[Résolu] PC bloqué suite infection

[la pomme]

Heu ......

Ca dit quoi mon rapport combofix ????

 

Mon PC "déconne" de moins en moins, mais parfois je suis encore obligé d'arreter le processus "explorer" et de le relancer pour avoir accés à mon bureau. Je ne peux toujours pas mettre à jour windows (problème avec windows installer).

 

merci d'avance de me préciser si je dois changer de rubrique avec un nouveau post.

Modifié le 13 juin 2008 par la pomme

[Falkra]

Meix, beaucoup mieux.

 

Poste un nouveau rapport hijackThis stp.

 

Pour windows installer, on va tester quelque chose après.

[la pomme]

Salut Falkra,

 

Je revient sur mon PC qu'aujourd'hui, beaucoup d'occupations ce week-end (tournoi de handball pour être précis).

 

Voilà donc mon nouveau rapport :

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:21:03, on 17/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\imapi.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Fichiers communs\NMSAccessU.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\snmp.exe

C:\Program Files\Windows Live\installer\WLSetupSvc.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\dmadmin.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\explorer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 182.168.1.254:800

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-21-2075098661-1742969597-1776611950-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-21-2075098661-1742969597-1776611950-1006\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User '?')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User '?')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'Default user')

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Rechercher avec Voila - file://C:\Program Files\VOILAFR_TOOLBAR\Cache\SelectedContextSearch.htm

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by123fd.bay123.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/28c397344e7aa7...RdxIE601_fr.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase9563.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1164053363562

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1145570520312

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://config.zebulon.fr/plugins/hardwaredetection.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab

O16 - DPF: {A5173EA8-1337-4BAB-A67E-198C9919D9CC} - http://213.11.100.127/websetup/websetup2.cab

O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://www.msnjeux.com/online2/MSN_INTL_FR...outLauncher.cab

O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - http://msn.canalplay.com/cabs/msway44.cab

O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\Fichiers communs\NMSAccessU.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O24 - Desktop Component 0: (no name) - http://www.zebulon.fr/images/dossiers/atf.png

 

--

End of file - 10349 bytes

 

 

 

 

 

 

C'est toujours du chinois pour moi........Mais il y a des trucs curieux (pour moi)

Ligne 08 et 16 ça parle d'AOL que je n'utilise plus depuis au moins 3 ans

Ligne 16 ça parle d'activscan que je croyais avoir désintallé

Ligne 16 ça parle pandasoftware que je croyais avoir désintallé

Modifié le 16 juin 2008 par la pomme

[Falkra]

Les O16 sont des ActiveX, des plugins pour Internet Explorer, il faut en virer un qui n'est pas clean (mis en gras). Panda tu peux laisser, pas de problème.

 

Relance HijackThis, coche ces lignes et fais "fix checked", en bas à gauche :

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/28c397344e7aa7...RdxIE601_fr.cab

O16 - DPF: {A5173EA8-1337-4BAB-A67E-198C9919D9CC} - http://213.11.100.127/websetup/websetup2.cab

 

 

 

Télécharge Dial-a-fix-v0.60.0.24 => http://djlizard.net/software/Dial-a-fix-v0.60.0.24.zip

Enregistre-le sur ton Bureau.

Décompresse le puis double-clique sur le dossier " Dial-a-fix" qui vient d'être créé puis sur le fichier "Dial-a-fix.exe".

 

Dans la fenêtre principale, coche Fix windows update et les trois croix en dessous.

Clique ensuite sur "GO" et laisse le logiciel travailler.

Chaque action en cours est soulignée et une fois terminée elle se décoche automatiquement.

Clique enfin sur le bouton "Flush SoftwareDistribution"

 

Une fois la réparation terminée, ferme la fenêtre et fais redémarrer ton ordinateur.

 

Relance enfin Windows Update. Les mises à jours devraient s'installer.

[la pomme]

Salut Falkra,

Je fais ce que tu viens de me demander.

 

Je te précise un truc assez surprenant pour moi.

 

En regardant dans les différents articles de zebulon, je tombe sur celui qui permet de retrouvé de la vitesse avec windows (http://www.zebulon.fr/astuces/cat1-1/os0/windows/performances-systeme/) et je constate que je suis "PIO" et non "ULTRA DMA". Même si je ne comprend pas tout, j'en déduis que c'est un soucis "matériel" que je peux arranger ça sans incidence sur ce que l'on est en train de faire.

 

Je redémarre mon PC et ..........

V'la ti pas qu'il me télécharge le SP3, les mises à jour, Internet Explorer 7 et tout ça très rapidement.

Installation sans problème, mais après toujours pas possible d'aller sur windows update et encore quelques plantages du processus "explorer".

 

Sinon mon ordi va vraiment plus vite du démarrage au fonctionnement général.

[Falkra]

C'est une bonne chose pour le PIO/UDMA.

 

Il télécharge le SP3, mais par windows update, mises à jour automatiques alors ?

C'est aller sur le site qui coince ? As-tu un message d'erreur ?

[la pomme]

Salut Falkra,

 

Voici le message d'erreur sur Microsoft Windows Update :

 

 

[Numéro d'erreur : 0x800A0046]

Veuillez modifier vos paramètres de sécurité Internet Explorer.

Pour enregistrer vos paramètres pour ce site Web, vous devez activer l'option Permanence des données utilisateur pour Internet Explorer. Suivez la procédure ci-dessous, puis cliquez sur Modifier les paramètres à gauche et réessayez d'enregistrer vos paramètres.

Dans Internet Explorer, choisissez Options Internet dans le menu Outils.

Cliquez sur l'onglet Sécurité, sur l'icône de la zone de sécurité Internet, puis sur Personnaliser le niveau.

Dans la boîte de dialogue Paramètres, accédez à la section Divers.

Sous Permanence des données utilisateur, sélectionnez Activer.

Cliquez sur OK, puis Oui dans la fenêtre d'avertissement de sécurité qui apparaît.

 

 

 

J'ai vérifié les paramètres sont bons.

J'ai cherché avec le numéro d'erreur mais je n'ai rien trouvé ??!

[Falkra]

Tu fais ça depuis un compte ayant les droits administrateur ?

As-tu un programme type DropMyrights ou StripMyRights ?

 

Vois ici, cela peut fournir des pistes :

http://support.microsoft.com/kb/883821/fr

[la pomme]

Salut Falkra,

 

Tu fais ça depuis un compte ayant les droits administrateur ? oui

As-tu un programme type DropMyrights ou StripMyRights ? non

J'ai assayé les pistes du lien mais je ne peux pas toutes les faires et celles faites ni font rien.

 

En modifiant les mises à jour (téléchargement automatique et installation manuel) le téléchargement se fait correctement mais l'installation indique echec.

[Falkra]

Copie-colle ce qui suit dans le Bloc-notes.

Enregistre sur le bureau sous test1.bat.

Double clique sur le fichier test1.bat, il doit avoir l'icône avec un engrenage, pas celle d'un fichier texte.

 

@echo off

net stop wuauserv

start /wait regsvr32 /s wuaueng1.dll /s

start /wait regsvr32 /s wuaueng.dll /s

start /wait regsvr32 /s wucltui.dll /s

start /wait regsvr32 /s wups2.dll /s

start /wait regsvr32 /s wups.dll /s

start /wait regsvr32 /s wuweb.dll /s

net start wuauserv

Pause

echo Termine

exit

 

Redémarre et vois si ça marche.