[Résolu] SOS rapport ComboFix please

[Ecucu]

Bonsoir Bernard.

plutôt bien pour le PC.

 

TDSSKILLER et antizeroaccess pointent toujours sur sptd.sys

Adwcleaner m'a retrouvé dans un premier temps les deux entrées du plugin de Firefox

Présente : user_pref("interclue.preferences", "{\"User.buildId\":\"987bcab01b929eb2c07877b224215c92\",\"Securit[...]
Présente : user_pref("interclue.preferences.backup", "{\"User.buildId\":\"987bcab01b929eb2c07877b224215c92\",\"[...]

Aprés nettoyage, redémarrage PC et re scan... zéro blabla zéro traca, plus de traces.

 

Au fait, j'ai d'autres scan "en veux-tu en voilà"... Roguekiller, Adremover, HiJackThis...ouais nan pas maintenant d'accord.

 

Sinon je redémarre toujours en utilisant le fichier .ini modifié et non l'original.

Ne me demande pas pourquoi, j'ai oublié.

Suite à un problème d'il y a 3 ans, j'ai du rester sur ce qui me paraissait dans le hasard le plus total la meilleure solution... à tort ou à raison.

Maaaa, cé qué c'est de l'ART !

D'ailleurs dans cet utilitaire de configuration système, J'ai toujours visible devant mais yeux vu ce foutu choix de cocher ou de décocher l'élément de démarrage Wpdt0.dll, de commande = C:\WINDOWS\system32\rundll32.exe c:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wpbt0.dll,H9922... d'emplacement Startup

J'ai deux éléments de démarrage NvCpl, l'un décoché, l'autre coché et très certainement créé au moment de la désactivation du premier, de commande system32\NvCpl.dll.Nvstartup

J'ai désactivé depuis lontemps les sw20 et sw24.

...et puis j'ai eu droit à un message d'avertissement quand j'ai validé mes choix. (NOUVEAU !)

Une erreur de refus d'accés a été renvoyée lors de la tentative de modifier un service.

Vous devrez peut-être ouvrir une session en utilisant un compte administrateur pour effectuer les modifications

...bah je suis déjà sur le compte Admin, aucun autre compte n'a jamais été créé...

C'est quoi cette embrouille encore !?

Là aussi, autre fait troublant, dans le gestionnaire, plus aucun utilisateur n'apparait. Ch'uis plus là !

 

Est-ce que la réactivation d'Avast y est pour quelque chose ? j'ai un doute.

J'crois que j'vais prendre un aspirine aprés ce post.

 

En tout cas Malwarebyte ou Avast je sais pas mais ça m'a l'air gourmand ces p'tites bébêtes.

...et puis ça fait des grands pics aussi dans l'écran de contrôle de l'UC.

Les pauvres! ils veulent désespérément sortir de leur bocal pour rejoindre tous leurs copains sur le net et ils peuvent pas parceque je leurs ai fermé le robinet... alors ils cognent !

 

et puis dans le rapport de HiJacko:

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

Comme c'est zoli toutes ces couleurs ! magnifique !!!

Nous pouvons admirer au premier plan les vestiges anciens de ces Machintrucs éradiqués tout à l'heure avec ZHP.

Faut s'inquiéter là !???

 

Autre chose, ça me le fait systématiquement, en lançant une recherche via l'outil de recherche de Explorer,

En cours de recherche, Explorer balance un message d'erreur system et doit fermer.

Je pousse le vice à laisser la recherche s'éxécuter pendant que l'autre attend.

Je clic OK et hop...une fois sur deux Explorer disparait

et je dois le relancer à partir de l'.EXE disponible dans le gestionnaire.

 

Bah tu sais il est vieux maintenant ce PC...

Va falloir un jour savoir le mettre sur une étagère en le faisant tourner en réseau fermé.

C'est comme cela qu'il va finir...

C'est du reste ce à quoi il en est réduit depuis 15 jours maintenant.

 

ha oui et pour venir me contrarier un peu plus

y'a le bonjour service d'apple qui commence à sérieusement me titiller.

Voilà que môôôsieur s'active tout seul maintenant !

Bon çà c'est un moindre mal... j'ai déjà lu une manip du même style sur ce forum.

 

voilà un "petit" topo de "comment il est le PC depuis 15 jours"

Je te rassure, ce n'est pas tes lignes magiques qui y sont pour quelque chose dans la majorité des constatations écrites plus haut.

Faut-il engager une autre croisade ?

 

En tout cas encore un grand merci pour le temps que tu peux passer à nous aider et surtout nous rassurer tous.

Bien à te lire cher Bernard.

[bernard53]

Je te rassure : le fichier "sptd.sys" n'est pas infectieux, il s'agit d'un driver

 

Tu as trop de chose au démarrage du pc.

 

Tu peux contrôler le démarrage de tous ces processus avec un logiciel comme Starter de Code Stuff.

Télécharge et installe Code Stuff Starter :

 

Télécharger Starter

 

Ensuite vas dans l’onglet démarrage et décoches les lignes voulues.

 

Ne t'inquiète pas si a l'usage tu veux réactiver l'une d'elles, il suffit de la. recocher

 

Elles sont lancées inutilement au démarrage du système et cela ne comporte aucun danger.

 

 

Lignes à décocher qui sont en relation.

 

O4 - HKLM\..\Run: [soundMAXPnP] . (.Analog Devices, Inc. - SMax4PNP.) -- C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [JMB36X Configure] . (.JMicron Technology Corp. - JMicron JR036X RAID Application.) -- C:\WINDOWS\system32\JMRaidTool.ex

O4 - HKLM\..\Run: [nwiz] . (...) -- C:\WINDOWS\system32\nwiz.exe

O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe

O4 - HKLM\..\Run: [NvCplDaemon] . (.NVIDIA Corporation - NVIDIA Display Properties Extension.) -- C:\WINDOWS\system32\NvCpl.dll

O4 - HKLM\..\Run: [soundMax] . (.Analog Devices, Inc. - Audio Control Panel.) -- C:\Program Files\Analog Devices\SoundMAX\smax4.exe

O4 - HKLM\..\Run: [NvMediaCenter] . (.NVIDIA Corporation - NVIDIA Media Center Library.) -- C:\WINDOWS\system32\NvMcTray.dll

O4 - HKLM\..\Run: [ArcSoft Connection Service] . (.ArcSoft Inc. - ArcSoft Connect Daemon.) -- C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe

O4 - HKCU\..\Run: [WMPNSCFG] . (.Microsoft Corporation - Application de configuration du service Par.) -- C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe

O4 - HKUS\S-1-5-21-1177238915-813497703-725345543-500\..\Run: [WMPNSCFG] . (.Microsoft Corporation - Application de configuration du service Par.) -- C:\Program Files\Windows Media Player\WMPNSCFG.exe

 

Redémarres le pc ensuite pour constater le mieux.

 

Ensuite:

 

Pour XP:

 

1-Démarrer>exécuter> tapes cmd

 

puis chkdsk X: /f /r

 

 

X étant la lettre de ton DD qui doit être surement C.

 

mets bien un espace entre chkdsk et X: puis entre X: et /f puis entre /f et /r

 

Si ta lettre est le C tu as donc ceci chkdsk C: /f /r

 

- Windows affiche : type fichier NTFS : impossible de verrouiller le lecteur en cours

CHKDSK ne peut s'exécuter parce que le volume est utilisé par un autre processus.

Voulez vous que ce volume soit vérifier au prochain démarrage : Oui ou Non

Valider O et Redémarrer le pc.

 

 

Ensuite télécharge AuslogicsDiskDefrag

 

Tu l'installes puis tu l’exécutes.

 

 

Bizarre aussi je ne vois pas AVAST au démarrage du pc pourtant cela est très conseillé

[Ecucu]

Cher Bernard,

Tous mes remerciements pour tes explications.

Je suis entrain de checker the disk là.

Je fais tout comme tu m'as dit.

Starter est franchement épatant comparé à msconfig ! Trop facile pour lui !

Surpris tout de même de ne pas y retrouver la vilaine dll en startup...

faut que je mate çà tranquille sans bousiller Windows.

Est-ce que mes craintes étaient à la mesure des saloperies débusquées ?

J'aime bien le mec qui a écrit:"only the paranoid survive"

Perso je rectifierais:"only the paranoid surviveS !"

...même si je dois y laisser ma peau à force de tourmente pour y parvenir... étrange.

Je vais dés à présent m'inscrire sur un forum de psy

...çà c'est du funk !

bref et blablabla blabla...

AI-je ta bénédiction pour réouvrir le robinet d'internet ?

...biensûr en ayant pris soin d'avoir préalablement réactiver Avast et tous ses potes en treillis.

Je peux ?

Aucun risque qu'un hacker joue mes tunes au poker en ligne hein nan ???

ça va aller ?

 

PS: chkdsk terminé, pc redémarre, tout est calme, only the paranoid survives...

En attendant ta bénédiction... je te souhaite une excellente continuation à toi et à tous tes copains. (...et les copines aussi biensûr)

[bernard53]

Pas de soucis pour moi tu eux retourner sur le net

 

Est-ce que mes craintes étaient à la mesure des saloperies débusquées ?

tu avais des intrus mais pas de trop coriace plus ennuyeux que le reste.

 

Aucun risque qu'un hacker joue mes tunes au poker en ligne hein nan ???

ça va aller ?

Pas de raison que tu ai un soucis.

Modifié le 4 juin 2012 par bernard53

[Dylav]

Bonjour Ecucu, salut Bernard,

 

Si tu considères que la question est réglée, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet.

 

[1] En bas du premier message de ton sujet, clique sur [Modifier]

[2] En bas de l'éditeur qui s'ouvre, clique sur [Utiliser l'éditeur complet]

[3] En haut de l'éditeur complet, ajoute [Résolu] au titre de ton sujet.

[Ecucu]

Oui salut Dylav... j'attendais justement ce dernier de tes posts

lorsque le sujet tourne à sa fin. Je m'exécute.

OK, merci Bernard.

Quand tu parles de "plus coriaces"...

En fait y'a quoi exactement de vraiment tendance niveau saloperie en ce moment ?

Si j'veux m'la péter grave avec mon PC qui dijoncte à max en multicolore j'dois me contracter quoi quoi de pharmaceutiquement tenace et répugnant dites ?

C'est où qu'on va pour se la coller bien moulante sous la semelle ?

Vous qui avez une vue d'ensemble sur les us et coutûmes de nos amis les aliens

Et les outils actuels de diagnostiques et de décontamination sont-ils encore efficaces lorsque Windows est carrément patché jusqu'à la moelle ?

 

"Only the paranoid survives"

 

Bientôt sur vos forums, en avant première et en exclusivité

"Only the paranoid survives 2: Le retour des aliens"

 

Salut les gars, sincères merci, votre site est trop top, bonne ambiance,

particulièrement dans l'antichambre de décontamination, frissons garantis,

je me régale,

j'apprends tout plein de trucs trop chauds pour nikave mon ordi... cool depuis le temps !

Enfin non présentement celui de ma voisine Elie... le netbook donc,

Trop sympa Elie, Merci Elie donc...

Je me propose de lui nettoyer tiens chiche...

Et puis aprés, j'lui montrerai comment vous trouver sur internet...

 

Qui sait, à demain peut-être...

 

Hey Bernard... t'es sûr qu'il est pas patché mon Win ?

nan parce que "only les lourds survives !"

??? j'ai toujours pas le mot de la fin pour la dll wgbtbggtrucZéro.

Si elle est associée à un rundll32, comment différencier un rundll32 d'un autre rundll32 lorsque j'en vois un actif parmi les processus qui tournent ?

Y'a moyen de savoir en temps réel ce que rundll32 est entrain de lire comme dll ?

J'imagine qu'un rundll32 ne se lance pas tout seul non plus.

Il doit bien y avoir un processus responsable de la mise en route de rundll32

Ou bien ma question est-elle...

Modifié le 5 juin 2012 par Ecucu

[Ecucu]

Bonjour,

passons les délires.

Nan sérieux la nuit porte conseil...

 

Juste deux non trois questions qui me taraudent l'esprit:

 

Si une Dll est associée à un rundll32, comment différencier un rundll32 d'un autre rundll32 lorsque j'en vois un actif parmi les processus qui tournent ?

Y'a moyen de savoir en temps réel ce que rundll32 est entrain de lire comme dll ?

J'imagine qu'un rundll32 ne se lance pas tout seul non plus.

Il doit bien y avoir un processus responsable de la mise en route de rundll32

 

Si je mets en quarantaine le spdt.sys via TDSSKILLER

ça le fait ou ça le fait pas pour windows ???

 

et dernier truc, que voulait dire toutes ces lignes bleues dans le rapport de ZHC ???

 

Prenez votre temps... y'a d'autres urgences !!!

merci

Bonne journée !

[bernard53]

pour ceci "Wpdt0.dll" car pour moi il est sain mais faut mieux vérifier.

 

 

Ensuite fait cela ;

• Rends-toi sur cette page
  
• Clique sur "Choose File"
  
• Vas sur ton disque chercher ce fichier à cet emplacement :

 

***Emplacement du fichier****

 

• Clique ensuite sur le bouton "Scan It"

 

 

• Patiente le temps de l'analyse qui dépend de la taille du fichier

 

 

• Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio):

 

 

Communique-le dans ta prochaine réponse sur le forum et communique en même temps le lien de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse :

 

Poste le rapport s.t.p

 

ensuite fait moi une copie d’écran de :

cet utilitaire de configuration système, J'ai toujours visible devant mais yeux vu ce foutu choix de cocher ou de décocher l'élément de démarrage Wpdt0.dll, de commande = C:\WINDOWS\system32\rundll32.exe

 

 

Télécharge Process Explorer ici et voit si tu constate une anomalie.

Process Explorer v11.02

 

Une fois sur Process Explorer << touche ctrl + f pour ouvrir la recherche et la valide ce fameux DLL et dis moi s'il en ressort une chose ou pas?

 

Si je mets en quarantaine le spdt.sys via TDSSKILLER

ça le fait ou ça le fait pas pour windows ???

normalenemt ce fichier viens d'iun lecteur virtuel tel "Daemons tools" et "alcohol 120" perso je n'y toucherais pas.

au lien de le mettre en quarantaine il faut mieux le neutraliser pas précaution en le renommant

spdt.sys-old

comme cela très facile de le récupérer.

les lignes bleus dans le rapport ZHP sont des lignes signalées comme superflues. Attention chacun les considères ou pas dans se sens selon son utilitée.

Modifié le 5 juin 2012 par bernard53

[Ecucu]

Salut Bernard

Salut la compagnie !

J'ai pas encore fait mes travaux pratiques...

 

Wpbt0.dll n'est plus ! Vive la dll !!!

Je crois l'avoir déchiquetée avec Eraser.

A moins qu'elle soit reléguée au fin fond d'un dossier de mise en quarantaine...

C'est ce que je cherche depuis ton dernier message.

 

Du coup,

faut-il prendre ceci:

C:\WINDOWS\system32\rundll32.exe

c:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wpbt0.dll,H9922

comme une petite plainte venue des entrailles de Windows ???

 

Tout ce qui me reste c'est un fichier wpbt0.dll.lnkStartup

que j'ai sorti de c:\windows\pss pour le mettre au goulag,

et qui, ouvert avec notepad, contient ceci:

L        À      F»         Ê»ãzÄèƒBéZ/Í žÐ
ØÈ „                     ÷  PàOÐ ê:i¢Ø +00 /C:\                   < 1     «@k5 WINDOWS &   ï¾p5ÎN«@n]   W I N D O W S    @ 1     «@* system32  (   ï¾p5ÎN«@l[   s y s t e m 3 2    L 2  „  Ž8J  rundll32.exe  0   ï¾1 `«@OK   r u n d l l 3 2 . e x e      V            4       U         $¢0   systeme C:\WINDOWS\system32\rundll32.exe  , . . \ . . \ . . \ . . \ . . \ W I N D O W S \ s y s t e m 3 2 \ r u n d l l 3 2 . e x e  C : \ W I N D O W S \ s y s t e m 3 2 \ 2 C : \ D O C U M E ~ 1 \ A D M I N I ~ 1 \ L O C A L S ~ 1 \ T e m p \ w p b t 0 . d l l , H 9 9 2 2       %   ©   `      X       local           ±!ÿL”hK†gJõ3¨üPâ
›"nÝ‚f ófð)±!ÿL”hK†gJõ3¨üPâ
›"nÝ‚f ófð)    

 

Donc du charabia.

C'est quoi cette langue de zouave ?

Quand j'affiche avec notepad tous ces hyéroglyphes, y'a un moyen de retranscrire ça en syntaxe informatique lisible grand public ?

Ou bien est-ce définitivement la tronche du dialecte ?

On m'a parlé de langage compilé...ah!...y'a moyen de décompilé pour vulgariser histoire que ça soit un peu moins terrifiant à regarder ?

 

 

 

 

Je ne veux pas faire de bêtise alors je préfère te demander avant:

 

1)Pour héberger une image, je peux passer par imageshack ?

 

2)Pour l'analyse du lien, n'importe quel site peut faire l'affaire ?

 

3)Ton lien vers Process Explorer est mort. J'ai bien capté une version 15.truc

mais je ne sais pas si je dois faire confiance... t'aurais un lien vivant et gentille ?

 

 

 

PS: j'ai moyen d'aller planter mes cranmpons dans le wmi.

C'est bon ça ?

 

_over

[bernard53]

1)Pour héberger une image, je peux passer par imageshack ?

Oui

 

2)Pour l'analyse du lien, n'importe quel site peut faire l'affaire ?

Oui

 

3)Ton lien vers Process Explorer est mort

Non je viens de tester et c'est direct de chez Microsoft.

essai cet autre lien.

Process Explorer

 

Tout ce qui me reste c'est un fichier wpbt0.dll.lnkStartup

 

c'est juste le reste du raccourci car tu as une extension .ink

si tout va bien ne te tracasse pas

 

 

On m'a parlé de langage compilé...ah!...y'a moyen de décompilé pour vulgariser histoire que ça soit un peu moins terrifiant à regarder ?

désolé je ne sais pas