Pas de connexion via IE7, ping ok

[Pang]

Bonjour et merci par avance de vous pencher sur mon cas quelque peu urgent

 

Je ne suis pas chez moi, ceci n'est pas ma connexion internet, et je tente de dépanner un pc xp connecté à une freebox en ethernet.... mais avec lequel je ne peux surfer sur la toile

Il n'y a pas de pare feu logiciel, et le parefeu de xp home sp2 est désactivé.

La configuration IP est en DHCP.

 

Un ping vers n'importe quel site ou adresse IP, le résultat est bon à 100 %, et le reverse dns fonctionne puisque je peux voir l'adresse IP du site que je ping.

 

mais je n'arrive pas à me connecter en http avec IE7... même pas sur la page d'administration de la freebox qui porte l'adresse IP 192.168.169.254 !! .La aussi encore une fois, le ping vers cette adresse est ok à 100%

Si je tape dans ie7 l'adresse IP du site au lieu de l'url, ça ne marche pas non plus.

 

Ce pc est équipé d'antivir, et dans son log, je vois une grosse quantité de choses mis en quarantaine.

Le scan de la machine entière ne donne aucune infection.

 

J'ai re-initialisé la connexion (netsh) et reinitialiser tout les paramétres d'IE. pareil.

 

Chose qui peut avoir son importance :

Il y a plusieurs comptes sur cette machine, et un des comptes (utilisateur limité) est capable de se connecter sur le tchat msn. IE7 non.

 

LEs autres comptes msn des autres utilisateurs ont été 'dérobé', et c'est d'ailleurs depuis ce jour la qu'il devint impossible de naviguer sur le net.

 

Autre chose de vraiment étrange sur cette machine connecté à la freebox en ethernet. PAs de réseau local, un seul pc sur la freebox

DAns une fenêtre dos lorsque je fais :

netstat

 

le pc est en écoute sur un port ms-sql (de mémoire) et en attente de connexion sur des machines distantes sur le même réseau ainsi que sur d'autre sous réseau.

Si je retape la commande netstat, les adresses IP des machines distantes sont augmenté de 1

192.168.169.30

192.168.169.31

192.168.169.32

192.168.169.33

192.168.169.34

192.168.169.35

 

je retape netsat :

192.168.169.50

192.168.169.51

192.168.169.52

192.168.169.53

192.168.169.54

192.168.169.55

192.168.169.56

 

J'ignore completement d'ou sorte ces adresses, et effectivement mysql est installé sur ce poste. L'utilisateur ne sait pas dire pourquoi. Il n'y a aucun serveur sur cette machine, c'est un ordinateur famillial avec une utilisation basique des familles...

 

Je ne puis pas vous présenter un rapport hijackthis (puisque je n'ai pas pu le télécharger de chez cette personne).

Je suis actuellement dans un cybercafé, j'ai téléchargé hijackthis, mais je ne pourrais pas vous présenter le rapport avant un bon moment.

Je n'ai pas mes outils habituels (je suis en déplacement dans cette bien grise région picarde..) juste une clé USB de 512 Mo...

A votre avis, de quel logiciel puis je me munir pour tenter quelque chose sur ce poste ?

 

Je vous prie de pardonnez mes erreurs d'orthographe et mon empressement sur ce post, mais je suis un peu pressé et stressé.

Je vais rester quelque minutes dans ce cyber café dans l'attente de vos réponses.

Un grand merci par avance.

 

Edit : C'est depuis le téléchargement d'un ZIP par un contact MSN infecté que les problèmes ont commencés...

Modifié le 21 février 2008 par Pang

[pear]

Bonsoir Pang,

 

Les histoires de réseau, je n'y connais rien.

 

Pour le reste , je vous livre tout ce que j'ai.

Si cela peut vous être utile:

1)Pour réparer la connexion Internet:

 

Panneau de configuration->Connexions réseaux->Propriétés->Réparer

 

2)Internet explorer s'ouvre sur une page blanche:

 

Faites successivement:

 

Démarrer->Exécuter.

regsvr32 actxprxy.dll puis validez

 

regsvr32 urlmon.dll puis validez

 

3)Pour Windows XP SP2 il est possible de refaire un reset de Winsock

(dans le cas où un antivirus se charge dans les LSP il sera supprimé aussi),

cela se fait comme ceci :

Menu Démarrer / executer et taper : netsh winsock reset catalog

Redémarrez l'ordinateur.

[Pang]

Bonsoir,

 

Je pense que j'ai avancé (je suis connecté depuis ce poste à présent).

 

Un tas de choses malfaisante sur ce PC qu'Antivir n'a pas vu ni AVG :

 

 

SDFix: Version 1.144

 

Run by sandrine abdoul on 21/02/2008 at 23:06

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services:

 

Name:

Generic Host Process for Win-32 Service

 

Path:

"C:\WINDOWS\svchost.exe"

 

Generic Host Process for Win-32 Service - Deleted

 

 

C:\WINDOWS\system32\Microsoft\backup.ftp Found

C:\WINDOWS\system32\Microsoft\backup.tftp Found

 

Checking files:

 

Genuine:

C:\WINDOWS\system32\Microsoft\backup.ftp

C:\WINDOWS\system32\Microsoft\backup.tftp

 

Dummy:

C:\WINDOWS\system32\ftp.exe

C:\WINDOWS\system32\tftp.exe

C:\WINDOWS\system32\dllcache\ftp.exe

C:\WINDOWS\system32\dllcache\tftp.exe

 

Files copied to SDFix\Backups

 

Restoring files if backups are found

 

Final Check:

 

Genuine:

C:\WINDOWS\system32\Microsoft\backup.ftp

C:\WINDOWS\system32\Microsoft\backup.tftp

C:\WINDOWS\system32\ftp.exe

C:\WINDOWS\system32\tftp.exe

C:\WINDOWS\system32\dllcache\ftp.exe

C:\WINDOWS\system32\dllcache\tftp.exe

 

 

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Checking Files:

 

Trojan Files Found:

 

C:\WINDOWS\svchost.exe - Deleted

C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted

C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted

 

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

 

 

Final Check:

 

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-21 23:14:35

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 9

 

 

Remaining Services:

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Acer\\Acer eConsole\\MediaSync.exe"="C:\\Program Files\\Acer\\Acer eConsole\\MediaSync.exe:LocalSubNet:Enabled:Media Synchoronizer"

"C:\\Program Files\\Acer\\Acer eConsole\\eConsole.exe"="C:\\Program Files\\Acer\\Acer eConsole\\eConsole.exe:LocalSubNet:Enabled:eConsole"

"C:\\Program Files\\Acer\\Acer eConsole\\MediaServerService.exe"="C:\\Program Files\\Acer\\Acer eConsole\\MediaServerService.exe:LocalSubNet:Enabled:Acer Media Server"

"C:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe"="C:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe:*:Enabled:CyberLink PowerCinema"

"C:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe"="C:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\DOCUME~1\\SANDRI~1\\LOCALS~1\\Temp\\services.exe"="C:\\DOCUME~1\\SANDRI~1\\LOCALS~1\\Temp\\services.exe:*:Enabled:Flash Player2"

"C:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe:*:Enabled:Nero ShowTime"

"C:\\Documents and Settings\\sandrine abdoul\\ikigai.exe"="C:\\Documents and Settings\\sandrine abdoul\\ikigai.exe:*:Enabled:Windows Service"

"C:\\Documents and Settings\\sandrine abdoul\\muhvwt.exe"="C:\\Documents and Settings\\sandrine abdoul\\muhvwt.exe:*:Enabled:Windows Service"

"C:\\Documents and Settings\\sandrine abdoul\\rbcrps.exe"="C:\\Documents and Settings\\sandrine abdoul\\rbcrps.exe:*:Enabled:Windows Service"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Remaining Files:

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes:

 

Thu 17 Jan 2008 6,219,320 A..H. --- "C:\Program Files\Picasa2\setup.exe"

Fri 19 Nov 2004 26,112 A..H. --- "C:\WINDOWS\AcerDRV\InsD1211.exe"

Tue 15 Nov 2005 26,112 A..H. --- "C:\WINDOWS\AcerDRV\InsD1215.exe"

Mon 30 Aug 2004 44,032 A..H. --- "C:\WINDOWS\AcerDRV\rescan.exe"

Fri 19 Nov 2004 26,112 A..H. --- "C:\WINDOWS\system32\InsD1211.exe"

Tue 15 Nov 2005 26,112 A..H. --- "C:\WINDOWS\system32\InsD1215.exe"

Wed 6 Aug 2003 24,576 A..H. --- "C:\WINDOWS\system32\KCMDNIns.exe"

Wed 16 Nov 2005 24,576 A..HR --- "C:\WINDOWS\system32\Kill1211.exe"

Mon 7 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIBUN4.dll"

Mon 7 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK7.dll"

Mon 7 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIFCD3.dll"

Mon 7 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIMP3.dll"

Mon 7 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"

Thu 7 Aug 2003 24,576 A..H. --- "C:\WINDOWS\system32\reboot.exe"

Sat 20 Nov 2004 26,112 A..H. --- "C:\WINDOWS\system32\RemD1211.exe"

Tue 15 Nov 2005 26,112 A..H. --- "C:\WINDOWS\system32\RemD1215.exe"

Mon 30 Aug 2004 44,032 A..H. --- "C:\WINDOWS\system32\rescan.exe"

Fri 29 Dec 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Tue 3 Apr 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

 

Finished!

 

-------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:24:27, on 21/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\Explorer.EXE

c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\SysMonitor.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\sandrine abdoul\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKCU\..\Run: [encflag] C:\DOCUME~1\SANDRI~1\APPLIC~1\AXISON~1\first cast.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing)

O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 7366 bytes

[pear]

Bonjour Pang.

 

Ce semble bon.

 

Votre client utilise Netware ?

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

 

inutile:O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

et quelques lignes à fixer.

 

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)

O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing)

O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing)

 

C:\Program Files\Picasa2\PicasaMediaDetector.exe => Picasa Media Detector

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" => Cyberlynk PowerDVD

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe => Ahead Nero Burning Rom

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') => Microsoft Windows NT

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') => Microsoft Windows NT

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') => Microsoft Windows NT

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') => Microsoft Windows NT

[angelique]

hello ;o)

 

y'a un LOP à traiter::

O4 - HKCU\..\Run: [encflag] C:\DOCUME~1\SANDRI~1\APPLIC~1\AXISON~1\first cast.exe

 

----------------------------

 

lopxpMH2 de Lazzzy sur ton bureau.

 

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

 

Dézippe-le (clic droit -> "Extraire ici") et double clique sur le fichier lopxpMH.bat.

 

Dans ta prochaine réponse, poste :

- le contenu du rapport qui va s'ouvrir

 

ou plus simple::

http://eric.71.mespages.googlepages.com/LopSD.exe

 

tuto >> http://eric.71.mespages.googlepages.com/lop.sd.exe

[Pang]

Bonjour,

 

Merci pour vos réponses. Ce fut une véritable course contre la montre... Je ne suis plus devant ce PC, j'ai quitté la région trop grise pour moi.

 

J'avais installé ce poste en 2006 pour 4 utilisateurs.

Depuis, les enfants utilisateurs restreints sont devenus des adolescents et l'autorité parentale a cédé face à la contestation :

"Nous voulons plus de privilèges "!

(fin 2007, et c'est à partir de cette période qu'Antivir ne faisait plus ses mises à jours)

 

D'ailleurs, lors de la dernière mise à jour d'Antivir (vendredi 22/02/08 très très tôt) et lors d'un scan dans C:\DOCUME~1\SANDRI~1\APPLIC~1\ , ce dernier a trouvé un IRCBOT et c'est, à priori, lui qui ouvrait des connections sur des adresses qui n'existe pas sur le réseau et sous réseau.

 

Bref, aujourd'hui les choses que je n'ai pas encore traité pas manque de temps et par doute :

Votre client utilise Netware ?

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

Non pas de netware et je ne suis pas arrivé à corriger cette ligne.

 

J'ignore si c'est lié, mais le parefeu windows de ce pc est inaccessible et inopérent (erreur je sais plus combien, pourtant tous les services sont lancés).

 

y'a un LOP à traiter::

O4 - HKCU\..\Run: [encflag] C:\DOCUME~1\SANDRI~1\APPLIC~1\AXISON~1\first cast.exe

 

Oué j'ai vu cette ligne après le rapport et je m'en suis occupé... Enfin certainement pas comme il faut.

Au fait, qu'est ce exactement qu'un LOP ?

 

Avant de fuir, j'ai installé un VNC sur le PC, mais je trouve plus le papier sur lequel j'ai écris l'adresse dyndns

[angelique]

Au fait, qu'est ce exactement qu'un LOP ?

 

certainement venu avec l'installation des sponsors de ce fabuleux, merveilleux ...... outils qu'est windows live messenger truc -_-

 

http://www.malekal.com/msnplus_adaware.php