Page System32 au démarrage

[Gdonet]

Bonjour à tous et bravo pour ce forum,

 

Aprés avoir effectué les différentes manip indiquées ce problème n'est pas solutionné.

Historic Mes problèmes ont commencé avec About blank que j'ai eliminé en faisant le nettoyage avec

ATF Cleaner

Autoruns

Spybot SetS

Maintenant à chaque démarrage s'affiche la page System32 , j'ai nettoyé le système comme indiqué avec

Ewido

Easycleaner

Jv16 powertools

ATF cleaner

Problème tjr présent

En plus pour détendre j'ai Sygate perso firewall qui m'indique tjrs que Application noyau et system ntoskrnl.exe est bloqué

J'ai également fait ce que préconisait Spark (post du 19/05/2005) mais dans les cles rien ne m'a semblé anormal

Je copie le rapport Hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 14:40:09, on 05/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

c:\program files\mcafee.com\agent\mcdetect.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

c:\PROGRA~1\mcafee.com\vso\OasClnt.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

c:\program files\mcafee.com\vso\mcvsshld.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

C:\WINDOWS\system32\slrundll.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ctfmon.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://free.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: SpamPal.lnk.disabled

O4 - Startup: SpywareGuard.lnk.disabled

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Exif Launcher.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: VirusScan (2).lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://www.easypackhtml.com/PackageHtmlCab.CAB

O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} (France Telecom MDDK ActiveX Control) - http://accueil.ava.serveur-ava.com/stkid_data/ocx/mDKid.cab

O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - http://www.amiuptodate.com/vsc/bin/1,0,0,8...pdatePortal.cab

O16 - DPF: {78AEEDE8-7345-4FB5-A8FE-4BFF16EF25FC} (McAfee Virtual Technician Control Class) - http://us-download.mcafee.com/products/protected/mvt/mvt.cab

O16 - DPF: {AEF76437-F960-4EBC-97EA-7BBB4230CF38} (OcarptMain Class) - https://oca.microsoft.com/en/secure/ocarpt.CAB

O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - http://www.fnacmusic.com/telechargementFna...acComposant.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E49780A0-07A6-437F-A4FB-B559AFB96765}: NameServer = 212.27.53.252,212.27.54.252

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

 

Merci de votre aide. GD

[Malekal_morte]

Bonjour,

 

Ton rapport ne semble pas montrer de signe d'infection

 

Fais un scan en ligne :

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".

Sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

 

- Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

- Copie/colle le rapport du scan ici

 

Si le scan avec Kaspersky ne fonctionne pas, fais ceci :

 

- Fais un scan avec panda en désactivant ton antivirus pendant le scan!

(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)

- Copie/colle le rapport panda ici

 

 

Pour ton problème de dossier system32 au démarrage, voir ici : http://support.microsoft.com/?kbid=170086

[Gdonet]

Merci pour ta réponse j'applique ce que tu préconises A+

GD

[Gdonet]

Bonsoir,

Aprés plus de 2heures d'analyse pendant laquelle je suis alle sur le site de Microsoft ce qui m'a permis de découvrir ceci:

 

http://support.microsoft.com/?scid=kb;fr;8...3221&sid=global

Votre page d'accueil Internet Explorer est réinitialisée sur « about:blank

Il est dit que se probleme est causé par

TrojanSpy:Win32/Banker supprime l'entrée gcasServ de la sous-clé de Registre suivante : HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 

Comment fait-on pour remettre cette entrée car effectivement je ne vois pas de trace de celle-ci ?

 

Je colle le Rapport de Kasper effectivement il ya du virus !

 

KASPERSKY ON-LINE SCANNER - RAPPORT

lundi 5 juin 2006 19:10:06

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Version de Kaspersky On-line Scanner: 5.0.78.0

Dernière mise à jour de la base antivirus Kaspersky : 5/06/2006

Enregistrements dans la base antivirus Kaspersky : 186586

 

 

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie. vrai

 

Cible de l'analyse Poste de travail

A:\

C:\

D:\

 

Statistiques de l'analyse

Total d'objets analysés : 57067

Nombre de virus trouvés 4

Nombre d'objets infectés 3

Nombre d'objets suspects 3

Durée de l'analyse 02:20:29

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Program Files\Microsoft Office\Office\Gestionnaire d'affaires\MSBPF.CHM/Microsoft Press.html Suspect : Exploit.VBS.Phel ignoré

 

C:\Program Files\Microsoft Office\Office\Gestionnaire d'affaires\MSBPF.CHM CHM: suspect - 1 ignoré

 

C:\WINDOWS\system32\atmclk.exe Infecté: Trojan-Downloader.Win32.Zlob.qt ignoré

 

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\K96J8XYJ\Contents[1].htm Suspect : Exploit.VBS.Phel ignoré

 

C:\WINDOWS\system32\dcomcfg.exe Infecté: Trojan.Win32.StartPage.ajv ignoré

 

C:\WINDOWS\system32\regperf.exe Infecté: Trojan-Downloader.Win32.Zlob.pt ignoré

 

Analyse terminée.

 

Merci de ta réponse

[Malekal_morte]

-- Télécharge SmitfraudFix

-- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix

-- Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne

clique sur aucun autre fichier!!!)

-- Choisis l'option 2 et appuie sur Entrée

-- Réponds o (Oui) aux deux questions suivantes si elles sont posées

-- Un rapport sera généré sauvegarde le dans un dossier

[Gdonet]

Re bonsoir,

 

Je nai qu'un mot à dire BRAVO

 

Redémarrage impeccable MERCI bien que Sygate perso firewall qui m'indique tjrs que l'Application noyau et system ntoskrnl.exe est bloqué

 

 

Je poste le rapport de Smitfraudfix:

SmitFraudFix v2.55

 

Rapport fait à 2:04:11,25, 06/06/2006

Executé à partir de C:\Documents and Settings\Standard\Mes documents\T‚l‚chargement programme\Mise … jour microsoft\Logiciel protection\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{0c7416f0-dd23-420f-97f5-aae352ea2bf1}"="glochid"

 

[HKEY_CLASSES_ROOT\CLSID\{0c7416f0-dd23-420f-97f5-aae352ea2bf1}\InProcServer32]

[HKEY_CURRENT_USER\Software\Classes\CLSID\{0c7416f0-dd23-420f-97f5-aae352ea2bf1}\InProcServer32]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{e5b1e382-817e-4b74-8a96-ec78751e6acf}"="incatenate"

 

[HKEY_CLASSES_ROOT\CLSID\{e5b1e382-817e-4b74-8a96-ec78751e6acf}\InProcServer32]

[HKEY_CURRENT_USER\Software\Classes\CLSID\{e5b1e382-817e-4b74-8a96-ec78751e6acf}\InProcServer32]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\system32\ot.ico supprimé

C:\WINDOWS\system32\simpole.tlb supprimé

C:\WINDOWS\system32\1024\ supprimé

C:\DOCUME~1\Standard\Favoris\Antivirus Test Online.url supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Encore un grand merci GD