Désinfection (UC saturée)

[Gof]

Bonsoir P-A,

 

Je te souhaite de bonnes vacances alors

 

Je suis notifié des réponses à ce sujet ; lorsque tu posteras j'en serais donc informé. A bientôt.

[P-A]

Bonsoir Gof,

 

Me voilà de retour...

[Gof]

Bonsoir P-A

 

Alors, où en sommes nous de tes soucis, peux-tu me refaire le point de tes disfonctionnements ?

[P-A]

Bonsoir Gof,

 

L'explorateur windows fonctionne correctement, à quelques disfonctionnement près : impossible d'ouvrir le panneau de configuration à partir du menu démarrer

 

MSN ne fonctionne pas correctement. Après réinstallation de Windows live messenger, msn lance son processus au démarrage mais aucune fenêtre ne s'affiche.

Au démarrage j'ai toujours un processus dxwin.exe qui s'active au bout de quelques secondes.

 

J'ai fait du nettoyage de logiciels dont je ne me sert plus.

 

J'ai fait tourner DSS. Voici le rapport :

 

Deckard's System Scanner v20071014.68

Run by Administrateur on 2008-07-29 23:11:47

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

Total Physical Memory: 511 MiB (512 MiB recommended).

System Drive C: has 0.34 GiB (less than 15%) free.

 

 

-- HijackThis (run as Administrateur.exe) --------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:12:13, on 29/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program Files\Apoint\Apoint.exe

C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Apoint\Apntex.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\D-Tools\daemon.exe

C:\PROGRA~1\SYMANT~1\vptray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Assistant Dartybox\Upgrade_Manager.exe

C:\WINDOWS\system32\taskmgr.exe

C:\PROGRA~1\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Thunderbird\thunderbird.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\cleanmgr.exe

C:\WINDOWS\system32\dwwin.exe

C:\Documents and Settings\Administrateur\Bureau\dss.exe

C:\DOCUME~1\ADMINI~1\Bureau\ADMINI~1.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [intelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [L'Assistant DartyBox] C:\Program Files\Assistant Dartybox\Upgrade_Manager.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstall...MetaStream3.cab

O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

 

--

End of file - 5714 bytes

 

-- Files created between 2008-06-29 and 2008-07-29 -----------------------------

 

2008-07-03 23:14:35 0 drahs---- C:\autorun.inf

2008-06-30 22:39:11 0 d--hs--c- C:\Program Files\Fichiers communs\WindowsLiveInstaller

2008-06-30 22:38:57 0 d-------- C:\Program Files\Windows Live

2008-06-30 22:38:21 0 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-06-29 10:17:05 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes

2008-06-29 10:17:00 0 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-06-29 10:16:59 0 d-------- C:\Program Files\Malwarebytes' Anti-Malware

 

 

-- Find3M Report ---------------------------------------------------------------

 

2008-07-28 07:18:24 0 d-------- C:\Program Files\Google

2008-07-27 23:11:52 0 d-------- C:\Program Files\VideoLAN

2008-07-27 22:51:53 0 d-------- C:\Program Files\eMule

2008-07-27 10:46:58 20801 --a------ C:\WINDOWS\mozver.dat

2008-06-30 22:39:11 0 d-------- C:\Program Files\Fichiers communs

2008-06-28 08:17:20 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Skype

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"@"="" []

"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [30/10/2004 14:59]

"Apoint"="C:\Program Files\Apoint\Apoint.exe" [13/09/2004 11:33]

"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe" [22/02/2004 23:44]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [12/06/2005 14:25]

"MMTray"="C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe" [17/01/2006 13:12]

"mmtask"="C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe" [17/01/2006 13:12]

"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [20/09/2005 09:35]

"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [20/09/2005 09:32]

"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [20/09/2005 09:36]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [29/06/2007 07:24]

"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [12/03/2004 23:43]

"vptray"="C:\PROGRA~1\SYMANT~1\vptray.exe" [02/09/2002 12:16]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [20/08/2004 01:09]

"L'Assistant DartyBox"="C:\Program Files\Assistant Dartybox\Upgrade_Manager.exe" [05/06/2007 22:15]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [18/10/2007 11:34]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [14/07/2006 17:26:40]

Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [23/04/2008 03:38:16]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]

C:\Program Files\Intel\Wireless\Bin\LgNotify.dll 07/09/2004 16:08 110592 C:\Program Files\Intel\Wireless\Bin\LgNotify.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

@="Volume shadow copy"

 

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9a273a00-9f5a-11db-9cf8-00123f0b1729}]

AutoRun\command- G:\LaunchU3.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cb546ae5-e187-11dc-9e08-00123f0b1729}]

AutoRun\command- G:\start.exe

iledefrance\command- G:\start.exe

 

 

 

 

-- End of Deckard's System Scanner: finished at 2008-07-29 23:13:24 ------------

[Gof]

Bonsoir P-A,

 

Pour ton panneau de configuration :!

 

Télécharge Zeb-restore.

• Exécute le.
  
• Coche Panneau de configuration
  
• Clique sur Restaurer.
  

 

 

Pour dxwin.exe : Es-tu sûr qu'il s'agit de dxwin.exe et pas dwwin.exe ?

 

 

MSN ne fonctionne pas correctement. Après réinstallation de Windows live messenger, msn lance son processus au démarrage mais aucune fenêtre ne s'affiche.

C'est à dire ? Je ne saisis pas. Aucune fenêtre ne s'affiche, mais l'icône est présente dans la zone de notifications, en bas à droite, non ?

[P-A]

Bonsoir Gof,

Il s'agit bien de dwwin.exe, j'ai fait une faute de frappe.

 

 

Je vais essayé de te décrire le comportement de ma machine au démarrage :

 

Lorsque je démarre le pc, j'ai un certain nombre de processus qui se lance automatiquement (d'ailleurs comment on fait pour en dimminuer le nombre, enlever les processus superflus et pour avoir un démarrage plus rapide ?).

 

J'ai msn qui se lance, mais aucun affichage ne s'effectue pour msn, ni dans une fenêtre, ni dans la barre de tache.

J'ai un processus dwwin.exe qui se lance rapidement (je ne sais pas dire si c'est avant ou après msn)

 

Lorsque j'arrête le processus dwwin.exe, l'icone msn apparait dans la barre de tache.

 

Lorsque j'ouvre msn à partir de cette icône, j'ai une fenêtre qui s'ouvre, un premier affichage de mon compte msn, puis dès que je cherche à faire quelque chose celle-ci plante. Je suis obligé de terminer le processus msn pour redonner un peu de souffle à mon pc.

 

Par ailleurs j'ai un fonctionnement assez lent de mon pc : plusieurs dizaine de seconde pour ouvrir une fenêtre windows explorer (mais elle s'ouvre et après ça marche)

 

A bientot.

[Gof]

Bonjour P-A,

 

De retour. Où en es-tu de tes soucis ?

[P-A]

Bonsoir Gof,

 

Je suis de retour.

 

J'ai encore des soucis. Je n'ai pas réussi à modifier quoique ce soit au problème que j'ai décrit.

 

De plus il m'arrive assez régulièrement d'avoir des actions qui ne donnent sur le moment. Je fais alors une chasse au processus dwwin.exe qui est toujours fructueuse et ça revient.

 

Par ailleurs j'ai un comportement bizarre de firefox qui utilise plus de 200 Mo de mémoire(actuellement) alors que je n'ai que le site de Zebulon d'ouvert...

 

A bientot.

 

PA

[P-A]

Bonsoir,

A tout hasard j'ai fait tourner MSNFix.exe, dont voici le rapport :

 

MSNFix 1.742

 

C:\Documents and Settings\Administrateur\Bureau\MSNFix

Fix exécuté le 25/08/2008 - 19:37:04,33 By Administrateur

mode normal

 

************************ Recherche les fichiers présents

 

... C:\??????.exe

... C:\autorun.inf

... C:\Autorun.inf

 

************************ Recherche les dossiers présents

 

Aucun dossier trouvé

 

 

 

 

************************ Suppression des fichiers

 

.. OK ... C:\??????.exe

.. OK ... C:\autorun.inf

.. OK ... C:\Autorun.inf

 

 

 

************************ Nettoyage du registre

 

 

 

************************ Hostsclean

 

Cleanhosts v 0.1.0.7 By Laurent

 

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20080825193849

-- original size 0.77 Kb / 20 lines

-- Start cleaning Hosts file ....

 

 

 

-- final size 0.77 Kb / 20 lines

-- entry Found : 0 / Entry check : 310

 

End .............................. 76.58 Secondes

 

 

 

 

 

Les fichiers encore présents seront supprimés au prochain redémarrage

 

 

Aucun Fichier trouvé

 

 

 

 

 

************************ Hostsclean

 

Cleanhosts v 0.1.0.7 By Laurent

 

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20080825194520

-- original size 0.77 Kb / 20 lines

-- Start cleaning Hosts file ....

 

 

 

-- final size 0.77 Kb / 20 lines

-- entry Found : 0 / Entry check : 310

 

End .............................. 27.67 Secondes

 

 

 

************************ Fichiers suspects

 

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

 

[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qlj8ny3k.zip] 3F75D58D705AEA5BB8C662DDBC733DFD

[C:\win2k_xp1418.exe] E79BF60C71B85DC84A65BFA87F2D50CD

 

==> SVP merci d'envoyer le fichier C:\DOCUME~1\ADMINI~1\Bureau\Upload_Me.zip sur http://upload.changelog.fr

 

 

 

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 25082008_19454837.zip

 

************************ HKLM\...\Winlogon\Userinit

 

Userinit = C:\WINDOWS\system32\userinit.exe,

 

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte

 

 

------------------------------------------------------------------------

Auteur : !aur3n7 Contact: http://changelog.fr

------------------------------------------------------------------------

 

--------------------------------------------- END ---------------------------------------------

J'ai uploadé le fichier Zip sur changelog.fr comme c'est demandé.

Mais je ne sais pas le nettoyage est fini ou pas.

[Gof]

Bonsoir P-A

 

Désolé du délai, je suis moins disponible en ce moment.

 

L'exécution de MSNFIX ne me semblait pas nécessaire. Hormis un fichier suspicieux révélé par son analyse dans tes répertoires temporaires, il a détecté des fichiers génériques qui ne sont pas forcément infectieux (comme le fichier autorun.inf à la racine du disque, et qui a été ici créé par Flashdisinfector de sUBs, donc légitime.).

 

Je te suggérerais de désinstaller Windows Live messenger, puis de le réinstaller à partir de ce lien (officiel) : Windows Live Messenger

Pour Firefox, il faudrait t'assurer que ta version soit à jour, et que les éventuels modules complémentaires utilisés le soient aussi. Ce qui ne semble pas être le cas.

 

Un scan en ligne Secunia pourrait t'aider à mettre à jour tes applications, tu peux consulter ce sujet : SSI - Secunia Software Inspector.

 

A bientôt.