PC infecté : demande d'analyse de rapport

[Zonk]

Allo

On va commencer par ca.....(si ca ne marche pas on sortira les gros canons)

Va à :

• Démarrer
  
• Exécuter.....
  

et tapez taskmgr

et tu vas à "Processus"

 

Tu devras « terminer » l’item en orange

(tu auras un message de XP t'avisant de la possible perte de données et de possible instabilité,etc......c'est un message normal mais pour le moment sans danger car tu ne touche pas à Windows)

ALUSchedulerSvc.exe

 

 

 

Tu vas tout de go à :

• Démarrer
  
• Panneau de configuration
  
• Outils administrateur
  
• Services
  

et tu cherches dans la liste à droite Symantec /Norton et tu compares et tu cherches en particulier l’item en orange et tu mets le ou les items trouvés (ca peut arriver qu'il n’ y soit pas et même que tu peux trouver autre chose se liant à Symantec ,alors tu mets à "désactivé" à « Type de démarrage » / « Désactivé »

.....

Ensuite tu retournes tout de go et tu exécutes l'outil de Symantec....et tu refais un HJT

http://service1.symantec.com/SUPPORT/INTER...be?OpenDocument

Modifié le 5 février 2008 par Zonk

[Geronimo38]

Merci Zonk pour ton implication,

 

après verif dans le gestionnaire de taches ce processus n'apparait pas et idem dans les services: Il est également absent.

 

 

O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

 

C'est cette ligne qui te fait penser a des résidus Norton ?

[Zonk]

Allo

C'est bien cette ligne....

si tu veux oter les traces de Norton....ce qui est préférable mais pas obligatoire :

 

 

Commence par faire un point de restauration

Premier nettoyage :

Va dans :

• Démarrer
  
• Rechercher
  

« Tout les fichiers ,tout les dossiers »/ »Une partie ou l’ensemble du nom de fichier »/ »Rechercher sur disques dur locaux C D

et tu entres successivement :

• norton
  
• symantec
  

…..et tu supprimes tout les items……..

 

 

Pour nettoyer le registre

http://telechargement.zebulon.fr/201-jv16-powertools.html

 

petit tuto

http://www.zebulon.fr/articles/base-de-registre-3.php

 

Dans JV16,ne pas toucher à la mise à jour...perte de la gratuité

 

Va dans Outil /chercheur de registre

et entre, un à la fois, le nom de la compagnie…… et le nom du logiciel (tu devras entrer successivement )

• symantec
  
• norton
  

et chercher les traces de chacun de ces items

Ensuite tu vérifies avec rigueur si ca se lie bien à Norton/Symantec…..et en cas du moindre doute tu t’abstient!…….une fois que la sélection est faite, tu supprimes les items…..et ensuite tu redémarres ton ordi….

et tu refais un autre HJT

et entre temps regarde ca:

http://www.malekal.com//ordinateur_lent.php

..Si tu veux avoir un regard externe très potable, la vérification avec Kaspersky est de mise (pense à supprimer ,le cas échéant,les sauvegardes de ton antivirus et autres logiciels anti-véroles (il faut que tu soit certain que ces possibles sauvegardes sont belles et bien d'anciennes menaces et non des faux positifs).....ca évitera à kaspersky de prendre celles-ci comme des menaces.....

parfois les antivirus sont chatouilleux avec ce genre de scan...alors pense à désactiver ton antivirus temporairement le temps de la vérification et ensuite réactive le !

 

(source :Charles Ingals )

-Scan en ligne Kaspersky

-Clique sur Accept

Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.

clique une nouvelle fois sur "Accept"

Les bases de mises à jour vont s'installer, patiente un moment

-Clique sur Next.

-Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

 

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

NOTE: Le scan est à faire avec Internet Explorer.

Bye

Modifié le 5 février 2008 par Zonk

[Geronimo38]

Salut,

 

Désolé pour le silence radio mais des impératifs professionnels m'ont accaparé ces derniers temps.

 

Voici mon rapport HJ après désinstallation Avast, passage à Antivir, élimination des infections trouvées (une), etc...

 

Logfile of HijackThis v1.99.1

Scan saved at 11:05:, on 16/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe

C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Dit.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Corsair\Corsair Flash Voyager Utility\PLBkMon.exe

C:\WINDOWS\system32\HotfixQ0306270.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe

C:\WINDOWS\DitExp.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\xxxxx\Bureau\Internet_Toys\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://192.168.1.1/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\FICHIE~1\fluxDVD\Download Manager\XEBDLHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [CORSAIR_PLUtil] "C:\Program Files\Corsair\Corsair Flash Voyager Utility\PLBkMon.exe"

O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\system32\HotfixQ0306270.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

 

Question(s):

Supprimable?

O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

 

Merci encore pour votre patience.

Modifié le 16 février 2008 par Geronimo38