Perdue avec mon pc qui bug complètement...+ Rapport HisjackThis.Quelqu

[Nanou16]

Voilà,voilà!

 

J'ai réinstallé spysweeper et le scan a trouvé plusieurs intrus!

J'ai tout nettoyé et j'ai relancé un autre scan qui n'a rien retrouvé...chouette!

 

par contre, j'ai relancé le second scan avant de noter le log.

Alors du coup je ne sais pas si c'est bon.

 

Mais le voici:

 

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: Warning: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

08:54: | End of Session, mercredi 18 janvier 2006 |

 

J'attends de vos nouvelles et MERCI.

 

Nanou

[Mark]

Salut Nanou, et bonjour à toutes / tous

 

Bon, effectivement, j'aurais aimé voir le premier rapport de Spy Sweeper (je suis voyeur... ) ;

 

Pas grave. Lance Spy Sweeper, puis clique sur "Results" (à gauche), puis clique sur l'onglet "Session Log" ; j'espère que tu y verras tous les résultats (des deux scans) ; si oui, colle les résultats du premier scan dans ta prochaine réponse. Et dis nous si t'as toujours des dysfonctionnements !

[pear]

Non,toujours impossible à supprimer!

 

 

Bonjour,

 

Pardonnez mon intrusion dans ce domaine dont je ne suis pas spécialiste.

 

Pour supprimer cette peste, j'ai eu l'occasion ,ailleurs ,de conseiller ceci,avec succès:

 

Se donner tous droits sur cette clef(clic droit->autorisations) puis supprimer.

 

Peut-etre cela ne marche-t-ilpas à tous les coups ?

 

Pear

[Jack_Burton]

 

 

Pardonnez mon intrusion dans ce domaine dont je ne suis pas spécialiste.

 

 

Bonjour Pear

 

Non, tu fais bien d intervenir, toute proposition sera la bienvenue

Cependant, ce que tu dis, nous l avons déja essayé plus haut dans la discussion (voir ici ) sans succes

 

Avec Qc001, nous faisons des recherches actuellement pour supprimer cette clef tres coriace!

Modifié le 18 janvier 2006 par Jack_Burton

[pear]

Bonjour Pear

 

Non, tu fais bien d intervenir, toute proposition sera la bienvenue

Cependant, ce que tu dis, nous l avons déja essayé plus haut dans la discussion (voir ici ) sans succes

 

Avec Qc001, nous faisons des recherches actuellement pour supprimer cette clef tres coriace!

 

 

Bonjour Jack,

 

Oui, j'avais vu.

 

Petite précion pour ma gouverne:

 

Chez moi,dans les autorisations, il y a System avec controle total et Tout le monde sans controle total.

Je suppose que mon correspondant se trouvait dans la meme situation puisque controle total à tout le monde lui a donné le moyen de supprimer la clef.

J'aimerais donc savoir pour quelle raison cela ne marchrait pas ici.

 

Pear

[Mark]

Nanou16 ; t'es toujours là ??

 

Pear : je suis également ouvert aux suggestions. Pourrais-tu nous dire exactement quelle clé tu as virée ??

 

Bon, j'ai fouillé partout, sur le forum de SpyBot compris, et je ne trouve rien sur cette détection ErrorSafe. Celle de cmdservice, par contre, est un faux-positif (lorsqu'aucune autre ligne command n'apparaît dans le rapport HijackThis!). Jack et moi en avons discuté, et il s'agit peut-être d'un rootkit (infection hyper cachée). Allons vérifier, pis après on verra pour fixer cette clé de registre.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

[pear]

Nanou16 ; t'es toujours là ??

 

Pear : je suis également ouvert aux suggestions. Pourrais-tu nous dire exactement quelle clé tu as virée ??

 

Bon, j'ai fouillé partout, sur le forum de SpyBot compris, et je ne trouve rien sur cette détection ErrorSafe. Celle de cmdservice, par contre, est un faux-positif (lorsqu'aucune autre ligne command n'apparaît dans le rapport HijackThis!). Jack et moi en avons discuté, et il s'agit peut-être d'un rootkit (infection hyper cachée). Allons vérifier, pis après on verra pour fixer cette clé de registre.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

 

Bonjour,

 

Celle-la:[-HKEY_LOCAL_MACHINE\system\controlSet001\enum\root\LEGACY_ERSSDD]

 

Clic droit->Autorisations->Tout le monde->Contol total puis supprimer

 

 

Pear

Modifié le 21 janvier 2006 par pear

[Nanou16]

Bonjour,

 

oui,oui je suis toujours là mais j'ai été peu dispo ces derniers jours.

Bon,je suis perdue avec tout ce que j'ai fait et je ne sais plsu où j'en suis!

 

Mon pc ontinue à pédaler...pffff...ne ne sais pas de quoi ça vient!

 

J'ai toujours spybot qui me met errorsafe...

 

Je ne sais plus ce que je dois faire...

 

Quelle poisse!

 

En tout cas,merci pour votre aide,je ne sais pas comment je ferai sinon!!!

Peut-être ouvrir ma fenêtre et jeter le pc!

 

Bonne soirée...j'attends vos instructions!

 

Nanou

[Mark]

Salut Nanou

 

Ok, pour la suite, passe l'outil BlackLight, tel que prescrit dans mon post précédent, et on poursuivra.

 

Cette détection ErrorSafe n'est pas prioritaire en ce moment, car y a autre chose qui se cache. J'en ai discuté avec une amie experte, et cette clé Legacy (errorsafe) n'est absolument pas dangeureuse. Elle peut tout simplement être ignorée, ou on peut la virer comme nous l'explique Pearl (effectivement ). Windows protège toutes ses clés Legacy par défaut, donc faut être astucieux et changer les permissions. Mais pas tout de suite...

 

Poste également un tout nouveau rapport HijackThis! avec elui de BlackLight s'il te plaît.

 

@ bientôt !

[Nanou16]

Bonsoir Qc001,

 

Voici le rapport :

 

01/22/06 19:52:35 [info]: BlackLight Engine 1.0.30 initialized

01/22/06 19:52:35 [info]: OS: 5.1 build 2600 ()

01/22/06 19:52:36 [Note]: 7019 4

01/22/06 19:52:36 [Note]: 7005 0

01/22/06 19:57:41 [Note]: 7006 0

01/22/06 19:57:41 [Note]: 7011 1328

01/22/06 19:57:42 [Note]: FSRAW library version 1.7.1014

01/22/06 19:58:10 [Note]: 7006 0

01/22/06 19:58:10 [Note]: 7011 1328

01/22/06 19:58:11 [Note]: FSRAW library version 1.7.1014

 

Voici le rapport HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:04:49, on 22/01/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\windows\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\windows\System32\svchost.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HisjackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cegetel.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kav...can_unicode.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

 

 

 

Voilà.....j'attends maintenant votre aide!

Merci beaucoup et excellente soirée!

 

Nanou

Modifié le 22 janvier 2006 par Nanou16