RESOLU-Plus d'a.v xp2008 mais tjrs coupure de Windows.HJT

yugm · le 29 juillet 2008

Bonjour à tous

Première alerte sur le bureau par encart "spyware.....", puis présence de l'antivirus xp2008 ds les programmes (impossible à déloger) et enfin coupure de tous les programmes au bout d '1 h ou 2 avec ss arrêt passage de l'ècran en fonds bleu et démarrage windows

J'ai apparemment réussi à supprimer l'av xp2008 en supprimant d'abord un programme (avec croix rouge liée à l'av).Après un passage de SmitfraudFix par le 2 en mode ss échec je n'ai plus l'encart d'alerte sur le bureau ;mais j'ai tjrs la coupure de windows au bout de qques temps.

Merci pour l'aide à venir

Rapport HJTci dessous

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:00:19, on 29/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe

c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

C:\Program Files\McAfee\MPF\MPFSrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\vssvc.exe

C:\PROGRA~1\McAfee.com\Agent\mcagent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Wanadoo\GestionnaireInternet.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\Program Files\Wanadoo\Watch.exe

c:\PROGRA~1\mcafee\msc\mcuimgr.exe

C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe

C:\Documents and Settings\MAHE\Accessoires\Bureau\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6253\SiteAdv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6253\SiteAdv.dll

O4 - HKCU\..\Run: [DelayShred] "C:\Program Files\McAfee\MSHR\ShrCL.EXE" /P7 /q C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\MGWIU3H4\BAN_72~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\IFRAME~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\HP_1_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\AP_ADV~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\INDEX_~4.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\AP_CPL~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\ADS_9_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\256T9TT8\ADS_1_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\256T9TT8\ADS_2_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\A4B4639K\_VAR1_~1.SH!

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{D43F0FA3-C5C4-46FC-B5E6-76E193C76ACA}: NameServer = 81.253.149.9 80.10.246.132

O23 - Service: FireDaemon Service: dll32 (dll32) - Unknown owner - c:\winnt\system32\os2\dll\packs\FireDaemon.EXE (file missing)

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--

End of file - 6058 bytes

Modifié le 12 août 2008 par yugm

pear · le 29 juillet 2008

Bonjour,

"Stop 0x00000019 BAD_POOL_HEADER" :
Ce problème est généralement causé par un périphérique incompatible.

Il faut redémarrer en mode sans échec, désinstaller le périphérique et le programme attaché en se servant du module Ajout/Suppression de programmes du Panneau de configuration.

Hotline-pc.org

yugm · le 29 juillet 2008

Bonjour,

Bjr Pear

Je n'ai pas rajouter de nouveau périph depuis x temps et depuis 2 jours à chaque démarrage il me demande d'installer sa nouvelle détection mais je ne sais pas de quel produit il s'agit.

Autre précision:l'écran bleu n'apparait qu' après un délai (15 à 30 mn environs )sans intervention au clavier et il suffit d'appuyer une touche pour retrouver mes programmes

De quoi s'agit-il ?

Merci de me le préciser Pear .A+

pear · le 29 juillet 2008

Peut-être quelque chose qui chercherait à s'installer ?

Ceci me semble curieux:

O4 - HKCU\..\Run: [DelayShred] "C:\Program Files\McAfee\MSHR\ShrCL.EXE" /P7 /q C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\MGWIU3H4\BAN_72~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\IFRAME~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\HP_1_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\AP_ADV~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\INDEX_~4.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\AP_CPL~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\ADS_9_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\256T9TT8\ADS_1_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\256T9TT8\ADS_2_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\A4B4639K\_VAR1_~1.SH!

yugm · le 29 juillet 2008

Peut-être quelque chose qui chercherait à s'installer ?

Ceci me semble curieux:

O4 - HKCU\..\Run: [DelayShred] "C:\Program Files\McAfee\MSHR\ShrCL.EXE" /P7 /q C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\MGWIU3H4\BAN_72~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\IFRAME~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\HP_1_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\AP_ADV~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\INDEX_~4.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\AP_CPL~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\ADS_9_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\256T9TT8\ADS_1_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\256T9TT8\ADS_2_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\A4B4639K\_VAR1_~1.SH!

Rebjr Pear

Honnêtement je n'y connais rien de ce rapport

Pour les messages sur écran bleu ,ils varient à chaque fois

ex:"Unexpected_Kernel_Mode_Trap"

ou:"IRQL_Not_Less_or_Equal"

ou:"No_More_IRP_Stack_Location"

ou:"Maximum_Wait_Objects_exceeded"

ou:"Sysinternals_Great_Site"

Je pense en avoir fait le tour .Pour le 1er"Bad_Pool_Header", le gestionnaire de périph m'annonce un inconnu dont le détail est:"Root\Legacy_NPF\0000" .je l'ai désactivé et désinstallé.

et j'ai tjrs cette coupure alternant écran bleu (avec infos div.) -Restarting - Logo Windows XP en phase mise en place puis à nouveau écran bleu

Merci de tes conseils à venir

pear · le 29 juillet 2008

Bonsoir,

Nettoyezles fichiers temporaires:

Télécharger AtfCleaner

et lancez le en tant qu'Administrateur

Pour activer la commande "Exécuter en tant que "sur les raccourcis , si vous n'avez pas les droits Administrateur:

1. Cliquez avec le bouton droit sur l'icône du raccourci, puis cliquez sur Propriétés.

2. Sur l'onglet Raccourci, cliquez sur Paramètres avancés.

3. Activez la case à cocher suivante :

"Cette option peut vous autoriser à exécuter ce raccourci en tant qu'autre utilisateur ou à continuer en tant que vous-même tout en protégeant votre ordinateur et vos données de programmes non autorisés"

Pour activer la commande" Exécuter en tant que" sur des objets qui ne sont pas des raccourcis :

1. Appuyez sur la touche Maj et maintenez-la enfoncée.

2. Cliquez avec le bouton droit sur l'objet que vous souhaitez ouvrir.

3. Cliquez sur Exécuter en tant que.

4. Dans la boîte de dialogue Exécuter en tant que, cliquez sur l'option" L'utilisateur suivant et tapez les références du nom d'utilisateur et mot de passe."

Si vous n'avez pas de mot de passe , validez

Si cela ne s'exécutait pas:

Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel

Réessayer

Dans Hijackthis,cochez ces lignes puis clic sur Fix checked

O4 - HKCU\..\Run: [DelayShred] "C:\Program Files\McAfee\MSHR\ShrCL.EXE" /P7 /q C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\MGWIU3H4\BAN_72~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\IFRAME~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\HP_1_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\AP_ADV~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\INDEX_~4.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\AP_CPL~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\ADS_9_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\256T9TT8\ADS_1_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\256T9TT8\ADS_2_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\A4B4639K\_VAR1_~1.SH!

yugm · le 31 juillet 2008

Bonsoir,

Nettoyezles fichiers temporaires:

Télécharger AtfCleaner

et lancez le en tant qu'Administrateur

Pour activer la commande "Exécuter en tant que "sur les raccourcis , si vous n'avez pas les droits Administrateur:

1. Cliquez avec le bouton droit sur l'icône du raccourci, puis cliquez sur Propriétés.

2. Sur l'onglet Raccourci, cliquez sur Paramètres avancés.

3. Activez la case à cocher suivante :

"Cette option peut vous autoriser à exécuter ce raccourci en tant qu'autre utilisateur ou à continuer en tant que vous-même tout en protégeant votre ordinateur et vos données de programmes non autorisés"

Pour activer la commande" Exécuter en tant que" sur des objets qui ne sont pas des raccourcis :

1. Appuyez sur la touche Maj et maintenez-la enfoncée.

2. Cliquez avec le bouton droit sur l'objet que vous souhaitez ouvrir.

3. Cliquez sur Exécuter en tant que.

4. Dans la boîte de dialogue Exécuter en tant que, cliquez sur l'option" L'utilisateur suivant et tapez les références du nom d'utilisateur et mot de passe."

Si vous n'avez pas de mot de passe , validez

Si cela ne s'exécutait pas:

Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel

Réessayer

Dans Hijackthis,cochez ces lignes puis clic sur Fix checked

O4 - HKCU\..\Run: [DelayShred] "C:\Program Files\McAfee\MSHR\ShrCL.EXE" /P7 /q C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\MGWIU3H4\BAN_72~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\IFRAME~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\HP_1_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\AP_ADV~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\INDEX_~4.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\AP_CPL~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\ADS_9_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\256T9TT8\ADS_1_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\256T9TT8\ADS_2_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\A4B4639K\_VAR1_~1.SH!

Bonjour Pear

Après AtfCleaner sur tous les programmes , contrairement à uniqmt Fichiers temporaires comme tu me l'indiquais(surpris par la rapidité d'exécution de ce programme ) le log HJT ci-dessus est aussitôt modifié et je n'ai pu supprimer que la 1ère ligne

Pour info:mon changement d'écran ne s'opère que sur mon compte en mode normal ou ss échec et rien ne se passe sur mon compte limité . Pourquoi?

Ci-joint dernier log HJt. Merci de ta réponse

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:27:22, on 31/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe

c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

C:\Program Files\McAfee\MPF\MPFSrv.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\vssvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\PROGRA~1\McAfee.com\Agent\mcagent.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Wanadoo\GestionnaireInternet.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Wanadoo\Watch.exe

C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe

c:\PROGRA~1\mcafee\msc\mcuimgr.exe

C:\WINDOWS\system32\wuauclt.exe