Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Oksia

ordi instable (résolu)

Messages recommandés

Bonjour !

 

jusqu'à présent je m'en sortais toutes seule mais là l'ordi commence à devenir vraiment indiscipliné : programes qui se ferment tout seuls, message "iexplore à récupéré une erreur sérieuse" au démarrage...

Alors voilà, je me décide à poster mon petit log HiJack en espérant que quelqu'un y trouvera quelque chose de louche...

 

merci pour vos conseils !

 

 

Logfile of HijackThis v1.99.0

Scan saved at 19:30:50, on 22/09/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:/www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:/www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe

O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.downl-colorplaza.ch/clients/upload/XUpload.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{809759AB-4C71-4767-9F50-F0A0C6A5AD14}: NameServer = 85.255.113.146,85.255.112.23

O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Modifié par Oksia

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir Oksia, bonsoir à tou(te)s,

 

Messages : 1
Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! :P

 

Logfile of HijackThis v1.99.0

Scan saved at 19:30:50, on 22/09/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Vois-tu, les parties en rouge m'indiquent que ton système n'est pas à jour et se retrouve plein de failles de sécurité !

 

Puis-je supposer que l'entretien de ton système (suppression des fichiers inutiles, nettoyage de la base de registres, défractionnement, etc.) laisse aussi à désirer ?

 

S'il te plaît,

- télécharge la dernière version d'HijackThis -> http://www.merijn.org/files/hijackthis.zip (attention, lien direct... je veux la v.1.99.1)

- mets ton système à jour -> http://windowsupdate.microsoft.com/ je voudrais voir XP SP2 !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Partager ce message


Lien à poster
Partager sur d’autres sites

"Puis-je supposer que l'entretien de ton système (suppression des fichiers inutiles, nettoyage de la base de registres, défractionnement, etc.) laisse aussi à désirer ?"

 

 

euuuhhh ! comment je suis repérée ! bon d'accord j'ai jamais réussi à installer le sr pack2 et donc je ne suis pas très à jour mais je fais régulièrement le défrag, j'utilise Spybot et la base est nettoyée avec Regcleaner... c'est tout ce que je sais faire...

je croyais avoir la dernière version de Hijack... je vais faire attention, merci !

Partager ce message


Lien à poster
Partager sur d’autres sites

Rebonsoir Oksia, rebonsoir à tou(te)s,

 

Ton sytsème est infecté, notamment, par :

- "CWS.LoadAdv.400" - http://www3.ca.com/securityadvisor/pest/pe...px?id=453094369

- "WIN32.DNSCHANGER.S TROJAN" -

D'autre part, je te fais éliminer la ligne O17 car elle fait référence à une adresse IP bien douteuse :

inetnum:        85.255.112.0 - 85.255.113.255

netname:        inhoster

descr:          Inhoster hosting company

descr:          OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

S'agit-il de ton fournisseur d'accès ?

 

 

 

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Désactive TeaTimer le temps du nettoyage (sinon, il va empêcher les programmes d'agir) ; tu réactiveras à la fin !

De même, je te fais enlever les restrictions (je ne sais pas si c'est toi qui les as mises).

 

Télécharge et installe CWShredder 2.16 de Trend Micro ( http://aumha.org/downloads/cwshredder.zip )

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

 

 

Redémarre l'ordinateur en mode sans échec.

 

Lance CWShredder, qui enlèvera les éventuels CWS et qui te demandera peut-être de redémarrer l'ordinateur (en ce cas, redémarre en mode sans échec)

 

Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes :

--- tu as 2 antivirus résidents (AntiVir et AVG), il te faut en désinstaller un !

 

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

 

Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe (CWS.LoadAdv.400)

 

O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe (WIN32.DNSCHANGER.S TROJAN)

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.downl-colorplaza.ch/clients/upload/XUpload.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{809759AB-4C71-4767-9F50-F0A0C6A5AD14}: NameServer = 85.255.113.146,85.255.112.23

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

--- j'aimerais que tu me dises quels sont les fichiers .exe et .dll qui sont dans C:\Windows\System32 et dont la date est récente comme l'est sûrement celle des 2 fichiers ci-dessous

--- C:\WINDOWS\sachostx.exe

--- C:\WINDOWS\System32\yaemu.exe

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Qu'en est-il de dysfonctionnements éventuels ?

 

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir IPL, bonsoir à tous. :P Très louche en effet cette IP :

 

85.255.113.255

 

 

Blacklist Status: Listed - Cached Today (details)

Cached Whois: Cached today

Record Type: IP Address

IP Location: Ukraine Ukraine - Inhoster Hosting Company

Reverse IP: No websites hosted using this IP address

Reverse DNS: not set

Partager ce message


Lien à poster
Partager sur d’autres sites

Rebonsoir Oksia, rebonsoir à tou(te)s,

"Puis-je supposer que l'entretien de ton système (suppression des fichiers inutiles, nettoyage de la base de registres, défractionnement, etc.) laisse aussi à désirer ?"

euuuhhh !  comment je suis repérée !  bon d'accord j'ai jamais réussi à installer le sr pack2 et donc je ne suis pas très à jour mais je fais régulièrement le défrag, j'utilise Spybot et la base est nettoyée avec Regcleaner...  c'est tout ce que je sais faire...

je croyais avoir la dernière version de Hijack... je vais faire attention, merci !

576562[/snapback]

Pour l'entretien de ton système :

 

- ferme toutes tes fenêtres

- Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour valider l'examen de C: / coche toutes les cases et clique sur OK / OK pour accepter le nettoyage des fichiers inutiles

- lance un nettoyeur de disque comme EasyCleaner-inutile(s) ou RegCleaner

- lance EasyCleaner-Registre

- vide ta corbeille

- Clic droit sur C: / Propriétés / onglet Outils / Examen du disque

- Clic droit sur C: / Propriétés / onglet Outils / Défragmentation

 

Je cherche ton pare-feu... tu l'as bien caché car je ne le trouve pas ! :P As-tu une connexion permanente ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Ouh là ! bon j'imprime et je vais faire tout ça scrupuleusement !

 

dans un premier temps je peux te dire que :

 

- mon fai c'est wanadoo ( donc ça doit pas être lui !)

 

- j'ai AVG en résident, je n'avais installé antivir que pour préparer mon log HijackThis (méthode Zebulon : je suis très obéissante :P ) et je l'ai désinstallé après avec ajout-suppression de programe... que dois-je faire d'autre ?

 

-pour ce qui est des restrictions je ne sais pas trop de quoi tu parles mais c'est peut êtres celles proposées par Spybot (?)

 

-Yaemu je l'avais repéré il y a un ou 2 jours et déja fixé avec HijackThis...

 

Bon, je fais tout ça et je te tiens au courant.. en tout cas merci beaucoup déjà pour le mal que tu t'es donné.

Partager ce message


Lien à poster
Partager sur d’autres sites

"Je cherche ton pare-feu... tu l'as bien caché car je ne le trouve pas ! :P As-tu une connexion permanente ? "

 

Grr on ne peut rien te cacher ! ça c'est encore un autre problème... jusqu'à avant-hier j'avais Zonealarm et puis il y a eu une Maj et puis plus de connexion internet du tout... j'ai été obligée de le désinstaller :-P

 

Bon tant qu'on y est je dois ajouter que pendant que tu travaillais sur mon log j'ai reçu un mail de ... moi-même ! mais il a été suprimé par AVG parce que le fichier joint contenait un ver... :-( ça disait ça :

 

"Viruses found in the attached files.

The file price_09.zip: Virus identified I-Worm/Bagle. The attachment was moved to the virus vault.

 

Checked by AVG Anti-Virus.

Version: 7.0.338 / Virus Database: 267.11.5/110 - Release Date: 22/09/2005"

 

je suis pas sortie des problème moi... :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Rebonsoir Oksia, megataupe, rebonsoir à tou(te)s,

"Je cherche ton pare-feu... tu l'as bien caché car je ne le trouve pas ! :P As-tu une connexion permanente ? "

 

Grr on ne peut rien te cacher ! ça c'est encore un autre problème... jusqu'à avant-hier j'avais Zonealarm et puis il y a eu une Maj et puis plus de connexion internet du tout... j'ai été obligée de le désinstaller :-P

Okay vu ! Mais il te faudra résoudre ce problème car si tu as une connexion permanente, il te faut à tous prix un pare-feu... le pare-feu est l'outil central de la protection -de plus en plus important- !

Moi, la dernière mise à jour de ZoneAlarm m'empêche d'utiliser mon client FTP !

Bon tant qu'on y est je dois ajouter que pendant que tu travaillais sur mon log j'ai reçu un mail de ...  moi-même !  mais il a été suprimé par AVG parce que le fichier joint contenait un ver... :-(  ça disait ça :

 

"Viruses found in the attached files.

The file price_09.zip: Virus identified  I-Worm/Bagle. The attachment was moved to the virus vault.

 

Checked by AVG Anti-Virus.

Version: 7.0.338 / Virus Database: 267.11.5/110 - Release Date: 22/09/2005"

 

je suis pas sortie des problème moi... :P

576643[/snapback]

Très bien, AVG a bien bossé !

Cet e-mail reçu est classique ces jours-ci ! Ne t'inquiète pas, beaucoup l'ont reçu (çà désarçonne un e-mail envoyé par soi-même !) et çà ne signifie que tu es infectée !

 

Okay, si tu as désinstallé AntiVir, il n'y a rien de plus à désonstaller !

 

en tout cas merci beaucoup déjà pour le mal que tu t'es donné.
Pas de problème, nous sommes sur ce forum pour aider ! C'est un plaisir !

Partager ce message


Lien à poster
Partager sur d’autres sites

ben avec moi vous allez avoir du plaisir... je crois que je viens de faire une grosse gaffe :P : emportée par mon élan j'ai supprimé tous les fichiers de System et system32 qui commençaient par "sachost"... et depuis plus moyen de me reconnecter à internet (là je suis sur un autre ordi)

 

cette gaffe est elle réparable ? ( désolée c'est vraiment pas malin j'en conviens)

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×