Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

Bonjour,

 

Voici donc mon rapport Zeb Help Process, suite à un rapport de Hijack This.

 

Merci d'avance pour votre aide.

 

Zeb Help Process v2.2 by Nicolas Coolman - Rapport Général du 17/06/2008 18:58:25

 

Logfile of HijackThis v1.99.1

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

 

 

Processus lancés

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\LVComsX.exe

C:\Program Files\mozilla.org\Mozilla\mozilla.exe

 

 

Analyse des lignes R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs

 

Valeur de clé de registre modifiée (R0)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini15.com

 

Analyse des lignes F0, F1, F2, F3 - IniFiles, Autoloading programs

 

Modification d'une valeur Ini (Changed inifile value, mapped to Registry) (F2)

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,

 

Analyse des autres lignes (Others)

 

Browser Helper Objects (O2)

O2 - BHO: (no name) - {03c8bd0d-8f46-4826-b64d-ee678383dde5} - C:\WINDOWS\system32\ssqNHyaa.dll (file missing)

O2 - BHO: {7a87f65b-09aa-e37b-5d04-2c273a1797b1} - {1b7971a3-72c2-40d5-b73e-aa90b56f78a7} - C:\WINDOWS\system32\rkrdebof.dll (file missing)

O2 - BHO: (no name) - {8461B851-D842-43C7-A2FD-AD3527E09B65} - C:\WINDOWS\system32\qoMeBqRj.dll (file missing)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - C:\Program Files\Windows Live Toolbar\msntb.dll

 

Internet Explorer Toolbars (O3)

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

 

Applications démarrées automatiquement par le registre (O4)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [nvcpldaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

 

Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8)

O8 - Extra context menu item: &windows live search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: add to windows &live favorites - http://favorites.live.com/quickadd.aspx

 

Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)

O9 - Extra button: Agregar entrada - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOWS\system32\shdocvw.dll

 

Protocole additionnel et piratage de protocole (O18)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

 

Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21)

O21 - SSODL: ComponentAlrt - {cd636d0e-39b8-42ac-8279-b4af1d7ea88a} - C:\WINDOWS\Resources\ComponentAlrt.dll (file missing)

O21 - SSODL: MSHTMLS - {A888F568-58E4-11d0-A68A-0000837E3100} - C:\WINDOWS\system32\mshtms.dll

 

Liste des services NT non Microsoft et non désactivés (O23)

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

 

Lignes traitées 63/65

Modifié par Lartak09

Posté(e)

Bonjour, et quel est le problème STP Zeb help^t'as indiquer quelque chose? peut tu nous fournir un peux plus de détails STP.

Posté(e)
Bonjour, et quel est le problème STP Zeb help^t'as indiquer quelque chose? peut tu nous fournir un peux plus de détails STP.

 

Voici le rrapport détaillé de Zeb Help Process :

Zeb Help Process v2 By Nicolas Coolman - Rapport détaillé du 17/06/2008 20:24:03

 

Logfile of HijackThis v1.99.1

Trend Secure®HijackThis

 

Ce processus est installé par l'utilisateur pour l'analyse de son système et la recherche de malware.

 

Dossier d'installation :

Dépend de l'utilisateur

 

 

Platform: Windows XP SP2 (WinNT 5.01.2600)

 

 

 

 

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Microsoft Internet Explorer

 

 

 

 

C:\WINDOWS\System32\smss.exe

Microsoft®Windows NT

 

Il s'agit d'un processus générique légitime de Windows NT. Plus précisément il se nomme "Session Management Subsystem". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC"

 

Dossier d'installation :

C:\WINDOWS\System32\smss.exe

 

 

C:\WINDOWS\system32\csrss.exe

 

 

Il s'agit d'un processus générique légitime de Windows NT. Plus précisément il se nomme "Session Management Subsystem". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC"

 

Dossier d'installation :

C:\WINDOWS\System32\smss.exe

 

 

C:\WINDOWS\system32\winlogon.exe

Microsoft®Windows NT

 

Il s'agit d'un processus générique légitime de Windows NT. Plus précisément il se nomme "Ouverture de session NT". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC"

 

Dossier d'installation :

C:\WINDOWS\system32\winlogon.exe

 

 

C:\WINDOWS\system32\services.exe

Microsoft®Windows NT

 

Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Applications Services et Contrôleur". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC".

 

Dossier d'installation :

C:\WINDOWS\system32\services.exe

 

 

C:\WINDOWS\system32\lsass.exe

Microsoft®Windows NT

 

C'est le processus générique "Local Security Authority Subsystem" de Windows NT. Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.

 

Dossier d'installation :

C:\WINDOWS\system32\lsass.exe

 

 

 

C:\WINDOWS\system32\svchost.exe

Microsoft®Windows NT

 

Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Generic Host Process for Win32". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.

 

Dossier d'installation :

C:\WINDOWS\system32\svchost.exe

 

 

 

C:\WINDOWS\system32\svchost.exe

Microsoft®Windows NT

 

Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Generic Host Process for Win32". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.

 

Dossier d'installation :

C:\WINDOWS\system32\svchost.exe

 

 

 

C:\WINDOWS\System32\svchost.exe

Microsoft®Windows NT

 

Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Generic Host Process for Win32". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.

 

Dossier d'installation :

C:\WINDOWS\system32\svchost.exe

 

 

 

C:\WINDOWS\system32\svchost.exe

Microsoft®Windows NT

 

Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Generic Host Process for Win32". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.

 

Dossier d'installation :

C:\WINDOWS\system32\svchost.exe

 

 

 

C:\WINDOWS\system32\svchost.exe

Microsoft®Windows NT

 

Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Generic Host Process for Win32". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.

 

Dossier d'installation :

C:\WINDOWS\system32\svchost.exe

 

 

 

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

Lavasoft AB®Ad-Aware 2007

 

Dossier d'installation :

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

 

Notation dans le rapport :

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB

 

Référence dans la Base de Registres :

 

 

 

C:\WINDOWS\Explorer.EXE

Microsoft®Windows NT

 

Il s'agit d'un processus générique de Windows XP. Plus précisément il se nomme "Explorateur". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC".

 

Dossier d'installation :

C:\WINDOWS\Explorer.EXE

 

 

 

C:\WINDOWS\system32\LEXBCES.EXE

Lexmark®LexBce Server

 

Plus précisément il se nomme "LexBceS" ou "LexBce Server"

 

Dossier d'installation :

C:\WINDOWS\system32\LEXBCES.EXE

 

Notation dans le rapport :

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE"

 

Référence dans la Base de Registres :

HKLM\SYSTEM\CurrentControlSet\Services\LexBceS

 

 

C:\WINDOWS\system32\LEXPPS.EXE

Lexmark®Printer Sharing

 

Dossier d'installation :

C:\WINDOWS\system32\LEXPPS.EXE

 

 

C:\WINDOWS\system32\spoolsv.exe

Microsoft®Windows NT

 

Plus précisément il se nomme "Spooler SubSystem". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC".

 

Dossier d'installation :

C:\WINDOWS\system32\spoolsv.exe

 

 

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

InstallShield Software®InstallShield

 

Dossier d'installation :

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

 

Notation dans le rapport :

O4 - HKLM\..\Run: [iSUSScheduler] "issch.exe" -start

 

Référence dans la Base de Registres :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ISUSScheduler

 

 

 

 

C:\WINDOWS\system32\ctfmon.exe

Microsoft®Windows NT

 

Il s'agit d'un processus générique légitime de Windows NT. Plus précisément il se nomme "CTF Loader". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC".

 

Dossier d'installation :

C:\WINDOWS\system32\ctfmon.exe

 

Notation dans le rapport :

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

 

Référence dans la Base de Registres :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CTFMON.EXE

 

 

 

 

C:\WINDOWS\system32\rundll32.exe

Microsoft®Windows NT

 

Plus précisément il se nomme "Chargeur de ressources dynamiques"

 

Dossier d'installation :

C:\WINDOWS\system32\RUNDLL32.EXE

 

 

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

Apple®Mobile Device Support

 

Plus précisément il se nomme "Apple Mobile Device" ou "Apple Mobile Device Service"

 

Dossier d'installation :

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

 

Notation dans le rapport :

O23 - Service: Apple Mobile Device - Apple, Inc.

 

Référence dans la Base de Registres :

 

 

 

C:\WINDOWS\System32\FTRTSVC.exe

France Télécom®Espace Wanadoo

 

Il s'installe en tant que service sous le nom "France Telecom Routing Table Service". Ceci afin de pouvoir se lancer ou se régénérer à chaque démarrage du système ou d'une session utilisateur. La gestion de ce service peut être faite via le Gestionnaire des Services Windows "services.msc".

 

Dossier d'installation :

C:\WINDOWS\System32\FTRTSVC.exe

 

Notation dans le rapport :

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\FTRTSVC.exe

 

Référence dans la Base de Registres :

 

 

 

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

Microsoft®Developer Studio

 

Machine Debug Manager. Il est utilisé par les developpeurs pour le debugging des applications

 

Dossier d'installation :

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\MDM.EXE

 

Notation dans le rapport :

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

 

Référence dans la Base de Registres :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Machine Debug Manager

 

 

 

 

C:\WINDOWS\system32\svchost.exe

Microsoft®Windows NT

 

Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Generic Host Process for Win32". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.

 

Dossier d'installation :

C:\WINDOWS\system32\svchost.exe

 

 

 

C:\WINDOWS\System32\alg.exe

Microsoft®Windows NT

 

Ce processus correspond à "Application Layer Gateway Service" de Windows NT. Il apparaît comme "Service Local" dans le Gestionnaire des tâches.

 

Dossier d'installation :

C:\WINDOWS\system32\alg.exe

 

Notation dans le rapport :

O4 - HKLM\..\Run: [systeem taak] C:\WINDOWS\system32\alg.exe

 

Référence dans la Base de Registres :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Systeem taak

 

 

 

 

C:\WINDOWS\System32\svchost.exe

Microsoft®Windows NT

 

Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Generic Host Process for Win32". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.

 

Dossier d'installation :

C:\WINDOWS\system32\svchost.exe

 

 

 

C:\WINDOWS\system32\wuauclt.exe

Microsoft Windows NT Update

 

 

C:\WINDOWS\system32\LVComsX.exe

Logitech®Multimedia webcam devices

 

Il est inutile au démarrage du système, il peut être lancé manuellement par l'utilisateur lorsqu'il en a besoin.

 

Dossier d'installation :

C:\WINDOWS\system32\LVCOMSX.EXE

 

Notation dans le rapport :

O4 - HKLM\..\Run: [LVCOMSX] LVCOMSX.EXE

 

Référence dans la Base de Registres :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\LVCOMSX

 

 

 

 

C:\Program Files\mozilla.org\Mozilla\mozilla.exe

Mozilla®Mozilla

 

Dossier d'installation :

Notation dans le rapport :

Référence dans la Base de Registres :

 

 

 

 

 

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini15.com

*** Aucune information disponible ou le répertoire d'installation n'est pas celui par défaut ***

 

 

 

 

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,

Malware :

 

 

 

 

O2 - BHO: (no name) - {03c8bd0d-8f46-4826-b64d-ee678383dde5} - C:\WINDOWS\system32\ssqNHyaa.dll (file missing)

 

 

O2 - BHO: {7a87f65b-09aa-e37b-5d04-2c273a1797b1} - {1b7971a3-72c2-40d5-b73e-aa90b56f78a7} - C:\WINDOWS\system32\rkrdebof.dll (file missing)

 

 

O2 - BHO: (no name) - {8461B851-D842-43C7-A2FD-AD3527E09B65} - C:\WINDOWS\system32\qoMeBqRj.dll (file missing)

 

 

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

Microsoft®Windows Live Check

 

Dossier d'installation :

Notation dans le rapport :

Référence dans la Base de Registres :

 

 

 

O2 - BHO: Windows Live Toolbar Helper - {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - C:\Program Files\Windows Live Toolbar\msntb.dll

®

Dossier d'installation :

Notation dans le rapport :

Référence dans la Base de Registres :

 

 

 

 

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

MSN Toolbar

Dossier d'installation :

Notation dans le rapport :

Référence dans la Base de Registres :

 

shdocvw.dll

Barre d'outils de navigateur Internet.

 

 

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

 

 

 

O4 - HKLM\..\Run: [nvcpldaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

nVidia Display Properties

 

 

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup

Macrovision®InstallShield

Plus précisément il se nomme "ISUSPM Startup" ou "InstallShield Automatic Updater".

Il s'installe dans les clés de démarrage HKLM\Run et HKCU\Run de la Base de Registres.

 

Dossier d'installation :

C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe

 

Notation dans le rapport :

O4 - HKLM\..\Run: [iSUSPM Startup] "isuspm.exe" -startup

O4 - HKCU\..\Run: [iSUSPM Startup] "isuspm.exe" -startup

 

Référence dans la Base de Registres :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ISUSPM Startup

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ISUSPM Startup

 

 

 

 

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

InstallShield Software®InstallShield

Dossier d'installation :

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

 

Notation dans le rapport :

O4 - HKLM\..\Run: [iSUSScheduler] "issch.exe" -start

 

Référence dans la Base de Registres :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ISUSScheduler

 

 

 

 

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

NVidia®nView

Plus précisément il se nomme "NVIDIA nView Wizard".

 

Dossier d'installation :

Notation dans le rapport :

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

 

Référence dans la Base de Registres :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nwiz.exe

 

 

 

 

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

nVidia®Media Center Library

Dossier d'installation :

C:\WINDOWS\system32\NvMcTray.dll

 

Notation dans le rapport :

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll"

 

Référence dans la Base de Registres :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NvMediaCenter

 

 

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

Microsoft®Windows NT

Il s'agit d'un processus générique légitime de Windows NT nommé "CTF Loader". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC".

 

Dossier d'installation :

C:\WINDOWS\system32\ctfmon.exe

 

Notation dans le rapport :

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

 

Référence dans la Base de Registres :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe

 

 

 

 

 

O8 - Extra context menu item: &windows live search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

 

 

 

O8 - Extra context menu item: add to windows &live favorites - http://favorites.live.com/quickadd.aspx

 

 

 

 

O9 - Extra button: Agregar entrada - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

 

 

 

O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

 

 

 

O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOWS\system32\shdocvw.dll

Malware :

 

 

O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOWS\system32\shdocvw.dll

Malware :

 

 

 

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

Microsoft MSN Messenger

msgrapp.dll, msgrap~1.dll, msgrapp.*.dll

Pirates de protocole et de protocoles additionnels.

 

 

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

Microsoft MSN Messenger

msgrapp.dll, msgrap~1.dll, msgrapp.*.dll

Pirates de protocole et de protocoles additionnels.

 

 

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

Windows Live Mail Desktop

mailcomm.dll

Pirates de protocole et de protocoles additionnels.

 

 

 

O21 - SSODL: ComponentAlrt - {cd636d0e-39b8-42ac-8279-b4af1d7ea88a} - C:\WINDOWS\Resources\ComponentAlrt.dll (file missing)

 

 

O21 - SSODL: MSHTMLS - {A888F568-58E4-11d0-A68A-0000837E3100} - C:\WINDOWS\system32\mshtms.dll

*** Aucune information disponible ou le répertoire d'installation n'est pas celui par défaut ***

 

 

 

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

Lavasoft AB®Ad-Aware 2007

Dossier d'installation :

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

 

Notation dans le rapport :

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB

 

Référence dans la Base de Registres :

 

 

 

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

Apple®Mobile Device Support

Plus précisément il se nomme "Apple Mobile Device" ou "Apple Mobile Device Service"

 

Dossier d'installation :

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

 

Notation dans le rapport :

O23 - Service: Apple Mobile Device - Apple, Inc.

 

Référence dans la Base de Registres :

 

 

 

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

ATI®Cartes graphiques

Il consomme beaucoup de ressources système mais il peut résoudre des problèmes rencontrés par les cartes graphiques ATI.

 

Dossier d'installation :

C:\WINDOWS\system32\Ati2evxx.exe

 

Notation dans le rapport :

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

 

Référence dans la Base de Registres :

HKLM\SYSTEM\CurrentControlSet\Services\Ati HotKey Poller

 

 

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

France Télécom®Espace Wanadoo

Il s'installe en tant que service sous le nom "France Telecom Routing Table Service". Ceci afin de pouvoir se lancer ou se régénérer à chaque démarrage du système ou d'une session utilisateur. La gestion de ce service peut être faite via le Gestionnaire des Services Windows "services.msc".

 

Dossier d'installation :

C:\WINDOWS\System32\FTRTSVC.exe

 

Notation dans le rapport :

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\FTRTSVC.exe

 

Référence dans la Base de Registres :

 

 

 

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

Macrovision®InstallShield

Dossier d'installation :

C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe

 

Notation dans le rapport :

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation

 

Référence dans la Base de Registres :

 

 

 

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe

Logitech®Bluetooth

Dossier d'installation :

C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe

 

Notation dans le rapport :

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc

 

Référence dans la Base de Registres :

HKLM\SYSTEM\CurrentControlSet\Services\LBTServ

 

 

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Lexmark®LexBce Server

 

Plus précisément il se nomme "LexBceS" ou "LexBce Server"

 

Dossier d'installation :

C:\WINDOWS\system32\LEXBCES.EXE

 

Notation dans le rapport :

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE"

 

Référence dans la Base de Registres :

HKLM\SYSTEM\CurrentControlSet\Services\LexBceS

 

 

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe (file missing)

Malware :

 

 

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

nVidia®ForceWare Drivers

Dossier d'installation :

C:\WINDOWS\System32\nvsvc32.exe

 

Notation dans le rapport :

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

Référence dans la Base de Registres :

HKLM\SYSTEM\CurrentControlSet\Services\NVSvc

 

 

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

Microsoft®Windows NT

Dossier d'installation :

C:\Program Files\Windows Media Player\WMPNetwk.exe

 

Notation dans le rapport :

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

 

Référence dans la Base de Registres :

Plus précisément il se nomme "Windows Media Player Network Sharing Service" ou "WMPNetworkSvc" ou "Service Partage réseau du Lecteur Windows Media"

Ainsi que le rapport de synthèse :

Zeb Help Process 2 by Nicolas Coolman - Rapport de synthèse du 17/06/2008 20:25:04

 

Infections identifiées

 

Processus malware

 

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,

O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOWS\system32\shdocvw.dll

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe (file missing)

 

Script désinfection de Base de Registres

 

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{C5428486-50A0-4a02-9D20-520B59A9F9B2}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{C5428486-50A0-4a02-9D20-520B59A9F9B3}]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msupdate]

 

Script de suppression de fichiers

 

c:\windows\system32\ntos.exe

c:\windows\system32\shdocvw.dll

c:\windows\system32\mssrv32.exe

 

Processus superflu non nécessaire au système

 

O2 - BHO: (no name) - {03c8bd0d-8f46-4826-b64d-ee678383dde5} - C:\WINDOWS\system32\ssqNHyaa.dll (file missing)

O2 - BHO: {7a87f65b-09aa-e37b-5d04-2c273a1797b1} - {1b7971a3-72c2-40d5-b73e-aa90b56f78a7} - C:\WINDOWS\system32\rkrdebof.dll (file missing)

O2 - BHO: (no name) - {8461B851-D842-43C7-A2FD-AD3527E09B65} - C:\WINDOWS\system32\qoMeBqRj.dll (file missing)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O21 - SSODL: ComponentAlrt - {cd636d0e-39b8-42ac-8279-b4af1d7ea88a} - C:\WINDOWS\Resources\ComponentAlrt.dll (file missing)

 

Mises à jour de produit à réaliser

 

Trend Secure®HijackThis

Version MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Sécurité du système (Antivirus, FireWall, Anti-Malwares)

 

Lavasoft AB®Ad-Aware 2007

 

Rapport simplifié

 

Logfile of HijackThis v1.99.1

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Processus lancés

C:\WINDOWS\system32\csrss.exe

Analyse des lignes R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs

Valeur de clé de registre modifiée (R0)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini15.com

Analyse des lignes F0, F1, F2, F3 - IniFiles, Autoloading programs

Modification d'une valeur Ini (Changed inifile value, mapped to Registry) (F2)

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,

Analyse des autres lignes (Others)

Browser Helper Objects (O2)

O2 - BHO: (no name) - {03c8bd0d-8f46-4826-b64d-ee678383dde5} - C:\WINDOWS\system32\ssqNHyaa.dll (file missing)

O2 - BHO: {7a87f65b-09aa-e37b-5d04-2c273a1797b1} - {1b7971a3-72c2-40d5-b73e-aa90b56f78a7} - C:\WINDOWS\system32\rkrdebof.dll (file missing)

O2 - BHO: (no name) - {8461B851-D842-43C7-A2FD-AD3527E09B65} - C:\WINDOWS\system32\qoMeBqRj.dll (file missing)

Internet Explorer Toolbars (O3)

Applications démarrées automatiquement par le registre (O4)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8)

Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)

O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOWS\system32\shdocvw.dll

Protocole additionnel et piratage de protocole (O18)

Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21)

O21 - SSODL: ComponentAlrt - {cd636d0e-39b8-42ac-8279-b4af1d7ea88a} - C:\WINDOWS\Resources\ComponentAlrt.dll (file missing)

O21 - SSODL: MSHTMLS - {A888F568-58E4-11d0-A68A-0000837E3100} - C:\WINDOWS\system32\mshtms.dll

Liste des services NT non Microsoft et non désactivés (O23)

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe (file missing)

Et voici le cadre du rapport de synthèse :

synth-se-du-rapport-42f3c8.jpg

 

Voilà, je ne pense pas pouvoir faire mieux, sinon de vous dire que j'ai un écran bleu qui s'affiche tout d'un coup, que ce soit quand je suis sur Windows depuis un moment avec ou sans application de lancé par moi-même, mais aussi au démarrage de mon ordi.

 

Et ce problème survient de plus en plus souvent, même si d'après ce que j'ai pu voir sur Internet ,cet écran bleu provient d'un soucis matériel, je pense que le fait de pouvoir "nettoyer" mon ordi de certains malwares ou trojan, me permettrai de pouvoir utiliser mon ordi mieux que pour l'instant, en attendant de me refaire un autre ordi.

 

Merci d'avance de votre aide.

Posté(e)

Je souhaite préciser que lorsque je lance Antivir, même en "Mode sans échec", au bout d'un certains temps (dans les 20% environ), j'ai à nouveau droit à l'écran bleu.

 

Et le soucis c'est que je ne peux même pas booter sur le lecteur CD Rom (Dell Dimension 5000), même en ayant ma carte vidéo à jour, ainsi que le BIOS (que j'ai passé en A03, qui était en A02 avant la Mise A Jour) et en ayant paramétré le BIOS sur "Onboard Or USB CD-Rom", rien à faire.

 

C'est pour cela que je compte sur vous afin de pouvoir diminuer le niveau de mon soucis, voir même l'éradiquer.

 

Merci d'avance de votre aide.

Posté(e)

Je me précipite un peu, je sais bien que vous avez d'autres occupations, mais je souhaiterais que l'on commence à se pencher sur mon cas.

 

Je ne vois pas quelle autre précisions je pourrais vous donner, car je m'y connait assez en informatique mais très peu pour ce qui concerne les virus, trojan, etc...

 

Merci d'avance de votre aide.

Posté(e)

Je précise aussi qu'en plus d'avoir un écran bleu, mon orid rame beaucoup, il à pourtant 1024 Mo de RAM et il rame sans même que je lance la moindre application, même rien que le fait d'ouvrir le Poste de travail, il rame beaucoup.

 

Je vous remercie d'avance de bien vouloir vous pencher sur mon cas ....

Posté(e)

• Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

 

*desactive temporairement ton antivirus que t'as pas :P

* Double-clique combofix.exe afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Posté(e)

J'ai téléchargé combofix.exe, puis placé sur le bureau.

 

Je le lance, il commence son analyse et.... mon PC plante avec "l'écran bleu".

J'ai redémarré puis relancé, mais à chaque fois il plante.

J'ai fais la manip 3 fois, dois-je tester en mode sans échec ?

Posté(e)

1er test en mode sans échec, non concluant, au second je suis allé plus loin, il venait de terminer l'étape 6, avant que le PC plante.

 

Je vais encore tester en mode sans échec, afin de peut-être arriver à avoir le rapport.

 

Si vous avez une autre idée, je la suivrait, j'écris sur le forum depuis le PC de ma copine.

 

Merci d'avance

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...