Nettoyage du PC

[Jul]

Re,

 

voici les résultats du scan :

Scan started at 24/09/05 19:58:24

 

Scanning memory...

c:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious

 

Scanned

============================

Objects: 42348

Directories: 3924

Archives: 694

Size(Kb): 1587558

Infected files: 0

 

Found

============================

Viruses found: 0

Suspicious files: 1

Disinfected files: 0

Mail files: 922

 

--------------------------------------------------------------------

et ceux d'HijackThis :

Logfile of HijackThis v1.99.1

Scan saved at 21:07:01, on 24/09/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\ATI2EVXX.EXE

C:\PROGRAM FILES\NORTON ANTIVIRUS\RTVSCN95.EXE

C:\PROGRAM FILES\NORTON ANTIVIRUS\DEFWATCH.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\ATIPTAXX.EXE

C:\PROGRAM FILES\CREATIVE\SHAREDLL\CTNOTIFY.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\PROGRAM FILES\NORTON ANTIVIRUS\VPTRAY.EXE

C:\PROGRAM FILES\WANADOO\CNXMON.EXE

C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\PROGRAM FILES\CREATIVE\SHAREDLL\MEDIADET.EXE

C:\WINDOWS\RunDLL.exe

C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE

C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe

O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe

O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe

O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [vptray] C:\Program Files\Norton AntiVirus\vptray.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe

O4 - HKLM\..\RunServices: [rtvscn95] C:\Program Files\Norton AntiVirus\rtvscn95.exe

O4 - HKLM\..\RunServices: [defwatch] C:\Program Files\Norton AntiVirus\defwatch.exe

O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: Recherche &Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Pages similaires - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Pages liées - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

 

---------------------------------------

 

Je couche mon p'tit bout et revien s tout à l'heure

Jul

[ipl_001]

Rebonsoir Jul, rebonsoir à tous,

 

Quels sont les dysfonctionnements ?

 

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

Cette ligne ne me plaît pas trop mais j'ai du mal à trancher (çà dépendra de ta réponse à ma question précédente)...

 

En effet, ce programme peut être légitime -si installé par toi- ou néfaste :

 

Légitime :

Name SystemTray or SysTray

Command SysTray.Exe

Status U

Description SYSTRAY.EXE - System Tray Services. Provides the Volume Control, PC Card Status, Power Management and other icons that reside in the System Tray (see here). SYSTRAY.EXE may be disabled if none of these services are required. It will launch as and when required if you later enable the icons. If you need these items they\'re available via Start -> Settings -> Control Panel

(source : http://castlecops.com/s3746-SysTray_Exe.html )

 

Néfaste :

Field Value

Name SystemTray

Command SysTray.exe

Status X

Description Added by the IRC.ALADINZ.P TROJAN! ** Note - Note - this is not the legitimate systray.exe process. If you right-click on the real systray.exe the "Properties" reveal it to be a Microsoft file

source : http://castlecops.com/s3745-SysTray_exe.html )

"Backdoor.IRC.Aladinz.P" -> http://securityresponse.symantec.com/avcen....aladinz.p.html

 

Personnellement, je pencherais vers la désactivation de cette ligne...

[megataupe]

Re bonsoir à tous . Un complément d'info sur cette ligne douteuse :

 

SystemTray SysTray.exe

X

Added by the ALADINZ.P TROJAN! Note - this is not the valid System Tray (systray.exe) which resides in C:\Windows\System (Win9x/Me), C:\Winnt\System32 (WinNT/2K) or C:\Windows\System32 (WinXP). If you right-click on the real systray.exe the "Properties" reveal it to be a Microsoft file

 

http://www.bleepingcomputer.com/startups/

 

Moi aussi je désactiverai cette ligne.

[Jul]

Rebonsoir Jul, rebonsoir à tous,

 

Quels sont les dysfonctionnements ?

 

Je n'ai pas de dysfonctionnements majeurs identifiés. Surtout par rapport aux pb que j'avais pour le lancement du PC et le bug d'EXPLORER ... Bravo pour la ligne de cde magique.

 

Concernant le 'SYSTRAY.EXE ', je n'ai pas souvenir d'avoir installé quelle que chose de cette sorte, mais depuis qq jours l'enceinte droite de mes haut-parleurs ne fonctionne plus.

 

PS : qd je fait ctrl-alt-sup, je vois pas mal de programmes (ou processus) qui tournent bien que seul une ou deux fenêtres soient actives.

 

Jul

[megataupe]

Pour les processus, tout dépend du nombre de services ouverts et de programmes qui tournent sur ton PC. Voici ma propre liste qui est pourtant très légére par rapport à certaines configurations (navigateur, antivirus, firewall, modem, utilitaires et services + system) :

 

Process

 

firefox.exe 2800 Normal G:\Program Files\Firefox Moox\firefox.exe 3492 ko 00 00:04:31

spyblocker.exe 1156 Normal G:\Program Files\SpyBlocker Software\spyblocker.exe 4480 ko 00 00:01:24

dslmon.exe 428 Normal G:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe 888 ko 00 00:00:01

procguard.exe 312 Normal G:\Program Files\ProcessGuard\procguard.exe 2740 ko 00 00:00:03

regprot.exe 232 Normal G:\program files\registryprot\regprot.exe 128 ko 00 00:00:00

pgaccount.exe 160 Normal G:\Program Files\ProcessGuard\pgaccount.exe 1504 ko 00 00:00:01

ashDisp.exe 128 Normal G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 876 ko 00 00:00:00

looknstop.exe 2016 Normal G:\Program Files\looknstop\looknstop.exe 3500 ko 00 00:00:22

ashMaiSv.exe 1852 Normal G:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 316 ko 00 00:00:00

explorer.exe 1484 Normal G:\WINDOWS\Explorer.EXE 12312 ko 00 00:01:07

vssvc.exe 1304 Normal G:\WINDOWS\System32\vssvc.exe 60 ko 00 00:00:00

svchost.exe 1276 Normal G:\WINDOWS\System32\svchost.exe 3104 ko 01 00:02:57

DCSUserProt.exe 1236 Normal G:\Program Files\ProcessGuard\dcsuserprot.exe 1192 ko 00 00:00:03

ashServ.exe 1040 Haute G:\Program Files\Alwil Software\Avast4\ashServ.exe 5796 ko 00 00:00:43

aswUpdSv.exe 1016 Normal G:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 48 ko 00 00:00:00

spoolsv.exe 936 Normal G:\WINDOWS\system32\spoolsv.exe 1184 ko 00 00:00:00

svchost.exe 756 Normal G:\WINDOWS\System32\svchost.exe 7812 ko 00 00:00:14

svchost.exe 740 Normal G:\WINDOWS\system32\svchost.exe 1688 ko 00 00:00:02

lsass.exe 584 Normal G:\WINDOWS\system32\lsass.exe 856 ko 00 00:00:00

services.exe 572 Normal G:\WINDOWS\system32\services.exe 1464 ko 00 00:00:32

winlogon.exe 528 Haute \??\G:\WINDOWS\system32\winlogon.exe 2480 ko 00 00:00:04

csrss.exe 504 Normal \??\G:\WINDOWS\system32\csrss.exe 2740 ko 01 00:00:37

smss.exe 444 Normal \SystemRoot\System32\smss.exe 44 ko 00 00:00:00

System 4 Normal 00:00:19

[ipl_001]

Rebonsoir Jul,

 

Veux-tu bien effectuer une recherche de SysTray.exe sur ton disque dur... de mon côté, je tacherai d'allumer un de mes ordinateurs sous Windows 98SE pour vérifier !

 

Clic droit sur Démarrer / Explorer / sélectionne C:\ / appuies sur la touche F3 / entre SysTray.exe dans la zone de recherche

Dis nous où est ce fichier.

[ipl_001]

megataupe,

 

Il faut se souvenir que Jul utilise Windows 98SE...

[megataupe]

megataupe,

 

Il faut se souvenir que Jul utilise Windows 98SE...

577689[/snapback]

 

Ups IPL J'avais en effet oublié ce détail. Il reste effectivement des "ancêtres" qui tournent encore bien ma foi.

[ipl_001]

C'est Jul qui a raison !

 

Il est inutile de râler... puis d'enrichir Bill !

[Jul]

Un ancêtre ... un ancêtre !!!

Ne dit-on pas que c'est en vieillissant que les bonnes choses s'affinent ... La vérité sort de la bouche des enfants ...

Et puis, depuis que les corbeaux de mon secteur alimentent autrement qu'avec du modem 56k !!!

 

IPL,

Pour répondre à ta question,

systray.exe dans c\windows\system (05/05/99)

systray.lgc dans c\windows\applog (09/05/05) (icone ou extension non reconnue par windows)

systray_fr.dll dans c\programfiles\real\realPlayer\lang (13/09/05)

 

Maintenat qu'un 1er nettoyage a été réalisé sur le PC, peut-tu me dire quelle sont les manips à faire pour sauvegarder ces paramètres. Je pense notamment aux bases de registre et aux autres trucs indispensables.

 

PS : En navigant un peu sur le site et les forums, j'ai cru comprendre que ANTIVIR est un bon soft. Comment se fait-il qu'il soit mieux reconnu (et a priori plus efficace que NORTON), alors qu'il n'y a pas de licence à acheter. Lors du scan de mon disque, ANTIVIR a lu 72 000 fichiers (et supprimé certains), alors que NORTON n'en visualise que 60 000 ?

 

Jul