désinfection mal réussie

[bouha]

Bonjour Mark

Merci de joindre tes efforts à ceux de Falkra pour remédier aux dommages causés par la désinfection mal réussie sur mon PC.

Pour répondre à tes questions, je dirai que:

1/ j'en ai aucun des CD dont tu m'as parlés. J'ai une copie originale de windows XP professionnel, intégrée dans la machine, version 2002, Service Pack 2, enregistré sous le nom d'utilisateur: Agilium .SA, numéro de la clé du produit ( ou de la série, je ne sais pas): <retirée par Mark>.

C'est tout ce que j'ai comme données en ce qui concerne mon système d'exploitation.

2/Non, j'ai toujours pas accès à internet, un témoin cilgnotant en bas du bureau à droite, indique comme état de connexion:lecture de l'adresse réseau.

3/ l'état de la machine est stationnaire: lenteur de démarrage, le bureau ne s'affiche qu'après 5 minutes, impossibilité d'activer les pare-feux, impossibilité de mettre à jour, l'anti-virus

4/Voici un nouveau rapport HijackThis

à+

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:59:23, on 19/10/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

D:\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

D:\Winamp\winampa.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\wscntfy.exe

G:\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://y.lo.st

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://y.lo.st

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing)

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - D:\eoRezo\EoAdv\EoRezobho.dll (file missing)

O2 - BHO: Google Desktop Search Capture - {7c1ce531-09e9-4fc5-9803-1c2956615786} - C:\Program Files\Google\Google Desktop Search\GoogleDesktopIE.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (file missing)

O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - D:\eoRezo\EoAdv\EoRezoBHO.dll (file missing)

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing)

O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: AutorunsDisabled

O4 - Global Startup: AutorunsDisabled

O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: &WordWeb... - res://C:\WINDOWS\wweb32.dll/lookup.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.0_03\bin\npjpi140_03.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.0_03\bin\npjpi140_03.dll (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O10 - Broken Internet access because of LSP chain gap (#1 in chain of 1 missing)

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{00483275-C0F2-4055-923B-C76A71D7867E}: NameServer = 193.95.93.77,193.95.66.10

O17 - HKLM\System\CS1\Services\Tcpip\..\{00483275-C0F2-4055-923B-C76A71D7867E}: NameServer = 193.95.93.77,193.95.66.10

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Google Software Updater (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: Administration IIS (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe (file missing)

O23 - Service: Publication FTP (MSFtpsvc) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe (file missing)

O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe (file missing)

O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

 

--

End of file - 5893 bytes

Modifié le 28 octobre 2009 par Mark
Retirer clé de produit

[Mark]

Merci pour le rapport et les détails

 

On va tenter de te réparer ta connexion, puis je te passe un outil antivirus qui pourra vérifier la présence ou restes de Mabezat :

==================

 

Télécharge WinsockXPFix (par Option^Explicit) du lien suivant :

http://www.webattack.com/get/winsockxpfix.html

 

Télécharge le fichier deldomains du lien suivant :

http://senduit.com/fee47b

 

- Transporte les deux outils sur la machine infectée (sur son Bureau).

- Lance l'outil WinsockXPFix.exe par double-clique ;

- Clique le bouton "Fix"

- Ferme l'outil lorsque terminé.

- Fais un clic droit sur le fichier deldomains et choisis "Installer" (clic gauche) du menu contextuel.

- Redémarre la machine et essaie la connexion Internet

 

~~~~~~~~~~~~~~~~~~

 

Peu importe si la connexion est rétablie ou non, je te fais faire la prochaine manipulation. Tu devras simplement télécharger l'outil à partir de la machine saine et le transporter si jamais tu ne peux pas à partir de la machine "malade" :

 

SCANNER AVEC AVP TOOL

 

 

• Télécharge et enregistre sur ton Bureau le scanner portable AVP TOOL en cliquant sur cette image:
  
   
  
• Connecte éventuellement tes clés USB et disques externes.
   
   
  
• Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus
  
• Réponds "Oui" à la question "Do you want to continue installation?"
  
• Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool"
  
• L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan".
  
• Clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
  
• A la fin de l'analyse, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Delete" ou "Disinfect" selon ce que propose la fenêtre:
   
  
  
• Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK"
  
• Rends-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events"
  
• Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL
  
• Ferme les fenêtres d'AVP Tool: un message apparaît proposant de désinstaller le logiciel: choisis "YES"
  
  
• Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation:
  
  A la question "Would you like to restart now", réponds "OUI" et l'ordi va redémarrer.
   
   
  
• Poste le contenu du rapport (sauvegardé sur ton Bureau) dans ta prochaine réponse.
  

========

========

========

 

Reviens nous poster le rapport d'AVP Tool et dis-nous comment tout ça progresse (connexion incluse).

 

Bon succès

 

Mark

[bouha]

Bonsoir Mark

j'ai entamé l'exécution de ce que tu m'as demandé, et à ce stade je souhaite te soumettre quelques remarques:

1/ la connexion internet n'as pas été rétablie: un message m'indique que la connectivité est limitée ou inexistante. En cliquant sur l'onglet support de la carte réseau, un autre message m'indique que '' vous ne pouvez peut être pas accéder à internet ou à des ressources réseau. Ce problème se produit parce que le réseau n'a pas attribué d(adresse à l'ordinateur".

2/En ce qui concerne l'AVP Tool, j'ai bien suivi la procédure de téléchargement et d'installation mais c'est un virus removal Tool que j'ai sur le bureau et non pas Kaspersky lab Tool. J'en ai déduit qu'il s'agit de la même chose, n'est ce pas?

3/ En passant à l'automatic scan, l'opération m'a semblé trop longue. Elle a commencé aujourd'hui, 21 octobre 2009 à 10.37 et selon le timing affiché elle devrait se terminer le 22 octobre 2009 à 8 heures, et au fur et à mesure que le scan progresse l'heure de la fin est davantage retardée, j'en ai déduit qu'on ne sait pas quand cela va se terminer. Est ce normal? devant cet état de choses, et vu que je ne peux pas maintenir la machine sous charge électrique aussi longtemps, peut -on procéder par étapes?

4/ Après plus de 8 heures de balayage et plus de 103 mile fichiers scanné, aucun virus n'a été détecté. j'en ai déduit qu'un léger mieux caractérise l'état de la machine. quelques indices le laissent supposer: le pare-feux est réactivé, le bureau s'affiche normalement, qu'en penses-tu?

5/ Si ça ne se termine pas dans une heure, je vais interrompre le scan pour le reprendre demain matin.

à+

[Mark]

Bonsoir bouha

 

Oui l'analyse du Virus Removal Tool (c'est bien AVP Tool) peut être longue, mais là... ouff ! Si possible, il faudrait la laisser terminer mais bon, je vais pas te tordre un bras hein

Il existe un autre outil antivirus qui pourrait faire le job aussi, en moins de temps, possiblement. On verra si AVP termine ou non. Il faut absolument analyser tous les fichiers sur la machine avec Kaspersky, ou l'autre, car une petite trace pourrait tout relancer, si laissée derrière.

 

Remets aussi un nouveau rapport HijackThis, lorsque AVP aura complété (ou aura été fermé). Je vais voir pour la connexion (bizarre).

 

@+

 

Mark

[bouha]

Bonjour Mark

Le scan a été très long, beaucoup trop même (27 heures, 18 minutes), c'est bizarre, non? Enfin... Voici donc le résultat, un rapport de avp tool , plus un rapport de HijackThis. J'attend tes conclusions.

à+

 

1/Scan

----

Scanned: 404179

Detected: 0

Untreated: 0

Start time: 21/10/2009 21:52:45

Duration: 1 days 03:18:20

Finish time: 23/10/2009 01:11:05

 

 

Detected

--------

Status Object

------ ------

 

 

Events

------

Time Name Status Reason

---- ---- ------ ------

21/10/2009 22:04:46 File: C:\Documents and Settings\Agilium\Application Data\Mozilla\Profiles\default\t7l5uleu.slt\Mail\pophost.enstimac-1.fr.rar/pophost.enstimac-1.fr\Inbox processing error

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\KeywordHijacker.zip/sbRecovery.reg password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\KeywordHijacker.zip/sbRecovery.ini password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterAntiVirusOverride.zip/sbRecovery.reg password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterAntiVirusOverride.zip/sbRecovery.ini password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityFirewallOpenPorts.zip/sbRecovery.reg password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityFirewallOpenPorts.zip/sbRecovery.ini password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityFirewallOpenPorts1.zip/sbRecovery.reg password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityFirewallOpenPorts1.zip/sbRecovery.ini password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\NebulerBHO.zip/sbRecovery.reg password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\NebulerBHO.zip/sbRecovery.ini password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAutoit.zip/sbRecovery.reg password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAutoit.zip/sbRecovery.ini password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAutoit2.zip/sbRecovery.reg password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAutoit2.zip/sbRecovery.ini password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinSohanadt.zip/sbRecovery.reg password protected

21/10/2009 22:17:15 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinSohanadt.zip/sbRecovery.ini password protected

21/10/2009 22:17:16 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinSohanadt1.zip/sbRecovery.reg password protected

21/10/2009 22:17:16 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinSohanadt1.zip/sbRecovery.ini password protected

22/10/2009 08:21:37 File: E:\capture caméra\finaltouzi famille.rar/hand2.wmv processing error

22/10/2009 09:54:16 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab/MSO.DLL processing error

22/10/2009 09:54:16 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab/MSOICONS.EXE processing error

22/10/2009 09:54:16 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab/DWDCW20.DLL processing error

22/10/2009 09:54:16 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab/DW20.EXE_0001 processing error

22/10/2009 09:54:17 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab/DWTRIG20.EXE processing error

22/10/2009 09:54:17 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab/FL_Microsoft_VisualStudio_Zip_dll_118328_____X86.3643236F_FC70_11D3_A536_0090278

A1BB8 processing error

22/10/2009 09:54:17 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab/FL_Microsoft_WizardFramework_dll_122546_____X86.3643236F_FC70_11D3_A536_0090278A

1BB8 processing error

22/10/2009 09:54:17 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab/FL_msenv2p_dll_74877_____X86.3643236F_FC70_11D3_A536_0090278A1BB8 processing error

22/10/2009 09:54:17 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab/FL_msenv80p_dll_99825_____X86.3643236F_FC70_11D3_A536_0090278A1BB8 processing error

22/10/2009 09:54:17 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab/FL_microsoft_visualstudio_commonide_dll_73729_____X86.3643236F_FC70_11D3_A536_00

90278A1BB8 processing error

22/10/2009 09:54:17 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab/FL_VSCryptoInfo_dll_118326_____X86.3643236F_FC70_11D3_A536_0090278A1BB8 processing error

22/10/2009 09:54:17 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab processing error

22/10/2009 11:49:01 File: C:\Documents and Settings\Agilium\Application Data\Mozilla\Profiles\default\t7l5uleu.slt\Mail\pophost.enstimac-1.fr.rar/pophost.enstimac-1.fr\Inbox processing error

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\KeywordHijacker.zip/sbRecovery.reg password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\KeywordHijacker.zip/sbRecovery.ini password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterAntiVirusOverride.zip/sbRecovery.reg password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterAntiVirusOverride.zip/sbRecovery.ini password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityFirewallOpenPorts.zip/sbRecovery.reg password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityFirewallOpenPorts.zip/sbRecovery.ini password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityFirewallOpenPorts1.zip/sbRecovery.reg password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityFirewallOpenPorts1.zip/sbRecovery.ini password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\NebulerBHO.zip/sbRecovery.reg password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\NebulerBHO.zip/sbRecovery.ini password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAutoit.zip/sbRecovery.reg password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAutoit.zip/sbRecovery.ini password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAutoit2.zip/sbRecovery.reg password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAutoit2.zip/sbRecovery.ini password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinSohanadt.zip/sbRecovery.reg password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinSohanadt.zip/sbRecovery.ini password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinSohanadt1.zip/sbRecovery.reg password protected

22/10/2009 12:00:35 File: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinSohanadt1.zip/sbRecovery.ini password protected

22/10/2009 21:46:31 File: E:\capture caméra\finaltouzi famille.rar/hand2.wmv processing error

22/10/2009 23:19:26 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab/BD18235 processing error

22/10/2009 23:19:26 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab/BD18199 processing error

22/10/2009 23:19:26 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab/FD00544_.WMF processing error

22/10/2009 23:19:27 File: E:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-E\ProPlsWW.cab processing error

 

 

Statistics

----------

Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted

------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------

 

 

Settings

--------

Parameter Value

--------- -----

Security Level Recommended

Action Prompt for action when the scan is complete

Run mode Manually

File types Scan all files

Scan only new and changed files No

Scan archives All

Scan embedded OLE objects All

Skip if object is larger than No

Skip if scan takes longer than No

Parse email formats No

Scan password-protected archives No

Enable iChecker technology No

Enable iSwift technology No

Show detected threats on "Detected" tab Yes

Rootkits search Yes

Deep rootkits search No

Use heuristic analyzer Yes

 

 

Quarantine

----------

Status Object Size Added

------ ------ ---- -----

 

 

Backup

------

Status Object Size

------ ------ ----

 

2/Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:24:28, on 23/10/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

D:\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

D:\Winamp\winampa.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\dali\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://y.lo.st

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://y.lo.st

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing)

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - D:\eoRezo\EoAdv\EoRezobho.dll (file missing)

O2 - BHO: Google Desktop Search Capture - {7c1ce531-09e9-4fc5-9803-1c2956615786} - C:\Program Files\Google\Google Desktop Search\GoogleDesktopIE.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (file missing)

O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - D:\eoRezo\EoAdv\EoRezoBHO.dll (file missing)

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing)

O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: AutorunsDisabled

O4 - Global Startup: AutorunsDisabled

O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: &WordWeb... - res://C:\WINDOWS\wweb32.dll/lookup.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.0_03\bin\npjpi140_03.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.0_03\bin\npjpi140_03.dll (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Google Software Updater (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: Administration IIS (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe (file missing)

O23 - Service: Publication FTP (MSFtpsvc) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe (file missing)

O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe (file missing)

O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

 

--

End of file - 5708 bytes

[bouha]

Bonsoir Mark

Où en es-tu avec mes derniers rapports d'avp tool et de hijackThis? J'attends toujours tes conclusions pour terminer le travail.

à+

[Mark]

Bonjour bouha

 

Alors désolé, ta discussion m'a filé sous les yeux.

 

Le scan de l'outil Kaspersky a été très long, effectivement ; les dégâts subis par le système font en sorte qu'à tout le moins un service essentiel de Windows ne fonctionne pas, ce qui cause des ennuis majeurs. C'est un rootkit qui est généralement derrière ce genre de problème ; là il n'y est plus, mais les dégâts, si.

 

On va tenter de diagnostiquer de la façon suivante :

=============

 

- Télécharge le fichier suivant :

http://senduit.com/bc8290

 

> Sauvegarde-le sur le Bureau de la machine infectée.

> Lance le fichier (Look1.bat) par double-clic et autorise son exécution ;

> L'opération sera très rapide et un fichier texte apparaîtra (Log1.txt) ; tu peux le ferner pour l'instant et il sera sauvegardé sur le Bureau automatiquement.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

- Télécharge querySvc.exe (de sUBs) du lien suivant :

http://download.bleepingcomputer.com/sUBs/Beta/querySvc.exe

 

> Mets-le sur le Bureau et lance-le ; autorise son exécution. Ça ne prendra qu'une dizaine de secondes à tourner. Un fichier texte apparaîtra (sUBs.txt) ; du menu "Fichier" >> "Enregistrer sous..." >> sauvegarde-le sur ton Bureau.

 

Copie/colle le contenu des deux rapports ici, dans ta réponse (sUBs.txt et Log1.txt).

 

@+

[bouha]

Bonsoir Mark

En lançant querySVC.exe, avira a détecté un virus que j'ai mis en quarantaine, donc j'ai fait un scan complet du système dont je te soumets le rapport, en plus j'ai fait une nouvelle analyse HijackThis dont voici la rapport. En plus tu aura subs.txt, et log 1.txt. voilà, à toi de voir.

à+

1/ scan avira

 

 

Avira AntiVir Personal

Report file date: mercredi 28 octobre 2009 15:25

 

Scanning for 1817547 virus strains and unwanted programs.

 

Licensee : Avira AntiVir Personal - FREE Antivirus

Serial number : 0000149996-ADJIE-0000001

Platform : Windows XP

Windows version : (Service Pack 2) [5.1.2600]

Boot mode : Normally booted

Username : SYSTEM

Computer name : JIJIMAISON

 

Version information:

BUILD.DAT : 9.0.0.410 18074 Bytes 25/09/2009 11:56:00

AVSCAN.EXE : 9.0.3.7 466689 Bytes 21/07/2009 13:36:14

AVSCAN.DLL : 9.0.3.0 40705 Bytes 27/02/2009 10:58:24

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:49

LUKERES.DLL : 9.0.2.0 12033 Bytes 27/02/2009 10:58:52

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 12:30:36

ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 09:21:42

ANTIVIR2.VDF : 7.1.6.112 4833792 Bytes 15/10/2009 18:40:14

ANTIVIR3.VDF : 7.1.6.145 272896 Bytes 23/10/2009 18:40:21

Engineversion : 8.2.1.44

AEVDF.DLL : 8.1.1.2 106867 Bytes 23/10/2009 18:41:11

AESCRIPT.DLL : 8.1.2.40 487804 Bytes 23/10/2009 18:41:09

AESCN.DLL : 8.1.2.5 127346 Bytes 23/10/2009 18:41:05

AERDL.DLL : 8.1.3.2 479604 Bytes 23/10/2009 18:41:04

AEPACK.DLL : 8.2.0.2 422263 Bytes 23/10/2009 18:40:58

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23/07/2009 09:59:39

AEHEUR.DLL : 8.1.0.167 2011511 Bytes 23/10/2009 18:40:52

AEHELP.DLL : 8.1.7.0 237940 Bytes 23/10/2009 18:40:33

AEGEN.DLL : 8.1.1.68 364918 Bytes 23/10/2009 18:40:30

AEEMU.DLL : 8.1.1.0 393587 Bytes 23/10/2009 18:40:26

AECORE.DLL : 8.1.8.1 184693 Bytes 23/10/2009 18:40:23

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:59

AVPREF.DLL : 9.0.3.0 44289 Bytes 23/10/2009 18:41:12

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 14:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 05/12/2008 10:32:09

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:41

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:37:08

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:21:33

NETNT.DLL : 9.0.0.0 11521 Bytes 05/12/2008 10:32:10

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15/05/2009 15:39:58

RCTEXT.DLL : 9.0.37.0 86785 Bytes 17/04/2009 10:19:48

 

Configuration settings for the scan:

Jobname.............................: Complete system scan

Configuration file..................: c:\program files\avira\antivir desktop\sysscan.avp

Logging.............................: low

Primary action......................: interactive

Secondary action....................: ignore

Scan master boot sector.............: on

Scan boot sector....................: on

Boot sectors........................: C:, D:, E:,

Process scan........................: on

Scan registry.......................: on

Search for rootkits.................: on

Integrity checking of system files..: off

Scan all files......................: All files

Scan archives.......................: on

Recursion depth.....................: 20

Smart extensions....................: on

Macro heuristic.....................: on

File heuristic......................: medium

Deviating risk categories...........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: mercredi 28 octobre 2009 15:25

 

Starting search for hidden objects.

'34662' objects were checked, '0' hidden objects were found.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'wscntfy.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'winampa.exe' - '1' Module(s) have been scanned

Scan process 'wmpnetwk.exe' - '1' Module(s) have been scanned

Scan process 'BCMWLTRY.EXE' - '1' Module(s) have been scanned

Scan process 'WLTRYSVC.EXE' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'SeaPort.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'MsMpEng.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

28 processes with 28 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

Boot sector 'D:\'

[iNFO] No virus was found!

Boot sector 'E:\'

[iNFO] No virus was found!

 

Starting to scan executable files (registry).

The registry was scanned ( '50' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <l'important !!>

C:\pagefile.sys

[WARNING] The file could not be opened!

[NOTE] This file is a Windows system file.

[NOTE] This file cannot be opened for scanning.

Begin scan in 'D:\' <tout sauf la musique>

D:\MSOCache\All Users\{90120000-0011-0000-0000-0000000FF1CE}-D\ProPlsWW.cab

[0] Archive type: CAB (Microsoft)

--> MDIINK.DLL

[WARNING] No further files can be extracted from this archive. The archive will be closed

[WARNING] No further files can be extracted from this archive. The archive will be closed

D:\MSOCache\All Users\{90120000-0019-040C-0000-0000000FF1CE}-D\PubLR.cab

[0] Archive type: CAB (Microsoft)

--> VBE.DEV_A_COL.HXK_1036

[WARNING] No further files can be extracted from this archive. The archive will be closed

[WARNING] No further files can be extracted from this archive. The archive will be closed

D:\MSOCache\All Users\{90120000-001B-040C-0000-0000000FF1CE}-D\WordLR.cab

[0] Archive type: CAB (Microsoft)

--> WINWORD.DEV_COL.HXT_1036

[WARNING] No further files can be extracted from this archive. The archive will be closed

[WARNING] No further files can be extracted from this archive. The archive will be closed

Begin scan in 'E:\'

 

 

End of the scan: mercredi 28 octobre 2009 18:32

Used time: 3:07:11 Hour(s)

 

The scan has been done completely.

 

6036 Scanned directories

181081 Files were scanned

0 Viruses and/or unwanted programs were found

0 Files were classified as suspicious

0 files were deleted

0 Viruses and unwanted programs were repaired

0 Files were moved to quarantine

0 Files were renamed

1 Files cannot be scanned

181080 Files not concerned

1737 Archives were scanned

7 Warnings

1 Notes

34662 Objects were scanned with rootkit scan

0 Hidden objects were found

 

2/ rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:38:19, on 28/10/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

D:\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

D:\Winamp\winampa.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\dali\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://y.lo.st

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://y.lo.st

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing)

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - D:\eoRezo\EoAdv\EoRezobho.dll (file missing)

O2 - BHO: Google Desktop Search Capture - {7c1ce531-09e9-4fc5-9803-1c2956615786} - C:\Program Files\Google\Google Desktop Search\GoogleDesktopIE.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (file missing)

O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - D:\eoRezo\EoAdv\EoRezoBHO.dll (file missing)

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing)

O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: AutorunsDisabled

O4 - Global Startup: AutorunsDisabled

O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: &WordWeb... - res://C:\WINDOWS\wweb32.dll/lookup.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.0_03\bin\npjpi140_03.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.0_03\bin\npjpi140_03.dll (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{00483275-C0F2-4055-923B-C76A71D7867E}: NameServer = 105.77.68.100,105.68.99.2

O17 - HKLM\System\CCS\Services\Tcpip\..\{1E039D85-4BFC-4D5E-A2BB-7B84F5A28BB5}: NameServer = 155.85.10.5,175.77.90.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{6BEA8941-E4F2-4234-A7E9-30DE2F3F8124}: NameServer = 193.95.93.77,193.95.66.10

O17 - HKLM\System\CS1\Services\Tcpip\..\{00483275-C0F2-4055-923B-C76A71D7867E}: NameServer = 105.77.68.100,105.68.99.2

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Google Software Updater (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: Administration IIS (IISADMIN) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe (file missing)

O23 - Service: Publication FTP (MSFtpsvc) - Unknown owner - C:\WINDOWS\system32\inetsrv\inetinfo.exe (file missing)

O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe (file missing)

O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

 

--

End of file - 6154 bytes

 

3/ log 1 txt.

SteelWerX Extended Configuration Access Control Lists

Written by Bobbi Flekman 2006 ©

*******************************************************************************

File: C:\Windows\System32\svchost.exe

 

Permissions:

*******************************************************************************

Username

Type Permissions Inheritance

*******************************************************************************

JIJIMAISON\IUSR_JIJIMAISON

Denied Full Control This Folder/File Only

JIJIMAISON\Utilisateurs

Allowed Read and Execute This Folder/File Only

JIJIMAISON\Utilisateurs avec pouvoir

Allowed Read and Execute This Folder/File Only

JIJIMAISON\Administrateurs

Allowed Full Control This Folder/File Only

AUTORITE NT\SYSTEM

Allowed Full Control This Folder/File Only

 

No Auditing set

 

Owner: Administrateurs (JIJIMAISON\Administrateurs)

 

4/ subs txt.

------ REGISTRY:

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]

- LocalService - Alerter, WebClient, LmHosts, RemoteRegistry, upnphost, SSDPSRV

- NetworkService - DnsCache

- rpcss - RpcSs

- imgsvc - StiSvc

- termsvcs - TermService

- HTTPFilter - HTTPFilter

- DcomLaunch - DcomLaunch, TermService

- WudfServiceGroup - WUDFSvc

- netsvcs - 6to4, AppMgmt, AudioSrv, Browser, CryptSvc, DMServer, DHCP, ERSvc, EventSystem, FastUserSwitchingCompatibility, HidServ, Ias, Iprip, Irmon, LanmanServer, LanmanWorkstation, Messenger, Netman, Nla, Ntmssvc, NWCWorkstation, Nwsapagent, Rasauto, Rasman, Remoteaccess, Schedule, Seclogon, SENS, Sharedaccess, SRService, Tapisrv, Themes, TrkWks, W32Time, WZCSVC, Wmi, WmdmPmSp, winmgmt, TermService, wuauserv, BITS, ShellHWDetection, helpsvc, WmdmPmSN, xmlprov, wscsvc

 

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\DComLaunch

CoInitializeSecurityParam REG_DWORD 1 (0x1)

DefaultRpcStackSize REG_DWORD 8 (0x8)

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\HTTPFilter

CoInitializeSecurityParam REG_DWORD 1 (0x1)

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\LocalService

CoInitializeSecurityParam REG_DWORD 1 (0x1)

AuthenticationCapabilities REG_DWORD 8192 (0x2000)

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\netsvcs

CoInitializeSecurityParam REG_DWORD 1 (0x1)

AuthenticationCapabilities REG_DWORD 12320 (0x3020)

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\PCHealth

CoInitializeSecurityParam REG_DWORD 2 (0x2)

AuthenticationCapabilities REG_DWORD 64 (0x40)

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\termsvcs

CoInitializeSecurityParam REG_DWORD 1 (0x1)

DefaultRpcStackSize REG_DWORD 8 (0x8)

 

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa

Authentication Packages REG_MULTI_SZ msv1_0\0\0

Notification Packages REG_MULTI_SZ scecli\0\0

 

------ SVCHOST SERVICES NOT RUNNING

 

STOPPED: AUTO_START: Browser : Explorateur d'ordinateur

STOPPED: AUTO_START: srservice : Service de restauration système

STOPPED: DEMAND_START: AppMgmt : Gestion d'applications

STOPPED: DEMAND_START: dmserver : Gestionnaire de disque logique

STOPPED: DEMAND_START: NtmsSvc : Stockage amovible

STOPPED: DEMAND_START: RasAuto : Gestionnaire de connexion automatique d'accès distant

STOPPED: DEMAND_START: WmdmPmSN : Portable Media Serial Number Service

STOPPED: DEMAND_START: Wmi : Extensions du pilote WMI

STOPPED: DEMAND_START: WudfSvc : Windows Driver Foundation - User-mode Driver Framework

STOPPED: DEMAND_START: xmlprov : Service d'approvisionnement réseau

STOPPED: DISABLED: Alerter : Avertissement

STOPPED: DISABLED: HidServ : Accès du périphérique d'interface utilisateur

STOPPED: DISABLED: Messenger : Affichage des messages

STOPPED: DISABLED: RemoteAccess : Routage et accès distant

 

------ SVCHOST CURRENTLY RUNNING:

 

1216- C:\WINDOWS\system32\svchost -k DcomLaunch

- DcomLaunch : Lanceur de processus serveur DCOM

- TermService : Services Terminal Server

 

1300- C:\WINDOWS\system32\svchost -k rpcss

- RpcSs : Appel de procédure distante (RPC)

 

1380- C:\WINDOWS\System32\svchost.exe -k netsvcs

- AudioSrv : Audio Windows

- BITS : Service de transfert intelligent en arrière-plan

- CryptSvc : CryptSvc

- Dhcp : Client DHCP

- ERSvc : Service de rapport d'erreurs

- EventSystem : Système d'événements de COM+

- FastUserSwitchingCompatibility : Compatibilité avec le Changement rapide d'utilisateur

- helpsvc : Aide et support

- lanmanserver : Serveur

- lanmanworkstation : Station de travail

- Netman : Connexions réseau

- Nla : NLA (Network Location Awareness)

- NwSapAgent : Agent SAP

- RasMan : Gestionnaire de connexions d'accès distant

- Schedule : Planificateur de tâches

- seclogon : Secondary Logon

- SENS : Notification d'événement système

- SharedAccess : Pare-feu Windows / Partage de connexion Internet

- ShellHWDetection : Détection matériel noyau

- TapiSrv : Téléphonie

- Themes : Thèmes

- TrkWks : Client de suivi de lien distribué

- W32Time : Horloge Windows

- winmgmt : Infrastructure de gestion Windows

- wscsvc : Centre de sécurité

- wuauserv : Mises à jour automatiques

- WZCSVC : Configuration automatique sans fil

 

1456- C:\WINDOWS\System32\svchost.exe -k NetworkService

- Dnscache : Client DNS

 

1536- C:\WINDOWS\system32\svchost.exe -k LocalService

- LmHosts : Assistance TCP/IP NetBIOS

- RemoteRegistry : Accès à distance au Registre

- SSDPSRV : Service de découvertes SSDP

- upnphost : Hôte de périphérique universel Plug-and-Play

 

1948- C:\WINDOWS\System32\svchost.exe -k LocalService

- WebClient : WebClient

 

548- C:\WINDOWS\System32\svchost.exe -k HTTPFilter

- HTTPFilter : HTTP SSL

 

1096- C:\WINDOWS\System32\svchost.exe -k imgsvc

- stisvc : Acquisition d'image Windows (WIA)

 

------ SVCHOST SUB-DEPENDENTS

 

upnphost = 1

RUNNING: WMPNetworkSvc: Service Partage réseau du Lecteur Windows Media

 

SSDPSRV = 2

RUNNING: upnphost: Hôte de périphérique universel Plug-and-Play

RUNNING: WMPNetworkSvc: Service Partage réseau du Lecteur Windows Media

 

DMServer = 1

STOPPED: dmadmin: Service d'administration du Gestionnaire de disque logique

 

EventSystem = 1

RUNNING: SENS: Notification d'événement système

 

LanmanServer = 1

STOPPED: Browser: Explorateur d'ordinateur

 

LanmanWorkstation = 5

STOPPED: Alerter: Avertissement

STOPPED: Browser: Explorateur d'ordinateur

STOPPED: Messenger: Affichage des messages

STOPPED: Netlogon: Ouverture de session réseau

STOPPED: RpcLocator: Localisateur d'appels de procédure distante (RPC)

 

Netman = 1

RUNNING: SharedAccess: Pare-feu Windows / Partage de connexion Internet

 

Rasman = 1

STOPPED: RasAuto: Gestionnaire de connexion automatique d'accès distant

 

Tapisrv = 2

RUNNING: RasMan: Gestionnaire de connexions d'accès distant

STOPPED: RasAuto: Gestionnaire de connexion automatique d'accès distant

 

winmgmt = 2

RUNNING: SharedAccess: Pare-feu Windows / Partage de connexion Internet

RUNNING: wscsvc: Centre de sécurité

 

TermService = 1

RUNNING: FastUserSwitchingCompatibility: Compatibilité avec le Changement rapide d'utilisateur

 

RpcSs = 49

RUNNING: AudioSrv: Audio Windows

RUNNING: BITS: Service de transfert intelligent en arrière-plan

RUNNING: CryptSvc: CryptSvc

RUNNING: ERSvc: Service de rapport d'erreurs

RUNNING: EventSystem: Système d'événements de COM+

RUNNING: FastUserSwitchingCompatibility: Compatibilité avec le Changement rapide d'utilisateur

RUNNING: helpsvc: Aide et support

RUNNING: Netman: Connexions réseau

RUNNING: PolicyAgent: Services IPSEC

RUNNING: ProtectedStorage: Emplacement protégé

RUNNING: RasMan: Gestionnaire de connexions d'accès distant

RUNNING: RemoteRegistry: Accès à distance au Registre

RUNNING: SamSs: Gestionnaire de comptes de sécurité

RUNNING: Schedule: Planificateur de tâches

RUNNING: SENS: Notification d'événement système

RUNNING: SharedAccess: Pare-feu Windows / Partage de connexion Internet

RUNNING: ShellHWDetection: Détection matériel noyau

RUNNING: Spooler: Spouleur d'impression

RUNNING: stisvc: Acquisition d'image Windows (WIA)

RUNNING: TapiSrv: Téléphonie

RUNNING: TermService: Services Terminal Server

RUNNING: TrkWks: Client de suivi de lien distribué

RUNNING: WinDefend: Windows Defender

RUNNING: winmgmt: Infrastructure de gestion Windows

RUNNING: wscsvc: Centre de sécurité

RUNNING: WZCSVC: Configuration automatique sans fil

STOPPED: CiSvc: Service d'indexation

STOPPED: COMSysApp: Application système COM+

STOPPED: dmadmin: Service d'administration du Gestionnaire de disque logique

STOPPED: dmserver: Gestionnaire de disque logique

STOPPED: gusvc: Google Software Updater

STOPPED: HidServ: Accès du périphérique d'interface utilisateur

STOPPED: IISADMIN: Administration IIS

STOPPED: Messenger: Affichage des messages

STOPPED: MSDTC: Distributed Transaction Coordinator

STOPPED: MSFtpsvc: Publication FTP

STOPPED: MSIServer: Windows Installer

STOPPED: NtmsSvc: Stockage amovible

STOPPED: RasAuto: Gestionnaire de connexion automatique d'accès distant

STOPPED: RDSessMgr: Gestionnaire de session d'aide sur le Bureau à distance

STOPPED: RemoteAccess: Routage et accès distant

STOPPED: RSVP: QoS RSVP

STOPPED: srservice: Service de restauration système

STOPPED: SwPrv: MS Software Shadow Copy Provider

STOPPED: TlntSvr: Telnet

STOPPED: usnjsvc: Service Messenger Sharing Folders USN Journal Reader

STOPPED: VSS: Cliché instantané de volume

STOPPED: WmiApSrv: Carte de performance WMI

STOPPED: xmlprov: Service d'approvisionnement réseau

 

TermService = 1

RUNNING: FastUserSwitchingCompatibility: Compatibilité avec le Changement rapide d'utilisateur

 

HTTPFilter = 1

RUNNING: WMPNetworkSvc: Service Partage réseau du Lecteur Windows Media

 

TermService = 1

RUNNING: FastUserSwitchingCompatibility: Compatibilité avec le Changement rapide d'utilisateur

 

J'attends tes conclusions e diagnostic.

à+

[bouha]

Bonjour Mark

Juste un petit rappel pour que ça ne te file pas sous les yeux comme autre fois!

En attendant de te lire...

à+

[Mark]

Bonjour bouha ;

 

Merci pour les rapports

 

Mon constat est le suivant : des dégâts sur le système, mais pas assez pour empêcher la machine de tourner. Internet Explorer est abimé aussi, ce qui pourrait expliquer les problèmes de connexion.

 

Il y a trois options qui s'offrent à nous :

 

1) Un formatage suivi d'une réinstallation de Windows via la partition de recouvrement (il y aura perte de données et programmes alors il faudra des sauvegardes au préalable). Ceci remettra le système à son état d'origine. Méthode sûre mais longue.

 

2) Une réparation de Windows via la partition de recouvrement. Pas de perte de données en théorie, mais il y a un risque, donc il est préférable de faire les sauvegardes avant de procéder. La réparation effectue une réinstallation de Windows "par dessus" l'ancienne installation, alors l'opération est aussi longue qu'une réinstallation après formatge mais sans les garanties d'avoir un système propre ; la réparation ne fait que remettre les fichiers système à l'état d'origine, mais ne touche pas aux programmes possiblement corrompus ni aux rebus dans le registre.

 

3) Tenter de réparer le système en installant le Service Pack3 pour XP, ainsi qu'un nouveau IE (Internet Explorer). Ceci pourrait remettre le système en état, mais impossible de te le garantir. Beaucoup moins long qu'un formatage et pas de perte de données/programmes déjà installés. Ça prend environ 1 heure, comparé à 4-5 heures pour un formatage avec réinstallation de Windows (approximatif : ça peut être plus long).

 

 

================

 

Si tu veux tenter la méthode 3 > l'installation du SP3, tu peux le prendre du lien suivant (fichier .exe) :

http://www.clubic.com/telecharger-fiche242...ice-pack-3.html

(clique sur "Télécharger gratuitement" ; une nouvelle fenêtre s'ouvrira donc clique sur "Lancer le téléchargement")

 

> Transporte-le sur la machine (sur le Bureau c'est Oké) puis lance-le. Ça peut prendre 1 heure, en tout.

> Viens nous dire si ça a fonctionné.

 

 

Petite question : peux-tu me dire quelle version d'Internet Explorer est installée ? Lance le navigateur puis va dans le menu "?" (au haut) et choisis "À propos de Internet Explorer" ; tu verras la version dans la fenêtre (une longue série de chiffres qui débute avec un 6, un 7 ou un 8 ). Donne-moi juste le premier chiffre s'il te plaît.

 

Bon succès

 

@+