[RESOLU] infecté par win32, enfin je crois ...

[Gof]

Bonsoir mamoussa

 

Mais ça lague a mort parfois, chose qui n'arrivait jamais avant.

Vraiment ? Il faudra observer sur plusieurs jours voir si le souci persiste. Une analyse en ligne et des softs de P2P en simultané sont gourmands en bande passante.

 

Pour le P2P, je te suggère de lire ce sujet : Point législation Téléchargements.

 

Bien, l'analyse en ligne n'a révélé que des points de restauration infectés. Si tout va bien, suis les consignes pour supprimer tes points de restauration. Sinon, ignore les consignes et rapporte moi les soucis encore présents :

 

Suis la manipulation indiquée :

 

Ne t'inquiète pas, en la réactivant, Windows recréera automatiquement un point de restauration qui sera, lui, propre. Procède comme ceci :

-clic droit sur Poste de travail / Propriétés / onglet Système de restauration

- coche la case "Désactiver le système de restauration..."

- clique sur "Appliquer" puis "oui"

- - redémarre, reviens sur ce panneau

- décoche la case "Désactiver le système de restauration..." pour remettre les choses en place.

- clique sur "Appliquer" puis "Ok"

Pour une aide visuelle, tu peux consulter ce lien de Bruce lee.

 

Supprime MsLook.exe. Tu peux supprimer Diaghelp.zip et le répertoire dans lequel tu l'as décompressé (sur ton bureau). Pense à supprimer les fichiers se trouvant sous C:\ : Diff.exe, grep.exe, ntbtlog_check.txt, et reboot.cmd. Supprime Winseeker (archive et le répertoire dans lequel tu l'as décompressée).

 

 

Tu as téléchargé et installé Atf-Cleaner et AVG AS suite à ma demande. Je te suggère de les conserver ; le premier pour des opérations de nettoyage de temps en temps, et le deuxième très efficace en analyse en mode sans échec. Tu perdras la gratuité du résident (le "guard") au bout du trentième jour suite à son installation, mais tu pourras toujours le mettre à jour et l'utiliser en analyse ponctuelle. Sinon, il te suffit de supprimer l'exécutable d'Atf-cleaner, et de désinstaller AVG AS.

 

Rends toi dans ton Menu démarrer>Exécuter et copie colle :

• "%userprofile%\Bureau\combofix.exe" /u
  

Puis valide par la touche [Entrée]. Cela supprimera de ton système Combofix. Assure toi que le répertoire suivant soit supprimé : C:\QooBox

 

Indique moi quand tu auras réalisé ces étapes, et si tu as rencontré des soucis.

[mamoussa]

Voilà dsl de pas avoir répondu plus tôt.

 

désolé de remettre le couvert avec ça, mais mon ordi rame péniblement, pour preuve explorer consomme 23Mo alors qu'il n'y a presque pas d'application ou fenetres d'ouvertes ?..

http://dl.free.fr/nG4Z0vIGB/process2.JPG

Il y a aussi de nombreux process comme svchost (qui apparait 7 fois dans la liste) et issas qui avaient été reconnu comme vereux par mon antivir, tout est ok ou pas ??

http://dl.free.fr/nkG9WGYrk/process.JPG

 

Sinon pour ce que tu m'as demandé : j'ai bien reussi à supprimer les applis du bureau, mais point de diff.exe ni de grep.exe, ntbtlog_check.txt, et reboot.cmd dans c:\ ...

 

J'ai bien tapé "%userprofile%\Bureau\combofix.exe" dans executer, et combofix m'as donné un rapport :

 

ComboFix 08-01-13.1 - k_roelandts 2008-01-17 22:50:53.4 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.632 [GMT 1:00]

Running from: C:\Documents and Settings\k_roelandts\Bureau\combofix(2).exe

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((( Fichiers créés 2007-12-17 to 2008-01-17 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-16 16:27 . 2008-01-16 16:27 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-01-16 16:27 . 2008-01-16 16:27 <REP> d-------- C:\WINDOWS\LastGood

2008-01-14 13:18 . 2008-01-14 13:36 <REP> d-------- C:\Program Files\AVG Anti-Spyware 7.5

2008-01-14 13:18 . 2008-01-14 13:18 <REP> d-------- C:\Documents and Settings\k_roelandts\Application Data\Grisoft

2008-01-14 13:18 . 2008-01-14 13:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2008-01-14 13:18 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2008-01-13 22:01 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-13 20:49 . 2008-01-13 20:49 <REP> d-------- C:\VundoFix Backups

2008-01-12 11:40 . 2008-01-12 11:40 91,492 --a------ C:\WINDOWS\system32\drivers\klin.dat

2008-01-12 11:40 . 2008-01-12 11:40 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat

2008-01-12 11:37 . 2008-01-12 11:37 <REP> d-------- C:\Program Files\Kaspersky Lab

2008-01-12 11:37 . 2008-01-16 16:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

2008-01-12 11:37 . 2008-01-17 22:54 6,485,280 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-01-12 11:37 . 2008-01-14 13:30 46,844 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-01-12 11:37 . 2008-01-17 22:54 40,736 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2008-01-12 11:37 . 2008-01-14 13:30 2,732 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx

2008-01-11 22:20 . 2008-01-11 22:23 <REP> d-------- C:\Program Files\Panda Security

2008-01-10 21:39 . 2008-01-11 22:12 59,392 --a--c--- C:\WINDOWS\system32\dllcache\ehtray.exe

2008-01-10 18:52 . 2008-01-10 18:52 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2008-01-09 14:48 . 2008-01-09 14:49 <REP> d-------- C:\WINDOWS\system32\JVeffect

2008-01-09 14:48 . 2008-01-09 14:49 <REP> d-------- C:\Program Files\MegaWorld

2008-01-07 11:37 . 2006-07-16 20:16 194,133 --a------ C:\WINDOWS\patcher.exe

2008-01-07 00:29 . 1999-10-09 17:30 305,152 --a------ C:\WINDOWS\IsUninst.exe

2008-01-07 00:29 . 2008-01-07 10:33 525 --a------ C:\WINDOWS\QIII.INI

2008-01-03 20:28 . 2008-01-03 20:28 <REP> d-------- C:\Program Files\serial2

2008-01-03 18:21 . 2008-01-03 18:21 <REP> d-------- C:\Program Files\DAEMON Tools Lite

2008-01-03 18:21 . 2008-01-03 18:29 <REP> d-------- C:\Documents and Settings\k_roelandts\Application Data\DAEMON Tools

2008-01-03 17:30 . 2008-01-03 17:30 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2007-12-25 16:10 . 2007-12-25 16:10 <REP> d-------- C:\Program Files\iPod

2007-12-25 16:10 . 2007-12-25 22:11 <REP> d-------- C:\Documents and Settings\k_roelandts\Application Data\Apple Computer

2007-12-25 16:09 . 2007-12-25 16:09 <REP> d-------- C:\Program Files\QuickTime

2007-12-25 16:09 . 2007-12-25 16:10 <REP> d-------- C:\Program Files\iTunes

2007-12-25 16:09 . 2007-12-25 16:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer

2007-12-25 16:08 . 2007-12-25 16:08 <REP> d-------- C:\Program Files\Fichiers communs\Apple

2007-12-25 16:08 . 2007-12-25 16:08 <REP> d-------- C:\Program Files\Apple Software Update

2007-12-25 16:08 . 2007-12-25 16:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple

2007-12-25 16:08 . 2007-10-31 14:09 30,464 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys

2007-12-25 15:18 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll

2007-12-25 15:17 . 2004-08-04 00:54 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll

2007-12-25 15:17 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys

2007-12-25 15:17 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys

2007-12-24 01:46 . 2007-12-24 01:46 <REP> d-------- C:\Program Files\Mediatheque

2007-12-24 01:17 . 2007-12-24 01:17 <REP> d-------- C:\Program Files\MalchroSoft

2007-12-20 18:22 . 2007-12-20 18:22 <REP> d--h----- C:\WINDOWS\PIF

2007-12-20 04:04 . 2007-07-09 14:19 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll

2007-12-19 03:00 . 2007-12-19 03:00 <REP> d-------- C:\Documents and Settings\k_roelandts\Application Data\Daren-Softwares

2007-12-19 01:55 . 2007-12-19 01:59 <REP> d-------- C:\Documents and Settings\k_roelandts\Application Data\Filmotech

2007-12-19 01:21 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui

2007-12-19 01:21 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui

2007-12-19 01:21 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui

2007-12-19 01:21 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui

2007-12-18 00:44 . 2007-12-18 00:44 219,664 --a------ C:\WINDOWS\system32\klogon.dll

2007-12-18 00:43 . 2007-12-18 00:43 23,396 --a------ C:\WINDOWS\system32\drivers\klopp.dat

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-14 12:22 --------- d-----w C:\Program Files\Microsoft IntelliPoint

2008-01-12 20:00 --------- d-----w C:\Program Files\eMule

2008-01-12 10:27 --------- d-----w C:\Program Files\Norton Internet Security

2008-01-12 10:27 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2008-01-10 18:36 --------- d-----w C:\Program Files\games

2008-01-10 18:35 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-12-25 19:07 --------- d-----w C:\Program Files\VLC

2007-12-13 12:28 24,592 ----a-w C:\WINDOWS\system32\drivers\klim5.sys

2007-11-25 19:54 --------- d-----w C:\Documents and Settings\k_roelandts\Application Data\eMule

2007-11-25 15:02 --------- d-----w C:\Program Files\MSN Messenger

2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll

2007-10-29 22:36 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll

2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll

2005-09-28 09:56 185,856 ----a-w C:\Program Files\7za.exe

.

 

((((((((((((((((((((((((((((( snapshot_2008-01-15_ 6.27.45,51 )))))))))))))))))))))))))))))))))))))))))

.

+ 2005-05-24 11:27:16 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll

+ 2007-08-29 14:47:20 94,208 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe

+ 2007-08-29 14:49:54 950,272 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-02-16 15:34 7557120]

"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-12-18 00:43 227856]

"WD Button Manager"="WDBtnMgr.exe" [2007-05-22 16:16 339968 C:\WINDOWS\system32\WDBtnMgr.exe]

"SSC_UserPrompt"="C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe" [ ]

"nwiz"="nwiz.exe" [2006-02-16 15:34 1519616 C:\WINDOWS\system32\nwiz.exe]

"NDSTray.exe"="NDSTray.exe" []

"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2008-01-11 22:13 600896]

"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2005-12-29 22:21 61952 C:\WINDOWS\system32\CHDAudPropShortcut.exe]

"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2008-01-11 22:12 59392]

"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [ ]

"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-10 14:00 160768]

"!AVG Anti-Spyware"="C:\Program Files\\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 14:00 15360]

 

C:\Documents and Settings\k_roelandts\Menu D‚marrer\Programmes\D‚marrage\

Lancement rapide de Microsoft Office OneNote 2003.lnk - C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2005-03-17 14:06:14]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Bluetooth Monitor.lnk - C:\Program Files\TOSHIBA\Bluetooth Monitor\BtMon2.exe [2007-01-13 15:09:39]

WD Backup Monitor.lnk - C:\Program Files\My Book\WD Backup\uBBMonitor.exe [2007-05-22 18:52:13]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

--a------ 2008-01-03 14:54 486856 C:\Program Files\DAEMON Tools Lite\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IS CfgWiz]

C:\Program Files\Norton Internet Security\cfgwiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

--a------ 2007-12-11 12:10 267048 C:\Program Files\iTunes\iTunesHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

--a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\MsnMsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-12-11 10:56 286720 C:\Program Files\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]

-ra------ 2005-10-26 15:17 159744 C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2006-11-09 15:07 49263 C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"SPBBCSvc"=3 (0x3)

"SNDSrvc"=3 (0x3)

"ccSetMgr"=2 (0x2)

"ccProxy"=2 (0x2)

"ccISPwdSvc"=3 (0x3)

"ccEvtMgr"=2 (0x2)

 

R2 UacFlt;Philips Composite Class Filter Driver;C:\WINDOWS\system32\DRIVERS\uacbflt.sys [2002-06-14 06:40]

R3 BoiHwsetup;Access 32bits INT15 routine;C:\WINDOWS\system32\drivers\BoiHwSetup.sys [2005-06-11 05:42]

R3 qkbfiltr;Quanta HotKey Keyboard Filter Driver;C:\WINDOWS\system32\drivers\qkbfiltr.sys [2006-01-12 16:21]

R3 qmofiltr;Quanta HotKey Mouse Filter Driver;C:\WINDOWS\system32\drivers\qmofiltr.sys [2005-05-05 14:27]

R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 10:45]

S1 hidfltr;HID Filter Driver;C:\WINDOWS\system32\drivers\MWhid.sys [2004-11-03 11:20]

S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 16:23]

S3 o1394bul;o1394bul;C:\DOCUME~1\K_ROEL~1\LOCALS~1\Temp\o1394bul.sys []

S3 SMCB000;SMSC CIR HID Miniport Device Driver;C:\WINDOWS\system32\DRIVERS\hidsmsc.sys [2006-01-17 16:30]

S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-09-09 14:47]

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{467edec7-b1d1-11db-8fd8-001302281500}]

\Shell\AutoRun\command - setupSNK.exe

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-17 22:55:35

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-01-17 22:57:15

ComboFix-quarantined-files.txt 2008-01-17 21:57:11

ComboFix2.txt 2008-01-14 12:26:58

ComboFix3.txt 2008-01-13 21:33:38

.

2008-01-14 12:29:45 --- E O F ---

 

Mais n'est pas supprimé pour autant

 

Quant à qoobox il n'est pas supprimé (j'imagine que cela se desinstalle avec combofix) je n'ose pas le supprimer car il possède un dossier 'quarantaine'. J'ai lu que supprimer ce type de dossier à la légère pourrait laisser repartir ce qu'il contenait, donc j'attent l'expert

Modifié le 17 janvier 2008 par mamoussa

[Gof]

Bonjour mamoussa

 

Bon.

 

désolé de remettre le couvert avec ça, mais mon ordi rame péniblement, pour preuve explorer consomme 23Mo alors qu'il n'y a presque pas d'application ou fenetres d'ouvertes ?..

Oui, c'est beaucoup. Cependant rien ne justifie que le souci soit infectieux à présent. Vide tes répertoires de fichiers temporaires avec Atf-cleaner.exe, constate si le souci est toujours présent.

 

Il y a aussi de nombreux process comme svchost (qui apparait 7 fois dans la liste)

Le nombre de svchost n'est pas inquiétant. Peut-être n'y faisais tu pas attention avant ? Consulte ce sujet de Tesgaz sur ce processus système.

Ce processus générique est obligatoire, svchost veut dire : (Service Host Process) il sert d'hôte pour lancer différents services. Il est possible d'en avoir un minimum de 2 jusqu'à 8 dans le gestionnaire des tâches. Bon nombre de ces processus sont principalement accès connexion réseau, une bonne partie des ces processus sont en relation directe avec le service "Appel de procédure distante RPC". (...)

Cela te permettra d'en savoir plus.

 

issas qui avaient été reconnu comme vereux par mon antivir, tout est ok ou pas ??

Attention à ne pas confondre Lssas et issas. Tu remarqueras que si le "L" est en minuscule et le "i" en majuscule, on peut confondre : lssas et Issas. L'un est légitime (avec un L), l'autre est infectieux (avec un I). Cependant tu n'as pas les symptômes de cette infection et nulle part n'en apparaît trace. Ne confondrais tu pas ?

 

J'ai bien tapé "%userprofile%\Bureau\combofix.exe" dans executer, et combofix m'as donné un rapport

(...)

Quant à qoobox il n'est pas supprimé (j'imagine que cela se desinstalle avec combofix)

Oui, tu aurais du copier coller la ligne complète, avec le "/u" à la fin (là tu l'as oublié en tapant la ligne) : c'est cela qui automatise la désinstallation de Combofix.

 

Pour récapituler je ne te crois plus infecté. Peux tu m'en dire un peu plus sur cette alerte de ton antivirus ? Quel terme a été utilisé ? C'est Kaspersky qui te l'a faite ? Quelle a été son action ? S'il s'agit du processus indispensable à windows, tu auras des soucis.

[mamoussa]

Ca y'est j'ai desinstallé combofix.

J'ai fait une analyse kaspersky, il trouve rien. J'imagine que tu dois avoir raison je ne suis plus infecté.

 

Le dernier problème par contre perciste, j'ai beau eu nettoyer avec atf cleaner, mon ordi rame comme jamais, a chaque nouvelle applications il faut entre 2 et 10 minutes pour quelle se lance ...

[Gof]

Bonjour mamoussa

 

Reposte un log Hijackthis que je regarde à nouveau.

[mamoussa]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:05:17, on 19/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\WINDOWS\system32\WDBtnMgr.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TOSHIBA\Bluetooth Monitor\BtMon2.exe

C:\Program Files\My Book\WD Backup\uBBMonitor.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: Bluetooth Monitor.lnk = ?

O4 - Global Startup: WD Backup Monitor.lnk = C:\Program Files\My Book\WD Backup\uBBMonitor.exe

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{19F22112-E1A6-4C4E-A249-E197486A8BB7}: NameServer = 212.27.54.252,212.27.53.252

O17 - HKLM\System\CS1\Services\Tcpip\..\{19F22112-E1A6-4C4E-A249-E197486A8BB7}: NameServer = 212.27.54.252,212.27.53.252

O17 - HKLM\System\CS2\Services\Tcpip\..\{19F22112-E1A6-4C4E-A249-E197486A8BB7}: NameServer = 212.27.54.252,212.27.53.252

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

 

--

End of file - 6826 bytes

 

 

C'est moi ou le forum à un drôle d'affichage depuis hier ??

[Gof]

Re mamoussa

 

C'est moi ou le forum à un drôle d'affichage depuis hier ??

Les options d'affichage "sautent" parfois. En haut à droite des sujets, tu as un bouton "Options" ; si tu cliques dessus, tu as possibilité de choisir le mode d'affichage : "Arborescent", "standard" et "linéaire+". Joue avec pour retrouver l'affichage qui te convient.

 

Tu as des restes Symantec sur ton système, qui doublonne avec Kaspersky. C'est peut-être ça qui notamment t'occasionne quelques lenteurs.

 

Si tu n'as plus de produits Symantec (Norton, etc), utilise l'utilitaire de désinstallation fourni sur ce lien. Clique sur la version que tu possédais, et télécharge l'utilitaire. Puis double-clique dessus afin de l'exécuter. Suis les consignes, et redémarre.

 

Poste un nouveau rapport Hijackthis, et dis moi s'il y a du mieux.

[mamoussa]

Pfffffff j'ai de nouveaux problèmes qui m'ennuient :

 

La liste des programmes de "ajout et suppression de programme" ne s'affiche pas même après de très longues minutes, et l'ordi ne semble pas vraiment soucieux de l'afficher (il ne réfléchit pas).

Dans poste de travail apparait 2 lecteur cd, or je n'en ai qu'un seul (pc portable), et celui-ci ne detecte pas les dvd. Il peut graver, mais pas les lire, j'obtient un message 'veuillez insérer un cd dans le lecteur', bizarre donc.

Pour l'affichage du forum, j'ai beau eu cliqué sur option (c'est un lien et non un bouton chez moi), rien de différent je me retrouve sur la même page, seule l'adresse est différente, mais aucun menu ou case ni quoi que se soit n'apparaissent, pour règler les paramètres d'affichage, bizarre aussi !

 

Pour la desinstallation de mes produits norton je m'y active, mais ne sachant plus quel version de produit j'avais je dois aller chercher dans les cd d'installation de l'ordi (internet security était fourni avec le pc). Cela dis ce logiciel n'a jamais fonctionné, et depuis que je l'ai desinstallé à l'aide du même logiciel que tu m'a conseillé (norton remover), il n'apparait plus nul part. Ce qui m'oblige a regarder la documentation de mon ordi.

J'avais été forcé de desinstaller tout ce qui avait rapport avec norton pour pouvoir installer kaspersky (il me l'a demandé).

 

A dernier détail, je ne sais pas pourquoi mais récemment la touche (num lock) se desactive à chaque fois que l'ordi s'éteint.

[Gof]

Re

 

Alors.

 

Pour l'affichage du forum, j'ai beau eu cliqué sur option (c'est un lien et non un bouton chez moi), rien de différent je me retrouve sur la même page, seule l'adresse est différente, mais aucun menu ou case ni quoi que se soit n'apparaissent, pour règler les paramètres d'affichage, bizarre aussi !

Je te parle de cette fonctionnalité là (regarde la capture). Est-ce qu'on parle de la même chose ?

 

La liste des programmes de "ajout et suppression de programme" ne s'affiche pas même après de très longues minutes, et l'ordi ne semble pas vraiment soucieux de l'afficher (il ne réfléchit pas).

Peux tu refaire l'essai en laissant patienter ? Si le souci persiste, essaie ceci :

Télécharge Zeb-restore.

• Exécute le.
  
• Coche les restrictions que tu as constatées.
  
• Clique sur Restaurer.
  

Pour la desinstallation de mes produits norton je m'y active, mais ne sachant plus quel version de produit j'avais je dois aller chercher dans les cd d'installation de l'ordi (internet security était fourni avec le pc). Cela dis ce logiciel n'a jamais fonctionné, et depuis que je l'ai desinstallé à l'aide du même logiciel que tu m'a conseillé (norton remover), il n'apparait plus nul part. Ce qui m'oblige a regarder la documentation de mon ordi.

J'avais été forcé de desinstaller tout ce qui avait rapport avec norton pour pouvoir installer kaspersky (il me l'a demandé).

Il y a au moins ce répertoire de présent :

• C:\Program Files\Fichiers communs\Symantec Shared
  

C'est ce dernier qui est visible dans ton dernier rapport. Utilise à nouveau l'utilitaire de désinstallation, et supprime le répertoire dont je te parle. Il y a-t-il du mieux ?

 

Tous ces soucis sont ennuyeux en effet. Il est possible que les infections présentes en nombre important ait altéré ton système. Cela est possible, mais je n'en ai pas vu trace. As-tu au cas où un cd windows ? Ou n'as tu qu'un cd "constructeur" de restauration ?

[mamoussa]

Oui on parle bien de la même chose, seulement voilà à quoi ça ressemble chez moi : http://dl.free.fr/ndUOIkeeX/fdgs.JPG

Bien que la page soit finie d'être chargée (terminé en bas de la page), j'obtient ce qu'il y a sur le screen : càd rien.

 

Magie ! Après avoir supprimé le dossier symantec\shared, plus de problème d'affichage de la liste de ajout/suppr des programmes ! C'est déjà ça. L'ordi rame moins aussi, bon c'est pas glorieux, mais c'est vivable au moins.

 

J'ai effectivement un cd de restauration constructeur ...?