CWS.Msconfig

[Apollo]

Bonsoir à tous,

 

Chaque fois que j'exécute la commande msconfig, l'utilitaire CWShredder me trouve la saleté de CWS.Msconfig.

 

Il l'enlève à ma demande mais dès que je retourne dans msconfig, il se repointe.

HJThis ne trouve rien de suspect...

Merci d'avance de bien vouloir éclairer ma lanterne.

[queruak]

Bonjour liegeois, bonjour à tous,

 

Veux tu bien poster ton rapport Hijackthis !

[Apollo]

Bonjour liegeois, bonjour à tous,

 

Veux tu bien poster ton rapport Hijackthis !

507484[/snapback]

Re bonsoir,

 

Voici le log Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 1:33:27, on 24/05/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\S3apphk.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

C:\Documents and Settings\RENE TOMASINI\Mes documents\Installateurs\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.teledisnet.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [s3apphk] S3apphk.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

 

Merci.

[queruak]

Bonjour liegeois, bonjour à tous,

 

Tu as raison,ton rapport ne comporte pas d'elements d'infections par CWS.Msconfig;qui sont les suivants

Running processes:

C:\WINDOWS\SYSTEM\MSCONFIG.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.31234.com/www/homepage.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.31234.com/www/homepage.html

O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\SYSTEM\msconfig.exe

O4 - HKCU\..\Run: [msconfig] C:\WINDOWS\SYSTEM\msconfig.exe

O8 - Extra context menu item: ?????? - C:\WINDOWS\system32\openme.htm

 

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

 

-Son lancement automatique est totalement inutile.Au prochain redémarrage tu Choisis l'option de ne pas te rappeler que tu fonctionnes en mode "Démarrage sélectif"

 

-Msconfig pourrait avoir été altéré ou corrompu par cette saleté de CWS.Msconfig.

Télécharge msconfig d'ici:

http://www.spywareinfo.com/~merijn/winfiles.html#msconfig

ensuite tu le colles dans C:\Windows\system32\

 

-Redémarre et dis moi si tu as toujours le meme probleme en lançant msconfig.

 

-Fais un clic droit sur le bureau,et dis moi ,si dnas le menu tu as ceci ?????? -

 

-Affiche tous les fichiers,et regarde si tu as le fichier suivant sur ton disque openme.htm (regarde dans system32)

 

-Fais le scan en ligne suivant

http://www.pandasoftware.com/activescan/co...n_principal.htm

A la fin du scan,colle le rapport ici.

[Apollo]

Bonjour,

Merci querak de m'aider,j'apprécie beaucoup.

 

Bon, pour ce qui est du msconfig à télécharger chez merijn, je vois bien une solution pour XP et XPSP1 mais pas pour SP2... donc j'hésite encore à le faire (sans présager du langage de ce fichier).

 

-Quand je fais un clic droit sur le bureau, je n'ai pas ce "??????".

 

-Il n'y a pas de fichier "openme.htm" dans system32, tous fichiers affichés.

 

-Je n'ai pas de rapport Panda Active Scan à soumettre pour la bonne raison qu'il n'a strictement rien trouvé: ni virus, ni malware dans 187.748 fichiers et 44 messages analysés.

 

Voilà ce que je peux dire de plus pour l'instant.

Je verrai tes suggestions.

Encore merci.

[megataupe]

Bonjour liegeois, bonjour queruak . As-tu essayer la commande :

 

sfc /scannow

 

afin de vérifier les fichiers système (le CD d'XP est requis).

 

Si le système exempt de virus ou de spyware rencontre de nombreuses erreurs dont la source ne peut être déterminée avec précision, il se peut que des fichiers système soient corrompus ou absents.

 

Pour le savoir et les remplacer, procéder comme suit:

 

* Insérer le CD-ROM de Windows XP dans le lecteur tout en maintenant la touche Maj appuyée afin d'éviter son exécution automatique

 

* Par Démarrer/Exécuter... (ou Windows+r), saisir la commande sfc /scannow (faire un espace entre sfc et le /).

 

Note: Pour obtenir la liste des paramètres utilisables avec la commande sfc, ouvrir une invite de commande par Démarrer/Exécuter... (ou Windows+r), saisir cmd à l'invite, taper sfc /?

 

Attention: Si utiliser un point de restauration pourrait être une solution au problème rencontré, commencer par procéder à la restauration du système. En effet, sfc /scannow, en remplaçant des fichiers système protégés, rendra les points de restauration inutilisables.

[Apollo]

Bonjour megataupe,queruak, bonjour à tous,

 

La vérification à l'aide de la commande sfc /scannow effectuée.

 

J'ai vérifié ensuite en me rendant dans msconfig puis j'ai de nouveau analysé avec CWShredder qui détecte toujours CWSMsconfig...

 

Il y a de quoi devenir dingue!

[megataupe]

Et si ce n'était qu'un faux positif de CWS d'Intermute? (il faudrait vérifier avec l'ancienne version de CWS). Bonne chance

[Apollo]

Re à tous,

 

Euhhh, il semble y avoir quelque chose en trop là, non??

 

[ipl_001]

Bonjour liegeois, queruak, megataupe, bonjour à tous,

... Chaque fois que j'exécute la commande msconfig, l'utilitaire CWShredder me trouve la saleté de CWS.Msconfig.

 

Il l'enlève à ma demande mais dès que je retourne dans msconfig, il se repointe...

Je dirais comme meagtaupe que tu utilises la version Intermute de CWShredder car la version de Merijn n'est pas résidente et ne te laisse pas le choix de nettoyer ou pas !

 

As-tu réussi à remplacer la version de MSconfig (à partir du CD) ?