Aller au contenu
Troudhyl

ComboFix = le service client DHCP devenu fou

Messages recommandés

Bonsoir,

 

Je poste ici suite à une expérience malheureuse avec Combofix (entièrement ma faute, j'ai fait confiance les yeux fermés sans me renseigner sur l'utilisation). Tout d'abord voici ce qu'il a mis en quarantaine (ce n'est pas le sujet) :

 

├───Quarantine
│   │   catchme.log
│   │
│   ├───C
│   │   ├───Users
│   │   │   └───<censuré>
│   │   │       └───AppData
│   │   │           ├───Local
│   │   │           │   └───assembly
│   │   │           │       └───tmp
│   │   │           └───Roaming
│   │   │               └───Local
│   │   │                   └───Temp
│   │   │                       └───DDM
│   │   │                           └───Settings
│   │   │                               │   .ddr.vir
│   │   │                               │   0.ddi.vir
│   │   │                               │   1.ddi.vir
│   │   │                               │   2.ddi.vir
│   │   │                               │   Post_Install_RB_HiQ_en.divx.ddr.vir
│   │   │                               │   settings.ddi.vir
│   │   │                               │   videoplayback.ddr.vir
│   │   │                               │
│   │   │                               └───Temporary Downloaded Files
│   │   │                                       (2).vir
│   │   │                                       Post_Install_RB_HiQ_en.divx.vir
│   │   │                                       videoplayback.ddp.vir
│   │   │
│   │   └───Windows
│   │       │   SysWOW64mfc45.dll.vir
│   │       │   w32dasm8.ini.vir
│   │       │
│   │       └───SysWOW64
│   │           │   muzapp.exe.vir
│   │           │
│   │           └───URTTEMP
│   │                   regtlib.exe.vir
│   │
│   ├───D
│   │       install.exe.vir
│   │
│   └───Registry_backups
│           Legacy_WINRING0_1_0_1.reg.dat
│           tcpip.reg

 

Comme je n'étais pas en mode sans échec et que j'avais pas mal de choses de lancées (Shrew Soft VPN Client et FrozenWay pour le réseau notamment), ça s'est assez mal passé. Ma RAM a été saturée, ça "swapait à mort". Après le redémarrage commandé par Combofix, pareil, mémoire saturée, il n'a pas réussi à faire son rapport (3 processus ont planté et j'ai fini par fermer tout vu que ça ne bougeait plus). J'ai redémarré un nombre incalculable de fois ensuite, en tuant les svchost, pensant que ComboFix avait réveillé un monstre de virus :D

 

En fait après analyse il s'avère que c'est le service Client DHCP qui est devenu complètement dingue. Il se coupe et se recrée très vite, affolant le compteur PID et saturant complètement la mémoire (services.exe). Donc je l'ai désactivé et tout va bien...

 

Quelqu'un saurait, à partir des symptomes que j'ai décrit (ou infos complémentaires si besoin), quel est le problème et comment le résoudre pour que je puisse réactiver le service ? En question subsidiaire, si vous avez un avis sur ce qu'il a mis en quarantaine... (que des faux positifs que je peux restaurer ? install.exe c'est l'installateur de MSVC9.0)

Partager ce message


Lien à poster
Partager sur d’autres sites

des faux positifs que je peux restaurer ?

 

Ouvrir le bloc-note sur le Bureau,

Copier/Coller:

 

DeQuarantine::

C:\Qoobox\Quarantine\C\*.*

Quit::

 

Enregistrer sous CFScript.txt

Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

CFScriptB-4.gif

 

 

Dhcp n'est pas indispensable(désactivé chez moi depuis des années)

Partager ce message


Lien à poster
Partager sur d’autres sites

D'accord merci.

 

Pour moi si, j'ai besoin de DHCP (notamment pour FrozenWay). J'ai oublié dans mes connexions celle de Virtualbox et celle de ma clef USB Wifi Realtek (mode Access Point pour partager la connexion avec les consoles etc.). Faute d'une solution précise, ce que je ferai ce soir c'est réinstaller ces connexions, car peut-être que le service DHCP déconne à cause d'une déconfiguration de l'une d'entre elles par ComboFix.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bon finalement ComboFix n'est pas étranger à mes problèmes, faut bien dire que sa façon de fonctionner en noob mode (double clic et je m'occupe de tout) est casse-pieds. Tu n'as pas précisé si je devais l'avoir d'installé (je pensais que ComboFix.exe gérait ces espèces de scripts lui-même), donc en fait en faisant le glisser-déposer j'ai lancé l'installation et tout le bazard, qui enchaine tout sans te poser de question (mais je ne me suis pas laissé faire). Un démarrage en mode sans échec plus tard (seul moyen de désinstaller ComboFix), suivi d'une reconfiguration de tout ce qu'il casse sans rien demander (paramètres de l'explorateur, partages admin à désactiver, etc etc), j'ai renommé les .vir à la main pour les restaurer, juste ceux qui sont dans C:\Windows.

 

J'ai tenté la réinstallation des interfaces réseau mais sans succès. Par contre je peux être plus précis : le Client DHCP déconne bel est bien (prend 100% CPU quand activé). Par contre pour saturer la mémoire, il lance des milliers de fois le service "Agent de stratégie IPSEC". Donc si je désactive ce dernier et réactive le client DHCP, j'ai "seulement" les 100% CPU. Je ne sais pas si je peux être encore plus précis... L'Agent de stratégie IPSEC ne me sert pas, même si j'utilise IPSEC avec ma connexion VPN principale (Shrew).

 

Edit : Aïe, j'ai le même problème que lui :/ http://www.justanswer.com/computer/6a44c-svchost-netsvcs-using-100-cpu-650mb-ram.html

Modifié par Troudhyl

Partager ce message


Lien à poster
Partager sur d’autres sites

Et pourquoi ne ps faire un diagnostic?

 

S'il n'y pas de virus ou malwares, vous déplacerez votre sujet sur un forum ad-hoc de ce site.

 

Lancez cet outil de diagnostic:

Zhpdiag 1.31

 

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

zhp0710.png

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

 

120403104704343592.jpg

 

Cliquez sur le bouton 12040309492645704.jpg en haut, à droite et choisissez Tous

Pour éviter un blocage, décochez 045 et 061

 

Clic sur la Loupe en haut, à gauche pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

 

Comment poster les rapports

Cliquez sur ce bouton 120403100123645840.jpg en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Voilà...

pjjoint.malekal.com - Submit a file

 

Ce qu'il faudrait savoir surtout c'est ce que ComboFix fait, pour connaitre ce qu'il a pu casser sur ma machine qui fonctionnait parfaitement.

 

Je partage un autre fichier que je ne saurais pas interpréter : une trace du client DHCP (IPSEC désactivé) générée pendant à peine une seconde. http://www.partage-facile.com/P5N6144NI7/dhcpcsvc6.etl.html

Edit : Autre essai avec l'observateur d'événement, plus user friendly : http://www.partage-facile.com/ID1USPGQ35/dhcp.evtx.html

 

Edit : Je viens de prendre connaissance de la FAQ (maintenant que je n'ai rien de mieux à faire que d'attendre de l'aide...), en fait je suis arrivé ici grâce au lien donné sur le guide ComboFix, je n'ai pas posté ici parce que je suis infecté (je ne le suis pas), mais parce que c'est ici que les gens connaissent ComboFix.

Modifié par Troudhyl

Partager ce message


Lien à poster
Partager sur d’autres sites
Ce qu'il faudrait savoir surtout c'est ce que ComboFix fait, pour connaitre ce qu'il a pu casser sur ma machine qui fonctionnait parfaitement.

 

Il faut prendre le problème autrement.

Par exemple "N'y aurait-il pas sur la machine quelque chose qui empêche Combofix de fonctionner normalement"

ou encore, parce que Combofix n'est pas normalement destructeur,

" A-t-il été utilisé dans les règles, sans rien toucher à la machine pendant qu'il travaille?"

 

Dans l'immédiat, procédez à ce nettoyage:

 

Spybot, totalement obsolète doit être désinstallé.

Vous pourriez utiliser Mbam (Malewares Bytes)pour le remplacer.

Téléchargez MBAM

ICI

ou LA

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Sous Vista, exécuter avec privilèges Administrateur

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

C:\ProgramData\Spybot - Search & Destroy\Snapshots

Si vous ne trouvez pas Snapshots, poursuivez la procédure sans vous en préoccuper

 

 

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

zhp0710.png

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H- PanelHelper.jpg

 

O1 - Hosts: 195.83.11.66 wwwcache.<domain>.fr # proxy INSA => Infection Hosts (Hosts.Redirection)

O1 - Hosts: # mistyped URLs to search engines. They => Infection Hosts (Hosts.Redirection)

O1 - Hosts: # log all such errors. => Infection Hosts (Hosts.Redirection)

O1 - Hosts: # URLs to their site. => Infection Hosts (Hosts.Redirection)

O1 - Hosts: # video on sites such as cbc.ca => Infection Hosts (Hosts.Redirection)

O1 - Hosts: # and potentially other sites. => Infection Hosts (Hosts.Redirection)

O1 - Hosts: # up CSS on livejournal => Infection Hosts (Hosts.Redirection)

O1 - Hosts: # problems with NPR.org => Infection Hosts (Hosts.Redirection)

O1 - Hosts: # ads and track users across => Infection Hosts (Hosts.Redirection)

O1 - Hosts: # the com.com family of sites => Infection Hosts (Hosts.Redirection)

O1 - Hosts: # and some distribute adware and spyware => Infection Hosts (Hosts.Redirection)

O1 - Hosts: # message board spam and are unlikely to be real sites => Infection Hosts (Hosts.Redirection)

O42 - Logiciel: Plants vs. Zombies: Game of the Year - (.PopCap.) [HKLM] -- Steam App 3590 => Infection BT (Adware.PopCap)

O43 - CFD: 13/02/2012 - 20:54:39 - [0,000] ----D C:\ProgramData\PopCap Games => Infection BT (Adware.PopCap)

O43 - CFD: 30/07/2012 - 21:24:36 - [0,002] ----D C:\Users\<UserName>\AppData\Roaming\pdfforge => Infection BT (PUP.Dealio)

[HKCU\Software\StartSearch] => Infection PUP (PUP.StartSearch)

[HKCU\Software\SteamPopCap] => Infection BT (Adware.PopCap)

[HKLM\Software\Wow6432Node\Canneverbe Limited\OpenCandy] => Infection PUP (Adware.OpenCandy)

C:\ProgramData\PopCap Games => Infection BT (Adware.PopCap)

C:\Users\<UserName>\AppData\Roaming\pdfforge => Infection BT (PUP.Dealio)

O4 - Global Startup: C:\Users\<UserName>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera.lnk . (...) -- C:\Program Files (x86)\Opera x64\opera.exe (.not file.) => Fichier absent

O41 - Driver: (CFRMD) . (. - .) - C:\Windows\System32\DRIVERS\CFRMD.sys (.not file.) => Fichier absent

O41 - Driver: (CFRPD) . (. - .) - C:\Windows\System32\DRIVERS\CFRPD.sys (.not file.) => Fichier absent

O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 => Safer Networking Limited Spybot - S&D

O43 - CFD: 17/09/2011 - 17:45:02 - [67,824] ----D C:\Program Files (x86)\Spybot - Search & Destroy => Spybot - Search & Destroy

O43 - CFD: 01/10/2011 - 22:54:41 - [138,619] ----D C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy

O43 - CFD: 07/04/2009 - 16:01:40 - [0] --HAD C:\Users\<UserName>\AppData\Local\GxkWlU4oZH => Empty Folder not necessary

O43 - CFD: 08/03/2012 - 21:31:18 - [0] ----D C:\Users\<UserName>\AppData\Local\SCE => Empty Folder not necessary

O43 - CFD: 01/08/2012 - 22:00:01 - [0] ----D C:\Users\<UserName>\AppData\Local\The Witcher 2 => Empty Folder not necessary

O43 - CFD: 12/10/2011 - 08:16:30 - [0] ----D C:\Users\<UserName>\AppData\Local\{0020ED27-8021-4C05-88AA-AF8FCF046B98} => Empty Folder not necessary

O43 - CFD: 08/06/2012 - 08:49:31 - [0] ----D C:\Users\<UserName>\AppData\Local\{002DBD80-06C1-4BFB-AA3C-AD4C58ECBE3B} => Empty Folder not necessary

O43 - CFD: 18/03/2012 - 13:01:45 - [0] ----D C:\Users\<UserName>\AppData\Local\{00445301-13C2-49DB-8A27-F26405E562D3} => Empty Folder not necessary

O43 - CFD: 14/01/2012 - 22:46:03 - [0] ----D C:\Users\<UserName>\AppData\Local\{00761205-3CE2-4F25-BD6D-71EC5CA197A5} => Empty Folder not necessary

O43 - CFD: 14/06/2011 - 23:56:26 - [0] ----D C:\Users\<UserName>\AppData\Local\{0094DA51-E17A-4062-BE35-81C833B716CC} => Empty Folder not necessary

O43 - CFD: 23/12/2011 - 09:36:25 - [0] ----D C:\Users\<UserName>\AppData\Local\{00A7015F-727A-46AA-9232-9A23EAFD8B73} => Empty Folder not necessary

O43 - CFD: 13/12/2011 - 01:08:29 - [0] ----D C:\Users\<UserName>\AppData\Local\{00C878DF-7B1D-4EC5-B395-A64DA4E1154F} => Empty Folder not necessary

O43 - CFD: 09/08/2011 - 11:02:47 - [0] ----D C:\Users\<UserName>\AppData\Local\{00ED79F1-BBD7-474D-853A-249432F7B45B} => Empty Folder not necessary

O43 - CFD: 28/07/2012 - 00:02:30 - [0] ----D C:\Users\<UserName>\AppData\Local\{00F577A3-3F5A-419C-8E8A-851607188F73} => Empty Folder not necessary

O43 - CFD: 17/02/2012 - 12:48:29 - [0] ----D C:\Users\<UserName>\AppData\Local\{0147B755-A39C-4C62-BBB6-937A60E35707} => Empty Folder not necessary

O43 - CFD: 31/07/2012 - 19:53:49 - [0] ----D C:\Users\<UserName>\AppData\Local\{01DAB1DE-B50E-42BD-8D2B-F53EDA31C1E3} => Empty Folder not necessary

O43 - CFD: 11/04/2012 - 20:17:18 - [0] ----D C:\Users\<UserName>\AppData\Local\{020F8675-7FAF-4CE5-81BE-D3D6719F9852} => Empty Folder not necessary

O43 - CFD: 24/11/2011 - 21:33:16 - [0] ----D C:\Users\<UserName>\AppData\Local\{024CD3F9-8B84-4A33-83A4-EB11539876C0} => Empty Folder not necessary

O43 - CFD: 20/06/2012 - 22:17:12 - [0] ----D C:\Users\<UserName>\AppData\Local\{02580EAA-5053-4715-93B7-475FB43A5F3D} => Empty Folder not necessary

O43 - CFD: 04/05/2012 - 22:33:03 - [0] ----D C:\Users\<UserName>\AppData\Local\{027731B3-974F-44A9-8A3A-8086D2EA461E} => Empty Folder not necessary

O43 - CFD: 03/12/2011 - 12:58:31 - [0] ----D C:\Users\<UserName>\AppData\Local\{02CCB733-C6C1-48B0-A43A-6103E926ECD2} => Empty Folder not necessary

O43 - CFD: 21/03/2012 - 13:04:00 - [0] ----D C:\Users\<UserName>\AppData\Local\{02E5DE25-1260-43C7-835F-E6C75635B712} => Empty Folder not necessary

O43 - CFD: 14/10/2011 - 08:21:42 - [0] ----D C:\Users\<UserName>\AppData\Local\{03472ED6-95DA-4B03-88F6-5E194673243E} => Empty Folder not necessary

O43 - CFD: 19/09/2011 - 12:17:25 - [0] ----D C:\Users\<UserName>\AppData\Local\{038F9877-22D5-48F9-8943-9B2EAB00FE98} => Empty Folder not necessary

O43 - CFD: 15/02/2012 - 12:47:12 - [0] ----D C:\Users\<UserName>\AppData\Local\{039BFE2B-56C4-402C-BE2D-C7DD3EF09FB8} => Empty Folder not necessary

O43 - CFD: 06/03/2011 - 15:10:19 - [0] ----D C:\Users\<UserName>\AppData\Local\{039C622E-6304-4938-99E7-36F652BFD0C5} => Empty Folder not necessary

O43 - CFD: 28/01/2012 - 12:27:54 - [0] ----D C:\Users\<UserName>\AppData\Local\{039E4945-868F-4D39-BCE2-737D0DFB43E2} => Empty Folder not necessary

O43 - CFD: 14/06/2012 - 22:14:30 - [0] ----D C:\Users\<UserName>\AppData\Local\{03A38D49-A8F1-432B-AD21-3A97D13AE6D3} => Empty Folder not necessary

O43 - CFD: 18/01/2012 - 09:29:14 - [0] ----D C:\Users\<UserName>\AppData\Local\{03E8D3A2-B161-43CC-AFEF-F8864A6D8144} => Empty Folder not necessary

O43 - CFD: 08/04/2012 - 23:30:00 - [0] ----D C:\Users\<UserName>\AppData\Local\{03ECC290-0148-4356-AE43-01FF2378B4CB} => Empty Folder not necessary

O43 - CFD: 19/10/2011 - 08:57:16 - [0] ----D C:\Users\<UserName>\AppData\Local\{041FAFC9-8D5D-4ACC-B9E8-B35FC43E57E2} => Empty Folder not necessary

O43 - CFD: 08/08/2011 - 22:59:12 - [0] ----D C:\Users\<UserName>\AppData\Local\{0495E715-5890-488E-9584-32690F94DE0D} => Empty Folder not necessary

O43 - CFD: 21/04/2011 - 23:41:13 - [0] ----D C:\Users\<UserName>\AppData\Local\{04C86813-8797-4E46-AEF7-A089B49F20A6} => Empty Folder not necessary

O43 - CFD: 10/12/2011 - 01:03:19 - [0] ----D C:\Users\<UserName>\AppData\Local\{04D1C684-1CC8-4233-8EF5-01D65183E986} => Empty Folder not necessary

O43 - CFD: 13/05/2012 - 11:56:05 - [0] ----D C:\Users\<UserName>\AppData\Local\{04E754C0-2B43-4052-B2BD-1C410BB1208E} => Empty Folder not necessary

O43 - CFD: 25/05/2012 - 12:02:56 - [0] ----D C:\Users\<UserName>\AppData\Local\{0549F068-3984-4465-BA83-B361F1E6A255} => Empty Folder not necessary

O43 - CFD: 10/12/2011 - 13:04:30 - [0] ----D C:\Users\<UserName>\AppData\Local\{054C4B21-52E2-4C65-9803-1F1D1F90D8F7} => Empty Folder not necessary

O43 - CFD: 28/02/2012 - 08:43:16 - [0] ----D C:\Users\<UserName>\AppData\Local\{055E807B-DAB0-4230-A9D5-4005836CA387} => Empty Folder not necessary

O43 - CFD: 26/01/2011 - 14:14:52 - [0] ----D C:\Users\<UserName>\AppData\Local\{05B87361-880F-4171-9311-EE2E793FBA40} => Empty Folder not necessary

O43 - CFD: 17/07/2012 - 11:17:18 - [0] ----D C:\Users\<UserName>\AppData\Local\{05E59306-5E7A-4936-B776-B0764535D3D8} => Empty Folder not necessary

O43 - CFD: 02/02/2012 - 12:30:12 - [0] ----D C:\Users\<UserName>\AppData\Local\{061B2D1F-9C5A-44D0-907A-978B269A072B} => Empty Folder not necessary

O43 - CFD: 02/10/2011 - 10:50:15 - [0] ----D C:\Users\<UserName>\AppData\Local\{062EA600-A80A-4FA8-9792-F24CFD832B42} => Empty Folder not necessary

O43 - CFD: 29/11/2011 - 12:54:19 - [0] ----D C:\Users\<UserName>\AppData\Local\{064B8E24-C2AE-4F1C-8F46-973752613A23} => Empty Folder not necessary

O43 - CFD: 12/09/2011 - 23:56:00 - [0] ----D C:\Users\<UserName>\AppData\Local\{065F3208-30A8-403C-B008-FCB526E033D7} => Empty Folder not necessary

O43 - CFD: 15/06/2011 - 11:57:24 - [0] ----D C:\Users\<UserName>\AppData\Local\{0680EC59-C2C1-4D44-BEFB-011B10BC14A7} => Empty Folder not necessary

O43 - CFD: 04/02/2012 - 00:31:17 - [0] ----D C:\Users\<UserName>\AppData\Local\{06C0EC11-BE76-4E78-8CA9-CB7A278FF98B} => Empty Folder not necessary

O43 - CFD: 12/06/2011 - 11:47:28 - [0] ----D C:\Users\<UserName>\AppData\Local\{06F79AA4-09AE-4918-B1CC-2603A34E141D} => Empty Folder not necessary

O43 - CFD: 02/01/2011 - 14:58:43 - [0] ----D C:\Users\<UserName>\AppData\Local\{073AE5D1-876F-44AF-A77D-BF5BB72442C1} => Empty Folder not necessary

O43 - CFD: 24/01/2012 - 00:25:58 - [0] ----D C:\Users\<UserName>\AppData\Local\{0746A618-3CB8-4E46-A545-478B1A64CB95} => Empty Folder not necessary

O43 - CFD: 31/10/2011 - 10:20:54 - [0] ----D C:\Users\<UserName>\AppData\Local\{0762B917-1493-4259-8D6F-505AA4301327} => Empty Folder not necessary

O43 - CFD: 11/04/2011 - 11:25:04 - [0] ----D C:\Users\<UserName>\AppData\Local\{0764967A-8D55-4F02-BB38-4332514201B7} => Empty Folder not necessary

O43 - CFD: 16/11/2011 - 00:09:51 - [0] ----D C:\Users\<UserName>\AppData\Local\{0784A529-D580-4DA0-9C8C-C3A23686BCB2} => Empty Folder not necessary

O43 - CFD: 13/04/2011 - 11:33:17 - [0] ----D C:\Users\<UserName>\AppData\Local\{FFC77F8F-6EE3-4D4A-87A7-CAE0019F6360} => Empty Folder not necessary

O43 - CFD: 10/05/2012 - 22:36:38 - [0] ----D C:\Users\<UserName>\AppData\Local\{FFE92907-0F63-4E91-949D-138519FED555} => Empty Folder not necessary

O43 - CFD: 17/09/2011 - 17:45:02 - [67,824] ----D C:\Program Files (x86)\Spybot - Search & Destroy => Spybot - Search & Destroy

O68 - StartMenuInternet: <Opera> <Opera>[HKLM\..\InstallInfo\ShowIconsCommand] (...) -- C:\Program Files\Opera x64\Opera.exe (.not file.) => Fichier absent

O68 - StartMenuInternet: <Opera> <Opera>[HKLM\..\InstallInfo\ReinstallCommand] (...) -- C:\Program Files\Opera x64\Opera.exe (.not file.) => Fichier absent

O68 - StartMenuInternet: <Opera> <Opera>[HKLM\..\InstallInfo\HideIconsCommand] (...) -- C:\Program Files\Opera x64\Opera.exe (.not file.) => Fichier absent

O87 - FAEL: "TCP Query User{B2DA2672-8E30-47F6-B3CC-1C3054E94815}C:\program files (x86)\ibm\rational\doors\9.2\bin\doors.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\ibm\rational\doors\9.2\bin\doors.exe (.not file.) => Fichier absent

O87 - FAEL: "UDP Query User{40D5E499-1880-42FC-9C52-B8E979FFBEDB}C:\program files (x86)\ibm\rational\doors\9.2\bin\doors.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\ibm\rational\doors\9.2\bin\doors.exe (.not file.) => Fichier absent

O87 - FAEL: "TCP Query User{4DAFE648-B500-4270-BBF5-38E5CB5155F0}C:\program files (x86)\netbeans 7.0\bin\netbeans.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\netbeans 7.0\bin\netbeans.exe (.not file.) => Fichier absent

O87 - FAEL: "UDP Query User{E9114286-C9AC-4D86-9949-CDD18BCE3603}C:\program files (x86)\netbeans 7.0\bin\netbeans.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\netbeans 7.0\bin\netbeans.exe (.not file.) => Fichier absent

O87 - FAEL: "{8BF4E65E-171C-409E-89EE-FF2A44657079}" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\netbeans 7.0\bin\netbeans.exe (.not file.) => Fichier absent

O87 - FAEL: "{75B91763-FD3B-4C17-90D1-282DC14AFCDF}" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\netbeans 7.0\bin\netbeans.exe (.not file.) => Fichier absent

O87 - FAEL: "{69A24030-E17D-490C-A89F-FF77AA98640B}" |Out - None - P17 - TRUE | .(...) -- C:\Program Files (x86)\Battlefield 3\bf3.exe (.not file.) => Fichier absent

O87 - FAEL: "{69CE7611-8825-4D5D-887C-4C971C36BA73}" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\hi-rez studios\hirezgames\tribes\binaries\win32\tribesascend.exe (.not file.) => Fichier absent

O87 - FAEL: "{472749E7-72E5-4C81-A4D3-FE490AD4EBC9}" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\hi-rez studios\hirezgames\tribes\binaries\win32\tribesascend.exe (.not file.) => Fichier absent

O87 - FAEL: "TCP Query User{777AE054-B314-41DA-8443-67B14D548DBE}C:\program files (x86)\you have to win the game\thegame.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\you have to win the game\thegame.exe (.not file.) => Fichier absent

O87 - FAEL: "UDP Query User{FE3BC946-0015-4177-9309-A81BCADFE761}C:\program files (x86)\you have to win the game\thegame.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\you have to win the game\thegame.exe (.not file.) => Fichier absent

O87 - FAEL: "{6072B8D6-4816-4303-B361-5FDCE75D1925}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe (.not file.) => Fichier absent

O87 - FAEL: "{90231801-E8D3-462C-9077-C7EEC05AA2C2}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe (.not file.) => Fichier absent

O87 - FAEL: "{4B75B373-5471-4E2C-867B-B49EF7636D49}" |In - Public - P6 - TRUE | .(...) -- D:\Mes Documents\Bureau\Downloads\a\Hex-Rays.IDA.Pro.Advanced.v6.1.Windows.incl.Hex-Rays.x86.Decompiler.v1.5.READ.NFO-RDW\ida61\idaq64.exe (.not file.) => Fichier absent

O87 - FAEL: "{BDD2A3D3-C9EE-4A35-9DF8-FF39A0D74F57}" |In - Public - P17 - TRUE | .(...) -- D:\Mes Documents\Bureau\Downloads\a\Hex-Rays.IDA.Pro.Advanced.v6.1.Windows.incl.Hex-Rays.x86.Decompiler.v1.5.READ.NFO-RDW\ida61\idaq64.exe (.not file.) => Fichier absent

SS - | Demand 26/01/2009 1153368 | (SBSDWSCService) . (.Safer Networking Ltd..) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe => Spybot%Search & Destroy

O69 - SBI: prefs.js [<UserName> - yt3xq9jo.default] user_pref("extensions.smarterwiki.search_surfcanyon", false); => Toolbar.SurfCanyon

O69 - SBI: prefs.js [<UserName> - yt3xq9jo.default] user_pref("surfcanyon.fractions", "0.0_0.0\r\n"); => Toolbar.SurfCanyon

O69 - SBI: prefs.js [<UserName> - yt3xq9jo.default] user_pref("surfcanyon.last_checked_ts", "1266925042606"); => Toolbar.SurfCanyon

[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}] => Toolbar.Agent

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31}] => Toolbar.Agent

[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}] => Toolbar.Agent

O43 - CFD: 10/10/2009 - 18:35:03 - [0,000] ----D C:\Users\<UserName>\AppData\Roaming\Juce VST Host

 

 

 

SysRestore

EmptyFlash

EmptyTemp

FirewallRaz

Proxyfix

Hostfix

110926125340285987.jpg

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

110515101159971677.jpg

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Capture1Rapport.JPG

Si le rapport n'apparait pas,cliquer surPanelRapport.jpg

Copier-coller le rapport de suppression dans la prochaine réponse.

  • Upvote 1

Partager ce message


Lien à poster
Partager sur d’autres sites

Ah c'est sûr, je l'ai dit, j'ai lancé ComboFix sans lire d'explication, ce n'était pas en condition optimale pour qu'il agisse (pensant qu'il allait me donner au moins un avertissement clair d'où je pourrai annuler, mais même lorsqu'il m'a parlé de désactiver l'antivirus on ne peut plus revenir en arrière). En coupant la connexion violemment, il a pu se mettre à dos l'utilitaire Realtek Wifi qui a du réagir. Mais en tout cas il a affolé le client DHCP ce qui a saturé tout.

 

Spybot je l'utilise par nostalgie et pour la vaccination, mais je sais bien qu'il est dépassé, j'ai fait des scans MBAM sans qu'il ne trouve rien. TeaTimer est désactivé.

 

J'ai rajouté moi-même la résolution du proxy dans le fichier host parce qu'avec ce problème, j'ai aussi quelques soucis de résolution de noms. Par contre ComboFix m'a apparemment supprimé (corrompu ?) toutes mes restaurations système, sinon j'aurais pu m'en sortir. Je le sens pas trop ce nettoyage, pas envie de tout déconfigurer (FirewallRaz ? Proxyfix ?...), je verrai ce soir pour y faire le tri mais aucune chance (à mon avis) pour que ça ne résolve quoi que ce soit.

 

D'ailleurs étant donné que c'est DHCPv6 qui s'affole, faudra que j'essaye de désactiver l'IPv6 de mes connexions ou du moins de chercher une bizarrerie là-dedans non ?

Modifié par Troudhyl

Partager ce message


Lien à poster
Partager sur d’autres sites
Je le sens pas trop ce nettoyage, pas envie de tout déconfigurer

C'est votre machine et votre droit de continuer dans l'erreur.

Mais sans moi.

  • Upvote 1

Partager ce message


Lien à poster
Partager sur d’autres sites

"Dans l'erreur", ne soyez pas suffisant non plus, je peux expliquer une bonne partie de tout ce que vous me suggérez de "nettoyer" et vous dire en quoi ce ne sont pas des erreurs en rapport avec mon problème. Vous préféreriez que je fasse le débutant, que je m'administre votre gros médicament les yeux fermés et qu'ensuite je vous écrive depuis une autre machine parce que je n'aurai plus aucune connexion ? Et vous allez pouvoir m'expliquer comment reconfigurer mon proxy, mon client VPN, etc. ?

Donc si vous voulez on reprend les choses à nettoyer une par une et je vous explique en quoi ça n'a rien à voir avec l'affolement du Client DHCPv6 (qui n'a que faire de mes dossiers vide notamment) et on gagnera du temps. J'en profiterai peut-être pour faire du nettoyage certes mais c'est hors-sujet, vous le savez aussi bien que moi. Donc si vous n'avez pas envie de m'aider mieux que ça, je vous remercie déjà de ce que vous avez fait et j'attendrai quelqu'un d'autre (ou je finirai par trouver d'ici là).

 

Ma table de routage IPv6, je ne saurais pas dire si quelque chose est bizarre :

IPv6 Table de routage
===========================================================================
Itinéraires actifs :
If Metric Network Destination      Gateway
19     58 ::/0                     On-link
 1    306 ::1/128                  On-link
19     58 2001::/32                On-link
19    306 2001:0:5ef5:73b8:24a0:13c4:f5e0:d5dc/128
                                   On-link
35    286 fe80::/64                On-link
19    306 fe80::/64                On-link
19    306 fe80::24a0:13c4:f5e0:d5dc/128
                                   On-link
35    286 fe80::b9f8:1f7e:5688:9ef2/128
                                   On-link
 1    306 ff00::/8                 On-link
19    306 ff00::/8                 On-link
35    286 ff00::/8                 On-link
===========================================================================
Itinéraires persistants :
 Aucun

Franchement entre ça, les traces dhcpclient et les symptomes précis, j'ai dû bien dégrossir le problème, ensuite soit on sait dans quelle direction continuer soit on ne sait pas.

Modifié par Troudhyl

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×