompu.
  
• Un redémarrage sera peut être nécessaire pour terminer la procedure de nettoyage.
  
• Le rapport se trouve à la racine du disque système C:\rapport.txt
  
• Copie/Colle le rapport dans ta prochaine réponse
  

2°) Redémarre en mode normal

 

Lance HijackThis : Clique sur Do a scan system and save log file

 

Copie/Colle le rapport HijackThis dans ta réponse

 

 

J'attends 2 rapports ( celui de SmitFraudFix et celui de HijackThis ).

 

 

Cordialement.

[jlulu]

je te poste les 2 rapports !! en fait , là j'ai mon fond d'écran tout bleu et impossible d'en changer car tjs les fameuses restrictions ... tjs aussi le message " Windows Security Alert " . Durant l'analyse SmitFraudFix (option 2) , j'avais une fenètre " registre ... " qui apparassait et ai eu du mal à la fermer car revenait tout le temps ! Au fait,, je ne sais pas si cela a une importance pour le moment mais mon Norton est tjs actif .

Ne bloque t'il pas certaines analyses ?

 

SmitFraudFix v2.256

 

Rapport fait à 22:45:03,93, 28/11/2007

Executé à partir de C:\Documents and Settings\Hugot\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

 

S!Ri's WS2Fix: LSP not Found.

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\system32\bronto.dll supprimé

C:\WINDOWS\system32\winter.exe supprimé

C:\DOCUME~1\Hugot\MENUDM~1\PROGRA~1\DMARRA~1\infos.exe supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4F6119B4-34B0-4E02-BB6A-B38C4CE74F74}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{4F6119B4-34B0-4E02-BB6A-B38C4CE74F74}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{4F6119B4-34B0-4E02-BB6A-B38C4CE74F74}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{4F6119B4-34B0-4E02-BB6A-B38C4CE74F74}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

Rapport Analyse Hijackthis

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:53:24, on 28/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\vsnpstd.exe

C:\WINDOWS\system32\spoolc.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autos.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\xnnnav.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll (file missing)

O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolc.exe

O4 - HKLM\..\Run: [undefined] C:\WINDOWS\system32\winter.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [undefined] C:\WINDOWS\system32\winter.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: infos.exe

O4 - Global Startup: autos.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1185139285625

O20 - AppInit_DLLs: C:\WINDOWS\system32\sol629.txt

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

 

--

End of file - 8099 bytes

[wong]

Bonjour jlulu,

 

Pour ton fond d'écran tu vas le memettre à la fin de la procédure.

 

Télécharge CCleaner v 2.02.532 : http://www.ccleaner.com/download/builds.aspx

 

Télécharge la version Standard Build et installe-la suivant la procédure. Attention : DECOCHE la case Yahoo ! Toolbar lors de l'installation

 

Cette version s'installera par dessus la tienne si tu possédes déjà CCleaner.

 

Configure-le :

• Bouton Registre > Coche toutes les cases.
  
• Bouton Nettoyeur > Onglet Windows > Coche toutes les cases sauf : Emplacement des téléchargements - Cache de l'arrangement du Menu - Cache taille/position des fenêtres - Désinstallateur de Hotfixes - Personalisation des dossiers.
  
• Bouton Nettoyeur > Onglet Apllications > Coche toutes les cases sauf : ton antivirus ( si présent ) et tes anti-spywares ( si présents ).
  
• Bouton Options > Bouton Avancé > Coche seulement : Demander pour sauvegarder les modifications du Registre.
  
• Ferme CCleaner en cliquant sur la croix ( en haut à droite ).
  

Redémarre en mode sans échec

 

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer la procédure ( ou, événtuellement, de l'enregistrer dans un fichier texte ).

 

 

1°) Vérifie d'avoir accès à tous les dossiers/fichiers :

 

Démarrer > Poste de travail ou autre dossier > Menu Outils > Option des dossiers > Onglet Affichage :

• Coche le bouton devant : Afficher les fichiers et dossiers cachés
  
• Décoche la case : Masquer les extensions des fichiers dont le type est connu
  
• Décoche la case : la case : Masquer les fichiers protégés du système d'exploitation
  
• Clique sur : Appliquer à tous les dossiers.
  

2°) Renommages manuels :

 

Dans Poste de travail > Disque local C :

 

Renomme les fichiers suivants :

 

C:\WINDOWS\vsnpstd.exe <== ce fichier en rouge en vsnpstd-exe.anc

C:\WINDOWS\xnnnav.exe <== ce fichier en rouge en xnnnav-exe.anc

C:\WINDOWS\system32\spoolc.exe <== ce fichier en rouge en spoolc-exe.anc

 

Pour les renommer : Clique droit sur le fichier, dans le menu déroulant choisis " Renommer " et Tape le nouveau nom, Clique sur OK.

 

 

3°) Nettoyage avec HijackThis

• Lance HijackThis
  
• Vérifie que HijackThis fera des sauvegardes : Dans Config, coche Make backups before fixing items" , puis clique sur le bouton Back
  
• Clique sur Do a system scan only et coche les lignes ci-dessous :
   
  F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe
  O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll (file missing)
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
  O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolc.exe
  O4 - HKCU\..\Run: [undefined] C:\WINDOWS\system32\winter.exe
  O4 - HKLM\..\Run: [undefined] C:\WINDOWS\system32\winter.exe
  O4 - Startup: infos.exe
  O4 - Global Startup: autos.exe
  O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
  O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
   
   
  
• Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis.
  

4°) Masque les fichiers/dossiers cachés ou protégés

 

Décoche le bouton, et recoche les cases ( voir en 1° )

 

5°) Relance SmitFraudFix

• Double clique sur SmitfraudFix.exe
  
• Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
  
• A la question: Voulez-vous nettoyer le registre ? répond O (OUI) et presse Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  
• Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répond O (OUI) et presse Entrée pour remplacer le fichier corrompu.
  
• Un redémarrage sera peut être nécessaire pour terminer la procedure de nettoyage.
  
• Le rapport se trouve à la racine du disque système C:\rapport.txt
  
• Copie/Colle le rapport dans ta prochaine réponse
  

Redémarre en mode normal

 

1°) Lance CCleaner

Nettoyage

• Bouton Nettoyeur : Clique sur le bouton Analyse et ensuite sur le bouton Lancer le Nettoyage ( fais-le 2 fois ).
  
• Bouton Registre : Clique sur le bouton Chercher les erreurs et une fois trouvées, Clique sur le bouton Réparer les erreurs sélectionnées. Accepte la sauvegarde du Registre, et clique sur Réparrer toutes les erreurs. Attend 1' ( pour permettre l'enregistrement de la nouvelle sauvegarde ) et recommence jusqu'à ce qu'il n'y ait plus rien.
  
• Ferme CCleaner.
  

2°) Lance HijackThis

Clique sur Do a scan system and save log file

 

Copie/Colle le rapport HijackThis dans ta réponse

 

 

J'attends 2 rapports ( celui de SmitFraudFix et celui de HijackThis ).

 

 

NOTE : Si tu n'as pas retrouvé ton fond d'écran, Clique droit sur une zone vide du bureau > Propriétés : Onglet Thèmes ( choisis ton thème ), Onglet Bureau ( Choisis ton arrière-plan ).

Remets ta page de démarrage Internet que tu as choisis ( ex: http://www.google.fr ).

 

 

Cordialement.

Modifié le 29 novembre 2007 par wong

[jlulu]

tu peux me présicer la manip pour bien télécharger cc cleaner ! je clique sur ton lien et j'arrive bien à Standard build , je clique sur Download Now et après ?? j'ai l'impression qu'il ne se passe rien ! ne se lance .

[wong]

RE,

 

Oui, bien sur.

 

Lorsque tu cliques sur télécharger, tu as un pop up jaune en haut de la fenêtre : Clique dessus et autorise le téléchargement.

 

Cordialement.

Modifié le 29 novembre 2007 par wong

[jlulu]

Bon, alors j'ai bien réussi à télécharger CCleaner v 2.02.532 et l'ai configuré comme tu me l'a indiqué précédement . Là où j'ai un petit souçis ( ouepp , pour moi qui ne suis pas une flèche en informatique ! mais bon, tes conseils et orientations sur ce qu'il faut faire me sont précieux ) alors oui, c'est au sujet du fichier suivant :

C:\WINDOWS\xnnnav.exe

En fait, je n'arrive pas à le trouver !

Les 2 autres : C:\WINDOWS\vsnpstd.exe et C:\WINDOWS\system32\spoolc.exe , j'ai réussi à les repérer !

Préalablement , je suis allé faire mon curieux en Mode sans Echec ( aussi en Mode Normal ) pour voir si ces 3 fichiers étaient bien présents !!

Donc pour le moment , j'ai uniquement configuré CCleaner et j'attends sagement ton conseil pour le fameux fichier et voir même si c'est possible de continuer tout le mode opératoire que tu m'a indiqué sans ce fichier ( quelle est son importance ? ) .

Excuses moi pour toutes ces questions mais bon, faut bien que je me renseigne

 

Cordialement .

[jlulu]

Oui , autre précision : dois je à un moment ou à autre désactiver mon antivirus Norton ? comme je l'ai toujours actif alors je me demandais si il mettait des barrières de protection qui contrariraient ton mode opératoire .