Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu]Problème virus...


Messages recommandés

Bonjour, j'ai le problème suivant, le process regsvr32.exe essaye de se connecter toutes les secondes à internet. J'ai donc en permanence le sablier qui tourne et c'est très désagréable.

 

J'ai fait une recherche sur le net et sur Zeb, il m'a été impossible de trouver une solution claire pour m'en debarrasser...

 

Il s'agit d'un poste en réseau sous XP pro.

 

Merci de votre aide.

 

NB l'antivirus (inoculate IT) ne detecte rien ( l'antivirus en ligne de secuser non plus.)

 

et enfin aucune trace dans le log de hijackthis.

 

Merci d'avance. :P

Lien à poster
Partager sur d’autres sites

Invité tesgaz

Salut strideworld,

 

tu démarres en mode sans echec (tapes sur la touche F8 au boot de ton ordi)

 

ensuite tu vas dans executer : msconfig

onglet démarrage

et tu decoches la ligne qui fait reference a regsvr32.exe

 

tu refermes et tu redémarres ta machine,

si ca ne fonctionne pas,

tu fais un log d'hijackthis et tu nous tiens au courant, voir la procedure ici :

http://www.zebulon.fr/articles/HijackThis.php

Lien à poster
Partager sur d’autres sites

Salut Tesgaz, merci pour ta réponse rapide.

 

J'ai déja verifié msconfig (par contre pas en sans echec) et il n'y'a aucune ligne qui fasse référence à ce process...

 

Le log le voilà. (il y'a des problèmes de spys aussi mais chaque chose en son temps :P )

 

Logfile of HijackThis v1.98.0
Scan saved at 10:37:27, on 12/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Nhksrv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe
C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe
C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe
C:\WINDOWS\LogWatNT.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Novadigm\radexecd.exe
C:\Program Files\Novadigm\radsched.exe
C:\Program Files\Novadigm\Radstgms.exe
C:\WINDOWS\system32\scagent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\MMKeybd.exe
C:\Program Files\CA\eTrust\InoculateIT\realmon.exe
C:\WINDOWS\System32\PowerDesk8\PDeskNet.exe
C:\Program Files\Netropa\OSD.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Program Files\ACD Systems\ACDSee\5.0\ACDSee5.exe
C:\Program Files\Fichiers communs\ACD Systems\IDBSvr.exe
C:\Program Files\CA\eTrust\InoculateIT\InocIT.exe
E:\DIVERS TRANSFER DES ELEMENTS DU C VERS LE E\MAINTENANCE ANTI SPYWARES\hijackthis\HijackThis.exe
C:\WINDOWS\system32\regsvr32.exe 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\MICHEL~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\MICHEL~1\LOCALS~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\MICHEL~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\MICHEL~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\MICHEL~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\MICHEL~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Radio France
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.inetrf;*.rf75;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8769194E-74B3-4033-B564-F833AFCFA7A9} - C:\WINDOWS\madopew.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\MMKeybd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\System32\PowerDesk8\PowerDesk.exe /silent
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Program Files\CA\eTrust\InoculateIT\realmon.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Logo Calibration Loader.lnk = D:\Program Files\GretagMacbeth\ProfileMaker Professional 4.1.0\CalibrationLoader.exe
O4 - Global Startup: Radia User Connect.lnk = C:\Program Files\Novadigm\Radia User Connect.bat
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .au: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://intrarf.inetrf
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/clients/y/kt4_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Compagnon) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = radiofrance.rootad.inetrf
O17 - HKLM\Software\..\Telephony: DomainName = radiofrance.rootad.inetrf
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = radiofrance.rootad.inetrf
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = radiofrance.rootad.inetrf,inetrf,rootad.inetrf
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = radiofrance.rootad.inetrf,inetrf,rootad.inetrf
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - (no file)

Lien à poster
Partager sur d’autres sites
Invité tesgaz

alors, afaire en mode sans echec

 

a supprimer :

par l'intermediaire de la base de registre que tu trouveras

dans ces clés :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

HKEY__USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_USER\S-1223-etc\Software\Microsoft\Windows\CurrentVersion\Run

HKEY__USER\S-1234-etc\Software\Microsoft\Windows\CurrentVersion\RunOnce

 

tout ce qui correspond a ces lignes dans la fenetre de droite

C:\WINDOWS\Nhksrv.exe

C:\WINDOWS\LogWatNT.exe

C:\WINDOWS\system32\scagent.exe

C:\WINDOWS\MMKeybd.exe

C:\WINDOWS\system32\regsvr32.exe

 

ensuite tu cherches tous ces fichiers et tu supprimes (sauf regsvr32.exe)

 

 

 

ensuite tu fixes ces lignes avec hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\MICHEL~1\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\MICHEL~1\LOCALS~1\Temp\sp.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\MICHEL~1\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\MICHEL~1\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\MICHEL~1\LOCALS~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\MICHEL~1\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy1:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.inetrf;*.rf75;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {8769194E-74B3-4033-B564-F833AFCFA7A9} - C:\WINDOWS\madopew.dll (file missing)

O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll

O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\MMKeybd.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\System32\PowerDesk8\PowerDesk.exe /silent

O4 - HKLM\..\Run: [Realtime Monitor] "C:\Program Files\CA\eTrust\InoculateIT\realmon.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O14 - IERESET.INF: START_PAGE_URL=http://intrarf.inetrf

O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/clients/y/kt4_x.cab

O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab

O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Compagnon) - http://us.dl1.yimg.com/download.companion....ebio5_1_6_0.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = radiofrance.rootad.inetrf

O17 - HKLM\Software\..\Telephony: DomainName = radiofrance.rootad.inetrf

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = radiofrance.rootad.inetrf

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = radiofrance.rootad.inetrf,inetrf,rootad.inetrf

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = radiofrance.rootad.inetrf,inetrf,rootad.inetrf

O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - (no file)

 

certaines lignes ne servent à rien pour le démarage de ta machine, je les ai inclus :P

Lien à poster
Partager sur d’autres sites

Je me suis simplement contenté des passer HijackThis en sans echec., et supprimer à deux ou trois détails près ce que tu m'a conseillé, ça fonctionne impec!

 

 

Bravo et merci à toi. :P

Lien à poster
Partager sur d’autres sites

Join the conversation

You are posting as a guest. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...