Rapport Hijackthis

[zahi]

Bonjour pear j'ai eu ca comme reponse:

 

"0 bytes size received / Se ha recibido un archivo vacio"

 

J'attends tes instructions pour la prochiane etape

Merci d'avance

[zahi]

EN dehors de ce problème j'ai pas senti un progrès dans la performance en fait j'ai maintenant de plus un grand problème avec la connection sur internet explorer disions chaque 30 minutes ou 1h ce fichier deviend (not responding) et je suis obligé de l'ouvrir de nouveau

[pear]

Bonsoir,

 

Pour Mbam, voyons si un rootkit en serait responsable:

 

Recherche de rootkit

Téléchargez RootRepeal

Vous devez avoir les droits Administrateur

Installez RootRepeal , cliquez sur *Settings->Options*

Onglet "Général Cochez->Only suspicious ..

. [Driver scan] ... [Files scan] ... [Processes scan] ... [sSDT scan] (v. 1.1.0)

aucune raison de changer les paramètres standards.

 

Dans le [ File Scan ] l'option [X] [ Check for file size differences ] est celle qui permet la détection des fichiers dont la taille a été modifiée comme le fait par exemple le rootkit "Rustock.C". Il est donc fortement conseillé de ne pas la désactiver.

 

Dans le [ SSDT scan ], l'option [X] [ Check for hooked SYSENTER/INT 2E ] permet le scan des appels au système par SYSENTER ou INT 2E.

 

Choix des scans (boutons de sélection en bas, à gauche).

 

Chaque option comporte deux boutons [ Scan ] pour lancer l'analyse et [ Save Report ]qui permet d'enregistrer le rapport au format « .txt » dans le répertoire choisi (éventuellement dans le répertoire de démarrage de RootRepeal).

 

[ Report ]permet d'enchaîner plusieurs ou toutes les fonctions précédentes.

Cliquez [select scan]

Dans la fenêtre qui s'ouvre, sélectionner les options à exécuter(Cochez tout).

Un choix des partitions du disque est possible dans la fenêtre [select drives].

Cliquez sur Save Report

Lancez le scan,

Si RootRepeal ne trouve rien , il affichera ceci:

 

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2009/08/04 18:47

Program Version: Version 1.3.2.0

Windows Version: Windows XP SP3

==================================================

 

Drivers

-------------------

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xEB27E000 Size: 49152 File Visible: No Signed: -

Status: -

==EOF==

 

Dans tous les cas

Postez le rapport

 

Quelques pistes pour la connexion:

 

Connexions Internet dificiles ou très lentes :

Vider le cache et les fichiers temporaires

Téléchargez CCleaner

et installez le

à l'installation penser à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner.

Lancez le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

 

*Dans la section "Options" situé dans la marge gauche,aller dans "Avancé" et décocher "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".

Dans la section "Nettoyeur"

* Cocher toutes les cases dans la marge gauche pour Internet Explorer et Windows Explorer

Faites de même pour Système sauf les 2 dernières

Dans Avancé, ne cochez que les 3 dernières.

* Cliquer sur Analyse

* Le scan, qui peut prendre un peu de temps si c'est la première fois.

* Une fois le scan terminé, cliquer sur Lancer le Nettoyage

 

 

Désactiver IPV6

IPv6 étant "meilleur" que IPv4, dans le cas où les deux sont disponibles, il est donc logiquement préférable d'utiliser d'abord IPv6.

Et c'est ce que font la plupart des logiciels: Ils vont d'abord essayer de passer par IPv6 (si présent dans le système d'exploitation),

puis repasseront à IPv4 si leur demande échoue en IPv6.

 

C'est très exactement ce qui se passe avec des logiciels comme Firefox.

Quand vous entrez l'adresse d'un site web, Firefox va d'abord essayer de trouver l'adresse IP (résolution de nom DNS) en passant par IPv6.

Si la résolution de nom ne donne rien en IPv6, au bout d'un moment, il ré-essaie en IPv4.

 

Dans la théorie, c'est bien, puisque le jour où IPv6 sera actif, ces logiciels travailleront naturellement avec sans avoir besoin d'être reconfigurés.

 

Dans la pratique, l'attente vaine d'une réponse DNS en IPv6 ajoute un petit délai inutile

(puisque actuellement pratiquement aucun fournisseur d'accès ne propose d'accès IPv6, sauf réseaux privés ou expérimentaux).

 

Ce choix entre IPv6 et IPv4 est fait logiciel par logiciel.

C'est chaque logiciel qui décide d'utiliser IPv6 ou IPv4.

Ce n'est donc pas IPv6 qui pose problème en soit, ce sont les logiciels qui posent problème en choisissant mal des protocoles adaptés à la situation.

 

En principe, IPV6 est désactivé par défaut sous Windows XP. Pour s’en assurer, lancer une console de commande :

et taper

 

netsh int ipv6 uninstall

 

Windows Vista intègre tout comme Windows XP le protocole TCP/IP V6. Le protocole utilisé à ce jour sur internet est encore TCP/IP V4, donc si vous n'utilisez que ce protocole, vous pouvez désactiver IPV6 le futur protocole TCP/IP afin d'économiser des ressources réseau.

Dans Panneau de configuration, Réseau et Internet, Centre réseau et partage, cliquez sur la tâche Gérer les connexions réseau

hoisissez Propriétés en utilisant le clic droit sur l'icone de votre connexion réseau ou double-cliquez sur l'icone pour choisir Propriétés.

Décochez Protocole Internet version 6, puis cliquez sur OK et Fermer.

 

ipv6 et Firefox

Désactiver ipv6 et revenir à ipv4

Pour cela:

Tapez About:config dans la barre d'adresses:

Allez à la variable network.dns.disableIPv6 et passez la de True à False en cliquant droit->Inverser

 

 

Accélérer les accès réseaux :

Ceci empêche Windows de vérifier la présence de tâches planifiées et des imprimantes partagées avant toute connexion réseau.

1) Ouvrez : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\RemoteComputer\NameSpace.

2) Faites un clic bouton droit sur la sous-clé {D6277990-4C6A-11CF-8D87-00AA0060F5BF} puis choisissez "Supprimer".

3) Faites de même pour la sous-clé {2227A280-3AEA-1069-A2DE-08002B30309D}.

 

Vaccination Spybot

Si ,dans Spybot S&D vous avez vacciné, allez à l'onglet "vaccination"

cliquez sur "Vaccination" dans la colonne sur la gauche :

Cliquez sur annuler (la flèche bleue) pour annuler la vaccination.

 

Vérifier les paramètres d'Internet ..

 

1) Dans Internet Explorer, cliquer sur Outils > Options Internet... puis, onglet "Sécurité".

2) Choisir la zone Internet puis, cliquer sur le bouton Niveau par défaut.

 

Si cela ne fonctionne pas, essayer ceci

 

1) Clic sur le bouton Personnaliser le niveau...

2) Cocher tous les boutons radio Activer ou Demander.

3) Valider puis, relancer Internet Explorer.

4) Accéder de nouveau à l'onglet "Sécurité".

5) Cocher le bouton radio Niveau par défaut...

6) Valider puis, relancer Internet Explorer.

 

 

Pour Windows XP , il est possible de refaire un reset de Winsock

(dans le cas où un antivirus se charge dans les LSP il sera supprimé aussi),

cela se fait comme ceci :

Menu Démarrer / executer et taper : netsh winsock reset catalog

Redémarrez l'ordinateur.

 

 

Dns et Fichier Hosts

Si, comme souvent recommendé, vous avez optimisé votre fichier Hosts pour vous protéger de sites dangereux,

Il faut absolument désactiver le service Client DNS

 

Propriétés Tcp/Ip

Dans les propriétés de la "Connexion au réseau local",

dans les propriétés du protocole TCP/IP->Utiliser l'adresse de serveur DNS suivant

tapez les dns de votre fai

Si vous ne les connaissez pas:

Démarrer->Exécuter->cmd /k ipconfig /all.

 

[zahi]

BOnjour pear

 

la démarche des connexions internet a bien passé je l'ai appliqué et ca a l'air de bien marcher

mais pour le telechargement de rootrepeal j'ai eu le meme probleme que j'ai eu avant avec les programmes que vous m'avez dit de telecharger comme

je les telecharge et je les recois sous forme "rar "

 

MErci pour tes solutions pear et j;attends ta reponse pour la prochaine etape

[pear]

Bonjour,

 

les programmes que vous m'avez dit de telecharger comme

je les telecharge et je les recois sous forme "rar "

 

Et , si vous faites clic droit sur le fichier ->Extraire ici ?(C'est que l'on appelle" Dézipper")

[zahi]

BOnsoir pear

 

J'ai essayé de faire le scan plusieurs fois mais a chaque fois il s'arrrtait affichait qu'il y a un error et il me donne le rapport suivant:

 

OOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2009/10/26 17:15

Program Version: Version 1.3.5.0

Windows Version: Windows Vista SP2

==================================================

 

Drivers

-------------------

Name: dump_iaStor.sys

Image Path: C:\Windows\System32\Drivers\dump_iaStor.sys

Address: 0x8A728000 Size: 819200 File Visible: No Signed: -

Status: -

 

Name: rootrepeal.sys

Image Path: C:\Windows\system32\drivers\rootrepeal.sys

Address: 0x9F5DF000 Size: 49152 File Visible: No Signed: -

Status: -

 

Hidden/Locked Files

-------------------

Path: C:\System Volume Information\{0171caaf-af4b-11de-8eb7-001e685bc773}{3808876b-c176-4e48-b7ae-04046e6cc752}

Status: Locked to the Windows API!

 

Path: C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}

Status: Locked to the Windows API!

 

Path: C:\System Volume Information\{45375cf1-ba44-11de-a324-001e685bc773}{3808876b-c176-4e48-b7ae-04046e6cc752}

Status: Locked to the Windows API!

 

Path: C:\System Volume Information\{45375cf5-ba44-11de-a324-001e685bc773}{3808876b-c176-4e48-b7ae-04046e6cc752}

Status: Locked to the Windows API!

 

Path: C:\System Volume Information\{45375cf9-ba44-11de-a324-001e685bc773}{3808876b-c176-4e48-b7ae-04046e6cc752}

Status: Locked to the Windows API!

 

Path: C:\System Volume Information\{97faa01d-b8ea-11de-8e98-001e685bc773}{3808876b-c176-4e48-b7ae-04046e6cc752}

Status: Locked to the Windows API!

 

Path: C:\System Volume Information\{a5dccf92-ac20-11de-889f-001e685bc773}{3808876b-c176-4e48-b7ae-04046e6cc752}

Status: Locked to the Windows API!

 

Path: C:\System Volume Information\{b013cb71-bd97-11de-aee5-001e685bc773}{3808876b-c176-4e48-b7ae-04046e6cc752}

Status: Locked to the Windows API!

 

Path: C:\System Volume Information\{c3d6e08f-befd-11de-bfff-001e685bc773}{3808876b-c176-4e48-b7ae-04046e6cc752}

Status: Locked to the Windows API!

 

Path: C:\System Volume Information\{cdb9c177-b7e8-11de-a4ce-001e685bc773}{3808876b-c176-4e48-b7ae-04046e6cc752}

Status: Locked to the Windows API!

 

Path: C:\System Volume Information\{ce1f3a93-b951-11de-b694-001e685bc773}{3808876b-c176-4e48-b7ae-04046e6cc752}

Status: Locked to the Windows API!

 

Path: C:\System Volume Information\{D9E5A~1

Status: Locked to the Windows API!

 

Path: C:\System Volume Information\{e796a010-aed6-11de-bb60-001e685bc773}{3808876b-c176-4e48-b7ae-04046e6cc752}

Status: Locked to the Windows API!

 

Path: C:\System Volume Information\{eae3db9e-b442-11de-80d7-001e685bc773}{3808876b-c176-4e48-b7ae-04046e6cc752}

Status: Locked to the Windows API!

 

Path: C:\System Volume Information\{ed88cb88-b1cb-11de-ac98-001e685bc773}{3808876b-c176-4e48-b7ae-04046e6cc752}

Status: Locked to the Windows API!

 

Path: c:\windows\temp\26548a93-ac3b-4de4-86fc-76a76b87a7e0.tmp

Status: Allocation size mismatch (API: 65536, Raw: 0)

 

Path: C:\Program Files\Windows Media Player\Network Sharing\RENDER~1.XML

Status: Locked to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\cfwanimage

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\cs-CZ

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\da-DK

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\de-de

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\el-GR

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\en

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\es-es

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\FaceInstallAssist.dll

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\FaceLib

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\fi-FI

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\fr-FR

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\Guides

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\Help

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\hu-HU

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\it-IT

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\ja-JP

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\ko-kr

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\nb-NO

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\nl-nl

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\pl-PL

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\pt-PT

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\ru-RU

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\sk-SK

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\SmartFaceV.ini

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\SmartFaceVLogOn.dll

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\SmartFaceVSetting.exe

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\sv-se

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\tr-tr

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\zh-cn

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\zh-tw

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\NotifyTZU.dll

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\SmoothView.chm

Status: Invisible to the Windows API!

 

Path: C:\Program Files\Toshiba\ConfigFree\SmoothView.exe

Status: Invisible to the Windows API!

 

Path: C:\Windows\System32\XPSViewer\XPSVIE~1.XML

Status: Locked to the Windows API!

 

Path: C:\Windows\System32\wbem\MSFEED~1.MOF

Status: Locked to the Windows API!

 

Path: C:\Windows\System32\wbem\PORTAB~1.MOF

Status: Locked to the Windows API!

 

Path: C:\Windows\System32\wbem\PORTAB~2.MOF

Status: Locked to the Windows API!

 

Path: C:\Windows\System32\wbem\PORTAB~3.MOF

Status: Locked to the Windows API!

 

Path: C:\Windows\System32\wbem\PRINTF~1.MOF

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_microsoft.msxml2_6bd6b9abf345378f_4.20.9870.0_none_b7e00e6c7b30b69b.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_microsoft.msxml2_6bd6b9abf345378f_4.20.9818.0_none_b7e811947b297f6d.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_microsoft.vc80.atl_1fc8b3b9a1e18e3b_8.0.50727.4053_none_d1c738ec43578ea

1.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_policy.8.0.microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.42_none_5c4003

bc63e949f6.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_policy.9.0.microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.21022.8_none_60a5df5

6e60dc5df.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_microsoft.vc80.openmp_1fc8b3b9a1e18e3b_8.0.50727.762_none_7b33aa7d21850

4d2.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_microsoft.vc80.mfcloc_1fc8b3b9a1e18e3b_8.0.50727.42_none_0e9c2a8d74fd3c

e6.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_policy.8.0.microsoft.vc80.openmp_1fc8b3b9a1e18e3b_8.0.50727.42_none_765

8964504b9f3b6.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_policy.8.0.microsoft.vc80.openmp_1fc8b3b9a1e18e3b_8.0.50727.762_none_ab

ac38a907ee8801.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.21022.8_none_bcb86ed6ac711f91.c

at

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.42_none_db5f52fb98cb24ad.

cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_microsoft.vc80.mfc_1fc8b3b9a1e18e3b_8.0.50727.42_none_d6c3e7af9bae13a2.

cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_policy.8.0.microsoft.vc80.mfc_1fc8b3b9a1e18e3b_8.0.50727.42_none_54c11d

f268b7c6d9.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_policy.4.20.microsoft.msxml2_6bd6b9abf345378f_4.20.9870.0_none_a6dea5dc

0ea08098.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_microsoft.msxml2r_6bd6b9abf345378f_4.1.1.0_none_365945b9da656e4d.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_policy.8.0.microsoft.vc80.atl_1fc8b3b9a1e18e3b_8.0.50727.4053_none_4ddf

c6cd11929a02.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_microsoft.vc80.atl_1fc8b3b9a1e18e3b_8.0.50727.42_none_dc990e4797f81af1.

cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_policy.4.1.microsoft.msxml2r_6bd6b9abf345378f_4.1.1.0_none_8b7b15c031cd

a6db.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_microsoft.vc80.mfcloc_1fc8b3b9a1e18e3b_8.0.50727.762_none_43efccf17831d

131.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_policy.8.0.microsoft.vc80.mfcloc_1fc8b3b9a1e18e3b_8.0.50727.762_none_8d

d7dea5d5a7a18a.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_policy.8.0.microsoft.vc80.atl_1fc8b3b9a1e18e3b_8.0.50727.42_none_58b19c

2866332652.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_policy.8.0.microsoft.vc80.mfcloc_1fc8b3b9a1e18e3b_8.0.50727.42_none_588

43c41d2730d3f.cat

Status: Locked to the Windows API!

 

Path: C:\Windows\winsxs\Catalogs\x86_microsoft.vc80.openmp_1fc8b3b9a1e18e3b_8.0.50727.42_none_45e008191e5070

87.cat

Status: Locked to the Windows API!

 

Processes

-------------------

Path: System

PID: 4 Status: Locked to the Windows API!

 

Path: C:\Windows\System32\audiodg.exe

PID: 1272 Status: Locked to the Windows API!

 

==EOF==

 

j'attends ta reponse pour la prochaine etape merci d'avance

[pear]

Rootrepeal n'a pas trouvé de rootkit.

 

Essayons une autre recherche:

 

Recherche de Rootkit

Télécharger SysProtsur le bureau

Installez le et double cliquez sur "SysProt.exe"

Cliquez sur l'onglet "log" ;

Cochez toutes les cases présentes dans la fenêtre "Write to log" ;

Cochez Hidden Objects Only (au bas, à gauche)

Les "Objets cachés (Hidden)" sont en Rouge dans tous les modules

Cliquez sur Create log (au bas, à droite)

Une nouvelle fenêtre apparaîtra : cochez Scan root drive et cliquez sur Start ;

Un rapport sera sauvegardé dans le dossier SysProt.

Copiez/collez en le contenu dans votre réponse.

[zahi]

Dear Pear

 

J'ai effectué 3 ou 4 fois le scan et à chaque fois j'attendais 2 ou 3heures sans qu'il se termine et à chque fois que j'appuis ok ( mais sans que le scan soit terminé après 3 heures d'attentes) j'obtiens le rapport suivant

 

SysProt AntiRootkit v1.0.1.0

by swatkat

 

********************************************************************************

**********

********************************************************************************

**********

 

No Hidden Processes found

 

********************************************************************************

**********

********************************************************************************

**********

Kernel Modules:

Module Name: \SystemRoot\System32\Drivers\dump_iaStor.sys

Service Name: ---

Module Base: 8A72D000

Module End: 8A7F5000

Hidden: Yes

 

********************************************************************************

**********

********************************************************************************

**********

No SSDT Hooks found

 

********************************************************************************

**********

********************************************************************************

**********

No Kernel Hooks found

 

********************************************************************************

**********

********************************************************************************

**********

No IRP Hooks found

 

********************************************************************************

**********

********************************************************************************

**********

Ports:

Local Address: USER-PC.ENPC.FR:49356

Remote Address: ETUPROXY2.ENPC.FR:3128

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: ESTABLISHED

 

Local Address: USER-PC.ENPC.FR:49355

Remote Address: ETUPROXY2.ENPC.FR:3128

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: ESTABLISHED

 

Local Address: USER-PC.ENPC.FR:49350

Remote Address: ETUPROXY2.ENPC.FR:3128

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: CLOSE_WAIT

 

Local Address: USER-PC.ENPC.FR:49344

Remote Address: ETUPROXY2.ENPC.FR:3128

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: USER-PC.ENPC.FR:49342

Remote Address: ETUPROXY2.ENPC.FR:3128

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: ESTABLISHED

 

Local Address: USER-PC.ENPC.FR:49340

Remote Address: ETUPROXY2.ENPC.FR:3128

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: ESTABLISHED

 

Local Address: USER-PC.ENPC.FR:49322

Remote Address: ETUPROXY2.ENPC.FR:3128

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: CLOSE_WAIT

 

Local Address: USER-PC.ENPC.FR:49315

Remote Address: ETUPROXY2.ENPC.FR:3128

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: ESTABLISHED

 

Local Address: USER-PC.ENPC.FR:49310

Remote Address: ETUPROXY2.ENPC.FR:3128

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: CLOSE_WAIT

 

Local Address: USER-PC.ENPC.FR:NETBIOS-SSN

Remote Address: 0.0.0.0:0

Type: TCP

Process: System

State: LISTENING

 

Local Address: USER-PC:49354

Remote Address: LOCALHOST:13128

Type: TCP

Process: C:\Program Files\Internet Explorer\iexplore.exe

State: ESTABLISHED

 

Local Address: USER-PC:49353

Remote Address: LOCALHOST:13128

Type: TCP

Process: C:\Program Files\Internet Explorer\iexplore.exe

State: ESTABLISHED

 

Local Address: USER-PC:49349

Remote Address: LOCALHOST:13128

Type: TCP

Process: C:\Program Files\Windows Defender\MSASCui.exe

State: CLOSE_WAIT

 

Local Address: USER-PC:49343

Remote Address: LOCALHOST:13128

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: USER-PC:49341

Remote Address: LOCALHOST:13128

Type: TCP

Process: C:\Program Files\Internet Explorer\iexplore.exe

State: ESTABLISHED

 

Local Address: USER-PC:49339

Remote Address: LOCALHOST:13128

Type: TCP

Process: C:\Program Files\Internet Explorer\iexplore.exe

State: ESTABLISHED

 

Local Address: USER-PC:49321

Remote Address: LOCALHOST:13128

Type: TCP

Process: C:\Program Files\Internet Explorer\iexplore.exe

State: CLOSE_WAIT

 

Local Address: USER-PC:49313

Remote Address: LOCALHOST:13128

Type: TCP

Process: C:\Program Files\Internet Explorer\iexplore.exe

State: ESTABLISHED

 

Local Address: USER-PC:49309

Remote Address: LOCALHOST:13128

Type: TCP

Process: C:\Program Files\Internet Explorer\iexplore.exe

State: CLOSE_WAIT

 

Local Address: USER-PC:27015

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

State: LISTENING

 

Local Address: USER-PC:18080

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: LISTENING

 

Local Address: USER-PC:15190

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: LISTENING

 

Local Address: USER-PC:15050

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: LISTENING

 

Local Address: USER-PC:13128

Remote Address: LOCALHOST:49354

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: ESTABLISHED

 

Local Address: USER-PC:13128

Remote Address: LOCALHOST:49353

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: ESTABLISHED

 

Local Address: USER-PC:13128

Remote Address: LOCALHOST:49349

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: FIN_WAIT2

 

Local Address: USER-PC:13128

Remote Address: LOCALHOST:49341

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: ESTABLISHED

 

Local Address: USER-PC:13128

Remote Address: LOCALHOST:49339

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: ESTABLISHED

 

Local Address: USER-PC:13128

Remote Address: LOCALHOST:49337

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: USER-PC:13128

Remote Address: LOCALHOST:49335

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: USER-PC:13128

Remote Address: LOCALHOST:49333

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: USER-PC:13128

Remote Address: LOCALHOST:49328

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: USER-PC:13128

Remote Address: LOCALHOST:49321

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: FIN_WAIT2

 

Local Address: USER-PC:13128

Remote Address: LOCALHOST:49313

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: ESTABLISHED

 

Local Address: USER-PC:13128

Remote Address: LOCALHOST:49309

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: FIN_WAIT2

 

Local Address: USER-PC:13128

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: LISTENING

 

Local Address: USER-PC:11863

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: LISTENING

 

Local Address: USER-PC:10080

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\PROGRA~1\AVG\AVG8\avgnsx.exe

State: LISTENING

 

Local Address: USER-PC:49159

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Windows\System32\services.exe

State: LISTENING

 

Local Address: USER-PC:49156

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Windows\System32\svchost.exe

State: LISTENING

 

Local Address: USER-PC:49155

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Windows\System32\lsass.exe

State: LISTENING

 

Local Address: USER-PC:49154

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Windows\System32\svchost.exe

State: LISTENING

 

Local Address: USER-PC:49153

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Windows\System32\svchost.exe

State: LISTENING

 

Local Address: USER-PC:49152

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Windows\System32\wininit.exe

State: LISTENING

 

Local Address: USER-PC:5357

Remote Address: 0.0.0.0:0

Type: TCP

Process: System

State: LISTENING

 

Local Address: USER-PC:MICROSOFT-DS

Remote Address: 0.0.0.0:0

Type: TCP

Process: System

State: LISTENING

 

Local Address: USER-PC:EPMAP

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Windows\System32\svchost.exe

State: LISTENING

 

Local Address: USER-PC.ENPC.FR:50094

Remote Address: NA

Type: UDP

Process: C:\Windows\System32\svchost.exe

State: NA

 

Local Address: USER-PC.ENPC.FR:SSDP

Remote Address: NA

Type: UDP

Process: C:\Windows\System32\svchost.exe

State: NA

 

Local Address: USER-PC.ENPC.FR:138

Remote Address: NA

Type: UDP

Process: System

State: NA

 

Local Address: USER-PC.ENPC.FR:NETBIOS-NS

Remote Address: NA

Type: UDP

Process: System

State: NA

 

Local Address: USER-PC:58666

Remote Address: NA

Type: UDP

Process: C:\Windows\System32\svchost.exe

State: NA

 

Local Address: USER-PC:58665

Remote Address: NA

Type: UDP

Process: C:\Program Files\Internet Explorer\iexplore.exe

State: NA

 

Local Address: USER-PC:58664

Remote Address: NA

Type: UDP

Process: C:\Program Files\Internet Explorer\iexplore.exe

State: NA

 

Local Address: USER-PC:50095

Remote Address: NA

Type: UDP

Process: C:\Windows\System32\svchost.exe

State: NA

 

Local Address: USER-PC:49773

Remote Address: NA

Type: UDP

Process: C:\Program Files\Internet Explorer\iexplore.exe

State: NA

 

Local Address: USER-PC:SSDP

Remote Address: NA

Type: UDP

Process: C:\Windows\System32\svchost.exe

State: NA

 

Local Address: USER-PC:54549

Remote Address: NA

Type: UDP

Process: C:\Windows\System32\svchost.exe

State: NA

 

Local Address: USER-PC:LLMNR

Remote Address: NA

Type: UDP

Process: C:\Windows\System32\svchost.exe

State: NA

 

Local Address: USER-PC:IPSEC-MSFT

Remote Address: NA

Type: UDP

Process: C:\Windows\System32\svchost.exe

State: NA

 

Local Address: USER-PC:UPNP-DISCOVERY

Remote Address: NA

Type: UDP

Process: C:\Windows\System32\svchost.exe

State: NA

 

Local Address: USER-PC:UPNP-DISCOVERY

Remote Address: NA

Type: UDP

Process: C:\Windows\System32\svchost.exe

State: NA

 

Local Address: USER-PC:500

Remote Address: NA

Type: UDP

Process: C:\Windows\System32\svchost.exe

State: NA

 

Local Address: USER-PC:123

Remote Address: NA

Type: UDP

Process: C:\Windows\System32\svchost.exe

State: NA

 

********************************************************************************

**********

********************************************************************************

**********

Hidden files/folders:

Object: C:\Users\user\Documents\zahi university docs\France ENPC\Anciens documents\presetti_entreprises\Affiche A3-Ponts et Chausse´es-16octobre2008.pdf.zip

Status: Hidden

 

Object: C:\Users\user\Documents\zahi university docs\Lebanon (ESIB)\Projet seismes\zahi projet exel\projet seisme\projet numerique\The Laplace transform is an integral transform perhaps second only to the Fourier transform in its utility in solving physical probl

Status: Hidden

 

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl

Status: Access denied

 

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl

Status: Access denied

 

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl

Status: Access denied

 

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl

Status: Access denied

 

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession.etl

Status: Access denied

 

 

MErci encor une fois, j'attends que tu me guide dans la prochaine etape

[pear]

Bonsoir,

 

Toujours rien!

On continue..

 

Recherche Win32kDiag

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Pour éviter leur réactivation après un redémarrage, décochez les dans les options de démarrage ->Msconfig

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

C:\ProgramData\Spybot - Search & Destroy\Snapshots

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vers le bureau ,

Télécharger (Win32kDiag.exe)

Double-cliquez sur Win32kDiag.exe et patientez

Quand apparait "Finished! Press any key to exit...", appuyez sur une clé quelconque

Double-cliquez sur Win32kDiag.txt sur le bureau et postez en le contenu par copier/coller dans votre prochain message

[zahi]

BOnjour pear

 

voici le rapport

 

Running from: C:\Users\user\Desktop\Win32kDiag.exe

 

Log file at : C:\Users\user\Desktop\Win32kDiag.txt

 

WARNING: Could not get backup privileges!

 

Searching 'C:\Windows'...

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl

 

[1] 2009-10-28 11:35:04 64 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl

 

[1] 2009-10-28 11:34:47 0 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl

 

[1] 2009-10-28 11:34:54 64 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl

 

[1] 2009-10-28 11:34:53 64 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession.etl

 

[1] 2009-10-28 11:35:59 0 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMuroc System Trace.etl

 

[1] 2009-10-28 11:35:10 0 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMuroc System Trace.etl ()

 

 

 

 

 

Finished!

 

 

J'attends tes consignes pour la prochaine etape merci encore une fois