High-Tech Santé Médecine Droit-Finances

Réalisation

vidéo numérique

Rechercher : dans
Par :

Services.exe accaparent 100% du CPU

Dernière réponse le 12 fév 2009 à 20:46:58 pdf89, le 20 jan 2009 à 16:16:43 
 Signaler ce message aux modérateurs

Bonjour,

Je "bichonne" mon PC (Compaq evo n800v - RAM 524 MB - Pentium 4 2.0 Ghz - W2k Pro SP4) depuis plus de 5 ans (parefeu, antivirus, nettoyages et défragmentations réguliers, etc.) et suis tout à fait satisfait de ses performances compte tenu de sa configuration...

...Sauf que, depuis plusieurs mois, mon PC "rame" au démarrage, et/ou au restart, et/ou au suspend standby mode, et/ou à l'ouverture des connexions réseaux, et/ou à l'ouverture d' explorer, et toujours avec le même symptôme, à savoir que les "services.exe" tournent pendant plusieurs minutes en accaparant 100% de la CPU (je monitore cela avec "process explorer" qui se lance à chaque démarrage et tourne en arrière-plan).

Bien que je ne suspecte la présence d'aucun virus (sait-on jamais?), "quelque chose d'anormal" doit être à la source de ce problème.

Je remercie donc par avance les experts de bien vouloir analyser le log d'hijackthis ci-dessous et de me faire part de leurs suggestions.

Pour ma part (je ne suis pas un spécialiste!), les seules "anomalies" que j'y ai vues après parcours rapide du log sont une ligne R1 faisant référence à un "internet setting" obsolète (le serveur proxy n'existe plus) et des lignes O16 et O23 comportant des références à des applications qui ne sont plus installées ("file missing" - p.ex. symantec). Faut-il les supprimer, si oui, comment?

D'avance, merci pour votre aide à retrouver des performances "décentes" de mon "vieux PC".

Cordialement,
pdf89


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:21:10, on 20/01/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\cisvc.exe
C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\WINNT\system\NWIZARD\WINSVC32.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\system\NWIZARD\NWWHK32.EXE
C:\WINNT\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Le Robert\Le Robert & Collins\rcwinHyper.exe
C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Program Files\Process explorer\procexp.exe
C:\WINNT\System32\cidaemon.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Program Files\MyMobiler\MyMobiler.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;*.bec.ch;*.extrabec.*;*.rservices.com;*.sandoz*.ch;*.bec*.ch;10.100.20.1;10.100.60.*;10.60.50.*;<local>
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,,C:\WINNT\system\NWIZARD\NWWHK32.EXE
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [rcwinHyper] C:\Program Files\Le Robert\Le Robert & Collins\rcwinHyper.exe
O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O4 - Global Startup: explorer.exe.lnk = C:\WINNT\explorer.exe
O4 - Global Startup: Process Explorer.lnk = C:\Program Files\Process explorer\procexp.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: i-Nav Help - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: i-Nav Help - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: i-Nav Options - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {14C1B87C-3342-445F-9B5E-365FF330A3AC} - https://h50203.www5.hp.com/HPISWeb/Customer/cabs/HPISDataManager.CAB
O16 - DPF: {1851174C-97BD-4217-A0CC-E908F60D5B7A} (Hewlett-Packard Online Support Services) - http://h50203.www5.hp.com/HPISWeb/Customer/cabs/HPISDataManager.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/...
O16 - DPF: {4CCA4E80-9259-11D9-AC6E-444553544200} (FixController Control) - http://h30155.www3.hp.com/ediags/dd/install/HPInstallMgr_v01_5.cab
O16 - DPF: {4D054067-DE3A-48F9-B19B-BCD229B9AE8D} - http://www.samsungdp.com/printerhelp/ActiveX/DrPrinter.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/fr/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {A9F8D9EC-3D0A-4A60-BD82-FBD64BAD370D} (DDRevision Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} - http://driveragent.com/files/driveragent.cab
O16 - DPF: {FA30EC32-668B-4B60-B13C-4C84EB90C3C9} - http://www.meetstream.com/activex/28081/activeid.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: Compaq Local Alerter (CPQALERT) - Compaq Computer Corporation - C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe
O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Unknown owner - C:\WINNT\Cpqdiag\Cpqdfwag.exe (file missing)
O23 - Service: cpqdmi - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
O23 - Service: Compaq DMI Web Agent (cpqWebDmi) - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Unknown owner - C:\Program Files\Symantec AntiVirus\DefWatch.exe (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe
O23 - Service: Workstation Agent Service (NetWizard Workstation Service) - Attachmate Corporation - C:\WINNT\system\NWIZARD\WINSVC32.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - Unknown owner - C:\Program Files\Symantec AntiVirus\SavRoam.exe (file missing)
O23 - Service: SBHookSvc - Unknown owner - C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\SBHookSvc.exe (file missing)
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O23 - Service: Symantec AntiVirus - Unknown owner - C:\Program Files\Symantec AntiVirus\Rtvscan.exe (file missing)
O23 - Service: Time Service (TimeServ) - Unknown owner - C:\WINNT\system32\timeserv.exe (file missing)
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe
O23 - Service: Win32Sl (WIN32SL) - Intel - C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
End of file - 12742 bytes

Configuration: Windows 2000 Pro SP4
Firefox 3.0.5
IE 6.0

Meilleures réponses pour « Services.exe accaparent 100% du CPU » dans :
[Windows XP] Explorer.exe utilise le CPU à 99% ou 100% VoirIl peut s'agir d'un bug de Windows XP. En effet, Windows "calcule" la durée de toutes les vidéos sur le disque, ce qui provoque une utilisation à près de 100% des ressources CPU ou mémoire par le processus Explorer.exe. Afin de remédier au problème...
Services - services.exe Voirservices - services.exe Le processus services.exe (Windows Service Controller) est un processus générique de Windows NT/2000/XP permettant de reconnaître et d'adapter les modifications matérielles du système sans intervention de l'utilisateur. Le...
Processeur VoirPrésentation Le processeur (CPU, pour Central Processing Unit, soit Unité Centrale de Traitement) est le cerveau de l'ordinateur. Il permet de manipuler des informations numériques, c'est-à-dire des informations codées sous forme binaire, et...
Posez votre question Répondre

1

jlpjlp, le 20 jan 2009 à 17:34:08

Slt,


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

   
Répondre à jlpjlp

2

pdf89, le 20 jan 2009 à 19:26:16

Bonsoir,

Merci pour ta prompte réponse. J'ai fait ce que tu m'as suggéré et voici le log de combofix.

NB:

1. Il n'y a pas eu de prompt de "console de récupération" comme indiqué dans le tutoriel. Est-ce ok ou dois-je l'installer séparément, si oui pourquoi et comment?

2. En remettant en route Spybot teatimer, celui-ci a détecté une bonne dizaine de modifications à la base de registre (ajout, modif et suppressions) que j'ai TOUTES autorisées. Ais-je bien fait?

3. Que dois-je faire avec les "anomalies" mentionées dans mon post initial?

4. Je n'ai pas encore redémarré mon PC car tout semble fonctionner. Devrais-je le faire avant de poursuivre cette discussion?

Voici le log. J'attends tes conseils avec impatience...


ComboFix 09-01-19.05 - pdf 20/01/2009 18:51:28.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1033.18.511.238 [GMT 1:00]
Running from: c:\documents and settings\pdf.W2KGE014\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\Downloaded Program Files\setup.inf
c:\winnt\system\msvbvm60.dll
c:\winnt\system32\mdm.exe
c:\winnt\twain_16.dll
c:\winnt\Web\default.htt

.
((((((((((((((((((((((((( Files Created from 2008-12-20 to 2009-01-20 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2040-02-05 11:28 9,728 ----a-r c:\winnt\SYSTEM32\HPW9lmn.dll
2009-01-20 17:47 --------- d-----w c:\documents and settings\pdf.W2KGE014\Application Data\Skype
2009-01-20 17:41 --------- d---a-w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-13 15:34 --------- d-----w c:\program files\MyMobiler
2009-01-04 17:28 --------- d-----w c:\program files\Sunbelt Software
2009-01-04 17:17 --------- d-----w c:\program files\CCleaner
2009-01-04 16:47 30,958 ----a-w c:\winnt\system32\drivers\fwdrv.err
2008-12-25 10:38 --------- d-----w c:\program files\RamBoost XP
2008-12-20 22:02 --------- d-----w c:\documents and settings\pdf.W2KGE014\Application Data\Image Zone Express
2008-12-11 12:09 239,472 ----a-w c:\winnt\system32\drivers\SRV.SYS
2008-12-11 12:09 239,472 ------w c:\winnt\SYSTEM32\DLLCACHE\srv.sys
2008-12-10 22:03 2,706,432 ----a-w c:\winnt\SYSTEM32\DLLCACHE\MSHTML.DLL
2008-12-10 16:37 --------- d-----w c:\program files\TCPoptimizer
2008-12-08 09:08 --------- d-----w c:\documents and settings\pdf.W2KGE014\Application Data\skypePM
2008-11-26 08:47 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-22 18:43 --------- d-----w c:\program files\QuickTime
2008-11-07 17:32 2,109,440 ------w c:\winnt\SYSTEM32\DLLCACHE\WMVCore.dll
2008-10-23 05:27 237,840 ----a-w c:\winnt\SYSTEM32\GDI32.DLL
2008-10-23 05:27 237,840 ----a-w c:\winnt\SYSTEM32\DLLCACHE\GDI32.DLL
2008-03-04 13:30 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
2004-08-20 18:09 62,865 -c--a-w c:\winnt\INF\IM\odysseyIM3.sys
2004-08-20 18:09 45,056 ----a-w c:\winnt\INF\IM\imdinst.exe
2004-08-20 18:09 12,739 -c--a-w c:\winnt\INF\IM\odNetInstall.dll
2001-05-30 09:50 271 -c-ha-w c:\program files\DESKTOP.INI
2001-05-30 09:50 21,952 -c-ha-w c:\program files\FOLDER.HTT
2001-05-08 04:00 32,528 -c--a-w c:\winnt\INF\WBFIRDMA.SYS
2005-05-13 15:12 217,073 --sha-r c:\winnt\meta4.exe
2005-10-24 09:13 66,560 --sha-r c:\winnt\MOTA113.exe
2005-10-13 19:27 422,400 --sha-r c:\winnt\x2.64.exe
2005-10-07 17:14 308,224 --sha-r c:\winnt\SYSTEM32\avisynth.dll
2005-07-14 10:31 27,648 --sha-r c:\winnt\SYSTEM32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-r c:\winnt\SYSTEM32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r c:\winnt\SYSTEM32\cygz.dll
2004-01-24 22:00 70,656 --sha-r c:\winnt\SYSTEM32\i420vfw.dll
2006-04-27 08:24 2,945,024 --sha-r c:\winnt\SYSTEM32\Smab.dll
2005-02-28 11:16 240,128 --sha-r c:\winnt\SYSTEM32\x.264.exe
2004-01-24 22:00 70,656 --sha-r c:\winnt\SYSTEM32\yv12vfw.dll
.

------- Sigcheck -------

21/03/05 15:13 11264 ab176f2171db704d51b8809e8a5c38bd c:\winnt\SYSTEM32\CTFMON.EXE
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [07/11/08 14:31 21633320]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [13/11/06 13:07 1289000]
"rcwinHyper"="c:\program files\Le Robert\Le Robert & Collins\rcwinHyper.exe" [18/10/03 21:41 139264]
"Le Petit Robert Hyperappel"="c:\program files\Le Robert\Le Petit Robert\prhyper.exe" [11/10/01 12:11 22560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [26/11/08 18:18 81000]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [15/10/08 01:04 39792]
"Synchronization Manager"="mobsync.exe" [19/06/03 12:05 111376 c:\winnt\SYSTEM32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [19/06/03 12:05 186640]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
D-Link AirPlus G+ Wireless Adapter Utility.lnk - c:\program files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE [2005-01-06 671744]
explorer.exe.lnk - c:\winnt\explorer.exe [2004-02-10 243472]
Process Explorer.lnk - c:\program files\Process explorer\procexp.exe [2007-10-26 3278400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ActiveSync]
13/11/06 13:05 16168 c:\winnt\SYSTEM32\WcesWlgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"MSACM.CEGSM"= mobilev.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"swg"=c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

R0 SONYPVM1;Sony Memory Stick Driver(SONYPVM1);c:\winnt\SYSTEM32\DRIVERS\SonyPVM1.sys [2005-12-25 28224]
R1 aswSP;avast! Self Protection;c:\winnt\SYSTEM32\DRIVERS\aswSP.sys [2008-04-06 111184]
R1 cdudf;cdudf;c:\winnt\SYSTEM32\DRIVERS\cdudf.sys [2002-07-31 362083]
R1 ClntMgmt;Compaq Client Management Driver;c:\winnt\SYSTEM32\DRIVERS\CLNTMGMT.SYS [2003-08-06 54254]
R1 SbFw;SbFw;c:\winnt\SYSTEM32\DRIVERS\SbFw.sys [2009-01-04 270888]
R1 sbhips;Sunbelt HIPS Driver;c:\winnt\SYSTEM32\DRIVERS\sbhips.sys [2008-06-21 66600]
R3 dfmirage;dfmirage;c:\winnt\SYSTEM32\DRIVERS\dfmirage.sys [2008-04-15 31896]
R3 openhci;Microsoft USB Open Host Controller Driver;c:\winnt\SYSTEM32\DRIVERS\openhci.sys [2002-05-10 24784]
R3 ramirr;ramirr;c:\winnt\SYSTEM32\DRIVERS\ramirr.sys [2004-10-14 4864]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\winnt\SYSTEM32\DRIVERS\SBFWIM.sys [2009-01-04 65448]
R3 TNET1130;D-Link AirPlus G+ Wireless Adapter;c:\winnt\SYSTEM32\DRIVERS\GPLUS.sys [2005-01-06 286364]
R3 usbhub20;USB Hub Support;c:\winnt\SYSTEM32\DRIVERS\usbhub20.sys [2004-02-10 49776]
R4 aswFsBlk;aswFsBlk;c:\winnt\SYSTEM32\DRIVERS\aswFsBlk.sys [2008-04-06 20560]
R4 aswMon;avast! Standard Shield Support;c:\winnt\SYSTEM32\DRIVERS\aswmon.sys [2005-10-25 93296]
R4 BrSerial;Brother Serial Driver;c:\winnt\SYSTEM32\DRIVERS\BrSerial.sys [2005-07-08 44101]
R4 cpqWebDmi;Compaq DMI Web Agent;c:\progra~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe [2003-08-06 24576]
R4 navi;VeriSign Updater;c:\program files\VeriSign\NAVI\naviagent.exe uimode=agentupdate --> c:\program files\VeriSign\NAVI\naviagent.exe uimode=agentupdate [?]
R4 NetWizard Workstation Service;Workstation Agent Service;c:\winnt\SYSTEM\NWIZARD\WINSVC32.EXe [2003-08-12 548864]
R4 PRPC;PRPC;c:\winnt\SYSTEM32\DRIVERS\prpc.sys [2003-08-06 10495]
R4 RAInfo;RAInfo;c:\winnt\SYSTEM\NWIZARD\RCONTR32\TUPES\rainfo.sys [2004-10-14 8192]
R4 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [2008-10-31 95528]
R4 Viewpoint Manager Service;Viewpoint Manager Service;c:\program files\Viewpoint\Common\ViewpointService.exe [2007-01-23 24652]
S3 BDA_Capture_225;USB Digital-TV receiver Driver 2.0.1.8;c:\winnt\SYSTEM32\DRIVERS\BDA_Capture_225.sys [2006-09-22 14592]
S3 BDA_Loader_225;USB Digital-TV Receiver Firmware Loader 6.5.8.0;c:\winnt\SYSTEM32\DRIVERS\BDA_Loader_225.sys [2006-09-22 18944]
S3 BrUsbMdm;Brother MFC USB FaxModem driver;c:\winnt\SYSTEM32\DRIVERS\BrUsbMdm.sys [2005-07-08 10908]
S3 BrUsbScn;Brother MFC USB Scanner driver;c:\winnt\SYSTEM32\DRIVERS\BrUsbScn.sys [2005-07-08 10908]
S3 cirrus;cirrus;c:\winnt\SYSTEM32\DRIVERS\CIRRUS.SYS [1999-10-08 45744]
S3 CpqDtct;CpqDtct;\??\c:\winnt\System32\Drivers\Cpqdtct.sys --> c:\winnt\System32\Drivers\Cpqdtct.sys [?]
S3 e4usbaw;USB ADSL2 WAN Adapter;c:\winnt\SYSTEM32\DRIVERS\e4usbaw.sys [2007-07-19 114616]
S3 FBIKB_NT;FBIKB_NT;\??\c:\winnt\System32\Drivers\FBIKB_NT.Sys --> c:\winnt\System32\Drivers\FBIKB_NT.Sys [?]
S3 genmcmnUSB;USB Scroll Mouse Driver;c:\winnt\SYSTEM32\DRIVERS\gflmouhid.sys [2004-07-26 6528]
S3 InputPen;USB Input Pen;c:\winnt\SYSTEM32\DRIVERS\InputPen2K.sys [2003-08-30 14365]
S3 MR97310_VGA_DUAL_CAMERA;Dual-Mode Digital Camera;c:\winnt\SYSTEM32\DRIVERS\MR97310v.sys [2008-05-03 116126]
S3 N100;Compaq Ethernet or Fast Ethernet NIC NT Driver;c:\winnt\SYSTEM32\DRIVERS\N100NT5.SYS [1999-10-27 87824]
S3 ncp2;ncp2;c:\winnt\SYSTEM32\DRIVERS\ncp2.sys [2004-02-10 40741]
S3 SavRoam;SAVRoam;"c:\program files\Symantec AntiVirus\SavRoam.exe" --> c:\program files\Symantec AntiVirus\SavRoam.exe [?]
S3 usb_rndisy;USB RNDIS Adapter;c:\winnt\SYSTEM32\DRIVERS\usb8023y.sys [2006-03-08 14336]
S3 wldel48;TrueMobile 1150 Series Driver;c:\winnt\SYSTEM32\DRIVERS\wldel48.sys [2004-11-24 78913]
S4 CpqDfwWebAgent;Compaq Remote Diagnostics Enabling Agent;c:\winnt\Cpqdiag\Cpqdfwag.exe --> c:\winnt\Cpqdiag\Cpqdfwag.exe [?]
S4 cpqdiag;Compaq Diagnostics Driver;\??\c:\winnt\System32\drivers\cpqdiag.sys --> c:\winnt\System32\drivers\cpqdiag.sys [?]
S4 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\winnt\SYSTEM32\DRIVERS\e4ldr.sys [2007-07-19 63555]
S4 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [2008-10-31 1365288]
S4 SSPORT;SSPORT;\??\c:\winnt\system32\Drivers\SSPORT.sys --> c:\winnt\system32\Drivers\SSPORT.sys [?]
S4 TimeServ;Time Service;c:\winnt\system32\timeserv.exe --> c:\winnt\system32\timeserv.exe [?]

--- Other Services/Drivers In Memory ---

*Deregistered* - PROCEXP100
.
Contents of the 'Scheduled Tasks' folder

2009-01-19 c:\winnt\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [29/08/07 13:57 ]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.ch/
uInternet Settings,ProxyOverride = 127.0.0.1;*.bec.ch;*.extrabec.*;*.rservices.com;*.sandoz*.ch;*.bec*.ch;10.100.20.1;10.100.60.*;10.60.50.*;<local>
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: %SystemRoot%\system32\msafd.dll
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
DPF: {FA30EC32-668B-4B60-B13C-4C84EB90C3C9} - hxxp://www.meetstream.com/activex/28081/activeid.cab
FF - ProfilePath - c:\documents and settings\pdf.W2KGE014\Application Data\Mozilla\Firefox\Profiles\388vkzg1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - PONS Französisch ⇆ Deutsch
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ch/
FF - plugin: c:\program files\Mozilla Firefox\plugins\npitunes.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPunyte.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npViewpoint.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Media Player\npViewpoint.dll
.
.
------- File Associations -------
.
VBSFile=
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-20 18:57:29
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Le Petit Robert Hyperappel = c:\program files\Le Robert\Le Petit Robert\prhyper.exe?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

scanning hidden files ...


c:\winnt\system32\Perflib_Perfdata_6f8.dat 16384 bytes

scan completed successfully
hidden files: 1

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(216)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\WcesWlgn.dll
.
Completion time: 20/01/2009 19:02:34
ComboFix-quarantined-files.txt 2009-01-20 18:01:00

Pre-Run: 16,040,980,992 bytes free
Post-Run: 16,042,334,208 bytes free

187 --- E O F --- 2009-01-14 11:31:12

   
Répondre à pdf89

3

jlpjlp, le 20 jan 2009 à 20:08:14

1. Il n'y a pas eu de prompt de "console de récupération" comme indiqué dans le tutoriel. Est-ce ok ou dois-je l'installer séparément, si oui pourquoi et comment?

NON C'est pas grave laisses tomber

2. En remettant en route Spybot teatimer, celui-ci a détecté une bonne dizaine de modifications à la base de registre (ajout, modif et suppressions) que j'ai TOUTES autorisées. Ais-je bien fait?
OUI

3. Que dois-je faire avec les "anomalies" mentionées dans mon post initial?

C'est encore le cas depuis combofix???


4. Je n'ai pas encore redémarré mon PC car tout semble fonctionner. Devrais-je le faire avant de poursuivre cette discussion?

oui essaye pour voir si ton ordi rame moins

_____________


puis

remets un rapport hijakchits

   
Répondre à jlpjlp

4

pdf89, le 21 jan 2009 à 10:28:21

Ai redémarré mon PC. Rame toujours autant. voir le second hijackthis ci-dessous.

NB:
1. Les "anomalies" détectées au 1er hijackthis sont toujours là.
2. Qu'est-ce qui t'a fait penser dans le 1er log que combofix règlerait le problème et comment l'aurait-il réglé?
3. Peut-être la liste des services affichés par process explorer te serait utile mais je n'arrive pas à la copier/coller sur ce post. Méthode?
4. Que faire maintenant?

A+

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:19:12, on 21/01/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\cisvc.exe
C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\WINNT\system\NWIZARD\WINSVC32.EXE
C:\WINNT\System32\HPZipm12.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Le Robert\Le Robert & Collins\rcwinHyper.exe
C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Program Files\Process explorer\procexp.exe
C:\WINNT\System32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;*.bec.ch;*.extrabec.*;*.rservices.com;*.sandoz*.ch;*.bec*.ch;10.100.20.1;10.100.60.*;10.60.50.*;<local>
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [rcwinHyper] C:\Program Files\Le Robert\Le Robert & Collins\rcwinHyper.exe
O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O4 - Global Startup: explorer.exe.lnk = C:\WINNT\explorer.exe
O4 - Global Startup: Process Explorer.lnk = C:\Program Files\Process explorer\procexp.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: i-Nav Help - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: i-Nav Help - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: i-Nav Options - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {14C1B87C-3342-445F-9B5E-365FF330A3AC} - https://h50203.www5.hp.com/HPISWeb/Customer/cabs/HPISDataManager.CAB
O16 - DPF: {1851174C-97BD-4217-A0CC-E908F60D5B7A} (Hewlett-Packard Online Support Services) - http://h50203.www5.hp.com/HPISWeb/Customer/cabs/HPISDataManager.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/...
O16 - DPF: {4CCA4E80-9259-11D9-AC6E-444553544200} (FixController Control) - http://h30155.www3.hp.com/ediags/dd/install/HPInstallMgr_v01_5.cab
O16 - DPF: {4D054067-DE3A-48F9-B19B-BCD229B9AE8D} - http://www.samsungdp.com/printerhelp/ActiveX/DrPrinter.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/fr/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {A9F8D9EC-3D0A-4A60-BD82-FBD64BAD370D} (DDRevision Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} - http://driveragent.com/files/driveragent.cab
O16 - DPF: {FA30EC32-668B-4B60-B13C-4C84EB90C3C9} - http://www.meetstream.com/activex/28081/activeid.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: Compaq Local Alerter (CPQALERT) - Compaq Computer Corporation - C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe
O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Unknown owner - C:\WINNT\Cpqdiag\Cpqdfwag.exe (file missing)
O23 - Service: cpqdmi - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
O23 - Service: Compaq DMI Web Agent (cpqWebDmi) - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Unknown owner - C:\Program Files\Symantec AntiVirus\DefWatch.exe (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe
O23 - Service: Workstation Agent Service (NetWizard Workstation Service) - Attachmate Corporation - C:\WINNT\system\NWIZARD\WINSVC32.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - Unknown owner - C:\Program Files\Symantec AntiVirus\SavRoam.exe (file missing)
O23 - Service: SBHookSvc - Unknown owner - C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\SBHookSvc.exe (file missing)
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O23 - Service: Symantec AntiVirus - Unknown owner - C:\Program Files\Symantec AntiVirus\Rtvscan.exe (file missing)
O23 - Service: Time Service (TimeServ) - Unknown owner - C:\WINNT\system32\timeserv.exe (file missing)
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe
O23 - Service: Win32Sl (WIN32SL) - Intel - C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
End of file - 12731 bytes

   
Répondre à pdf89

5

jlpjlp, le 21 jan 2009 à 11:17:54

Tu as des traces de norton antivirus vire les:

http://service1.symantec.com/...


_______________________


colle un scan en ligne avec: un des deux:

bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html


Panda en ligne :
http://www.pandasoftware.fr/Activescan/Activescan.html

   
Répondre à jlpjlp

6

pdf89, le 21 jan 2009 à 19:52:28

1. J'ai téléchargé et lancé symnrt.exe à 16h. 3h45 plus tard il tourne toujours... Que dois-je faire?

2. J'ai téléchargé et lancé le scan bitdefender (rapport seulement, pas de nettoyage automatique). Après 2h30 de processing, voici le rapport qui semble indiquer 2 virus. Que dois-je faire?

3. Quid des réponses aux NB 2 & 3 de mon précédent post? Désolé d'insister mais j'essaie toujours de comprendre ce que je fais à mon PC!


BitDefender Online Scanner

Rapport d'analyse généré à : Wed, Jan 21, 2009 - 19:14:18
Voie d'analyse : C:\;D:\;E:\;F:\;
Statistiques
Temps : 02:34:41
Fichiers : 501712
Directoires : 7827
Secteurs de boot : 0
Archives : 10290
Paquets programmes : 73531
Résultats
Virus identifiés : 2
Fichiers infectés : 2
Fichiers suspects : 0
Avertissements :0
Désinfectés : 0
Fichiers effacés : 0
Info sur les moteurs
Définition virus 2566736
Version des moteurs AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)
Analyse des plugins 17
Archive des plugins 45
Unpack des plugins 7
E-mail plugins 6
Système plugins 4
Paramètres d'analyse
Première action
Rapport
Seconde Action
Aucun
Heuristique Oui
Acceptez les avertissements Oui
Extensions analysées *;
Excludez les extensions
Analyse d'emails Oui
Analyse des Archives Oui
Analyser paquets programmes Oui
Analyse des fichiers Oui
Analyse de boot Oui
Fichier analysé :\Program Files\anerouge\setup\gendel32.ex_
Statut Infecté par: Virtool.22705
Fichier analysé C:\Program Files\AxBx\VirusKeeper 2005 Pro\Quarantaine\cmesys.exe
Statut Détecté avec: Application.VTesttool.A

BitDefender Online Scanner - Rapport virus en temps réel
Généré à: Wed, Jan 21, 2009 - 19:32:44
Info d'analyse
Fichiers scannés
510357
Infectés Fichiers
2
Virus Détectés
Application.VTesttool.A
1
Virtool.22705
1
Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

   
Répondre à pdf89

7

jlpjlp, le 21 jan 2009 à 20:01:39

2. Qu'est-ce qui t'a fait penser dans le 1er log que combofix règlerait le problème et comment l'aurait-il réglé?
en analysant les rapport il y a vais des choses pour le penser

3. Peut-être la liste des services affichés par process explorer te serait utile mais je n'arrive pas à la copier/coller sur ce post. Méthode?

une capture d'image

4. Que faire maintenant?
________________

vires ce fichier :

Fichier analysé :\Program Files\anerouge\setup\gendel32.ex_

____________

vire ce fichier qui est en quarantaine: en suivant le lien:

C:\Program Files\AxBx\VirusKeeper 2005 Pro\Quarantaine\cmesys.exe

______________

fais un scan rapide avec malwarbeyte après mise a jour et colle le rapport
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php­

   
Répondre à jlpjlp

8

pdf89, le 21 jan 2009 à 22:52:45

Merci de mettre à disposition tes compétences pour m'aider.

Voici la situation à cette heure.

1.a. symnrt.exe a finalement fini de tourner. (voir log ci-après) Il y a encore 5 occurrences de Symantec. QUE FAIRE?

1.b. il y a toujours la référence à un serveur obsolète ("R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;*.bec.ch;*.extrabec.*;*.rservices.com;*.sandoz*.ch;*.bec*.ch;10.100.20.1;10.100.60.*;10.60.50.*;<local>"). QUE FAIRE?

1.c. Il y a toujours des références à des "(file missing)" autres que Symantec. QUE FAIRE?

2. Voici la capture d'écran des services.exe qui tournent. NORMAL?

[URL=http://img1.imagilive.com/affiche/0109/servicesexe.gif.htm][IMG]http://img1.imagilive.com/0109/thumbs_servicesexe.gif/IMG/URL

3. Comment "virer" le fichier \Program Files\anerouge\setup\gendel32.ex_ ? En le supprimant simplement? Faut-il désinstaller l'application anerouge avant?après? (je n'en ai vraiment pas besoin)

4. Même question pour le 2ème virus. Puis-je supprimer le dossier "AxBx" ? (je n'ai aucune idée de ce que c'est!

5. Pas encore fait le scan que tu suggères car j'attends les réponses aux questions ci-dessous.

A+

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:31, on 21/01/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\cisvc.exe
C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\WINNT\system\NWIZARD\WINSVC32.EXE
C:\WINNT\System32\HPZipm12.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\stisvc.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\BRMFRSMG.EXE
C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Le Robert\Le Robert & Collins\rcwinHyper.exe
C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Process explorer\procexp.exe
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINNT\System32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;*.bec.ch;*.extrabec.*;*.rservices.com;*.sandoz*.ch;*.bec*.ch;10.100.20.1;10.100.60.*;10.60.50.*;<local>
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [rcwinHyper] C:\Program Files\Le Robert\Le Robert & Collins\rcwinHyper.exe
O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O4 - Global Startup: explorer.exe.lnk = C:\WINNT\explorer.exe
O4 - Global Startup: Process Explorer.lnk = C:\Program Files\Process explorer\procexp.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: i-Nav Help - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: i-Nav Help - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: i-Nav Options - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {14C1B87C-3342-445F-9B5E-365FF330A3AC} - https://h50203.www5.hp.com/HPISWeb/Customer/cabs/HPISDataManager.CAB
O16 - DPF: {1851174C-97BD-4217-A0CC-E908F60D5B7A} (Hewlett-Packard Online Support Services) - http://h50203.www5.hp.com/HPISWeb/Customer/cabs/HPISDataManager.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/...
O16 - DPF: {4CCA4E80-9259-11D9-AC6E-444553544200} (FixController Control) - http://h30155.www3.hp.com/ediags/dd/install/HPInstallMgr_v01_5.cab
O16 - DPF: {4D054067-DE3A-48F9-B19B-BCD229B9AE8D} - http://www.samsungdp.com/printerhelp/ActiveX/DrPrinter.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/fr/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {A9F8D9EC-3D0A-4A60-BD82-FBD64BAD370D} (DDRevision Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} - http://driveragent.com/files/driveragent.cab
O16 - DPF: {FA30EC32-668B-4B60-B13C-4C84EB90C3C9} - http://www.meetstream.com/activex/28081/activeid.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Compaq Local Alerter (CPQALERT) - Compaq Computer Corporation - C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe
O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Unknown owner - C:\WINNT\Cpqdiag\Cpqdfwag.exe (file missing)
O23 - Service: cpqdmi - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
O23 - Service: Compaq DMI Web Agent (cpqWebDmi) - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Unknown owner - C:\Program Files\Symantec AntiVirus\DefWatch.exe (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe
O23 - Service: Workstation Agent Service (NetWizard Workstation Service) - Attachmate Corporation - C:\WINNT\system\NWIZARD\WINSVC32.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - Unknown owner - C:\Program Files\Symantec AntiVirus\SavRoam.exe (file missing)
O23 - Service: SBHookSvc - Unknown owner - C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\SBHookSvc.exe (file missing)
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O23 - Service: Symantec AntiVirus - Unknown owner - C:\Program Files\Symantec AntiVirus\Rtvscan.exe (file missing)
O23 - Service: Time Service (TimeServ) - Unknown owner - C:\WINNT\system32\timeserv.exe (file missing)
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe
O23 - Service: Win32Sl (WIN32SL) - Intel - C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
End of file - 12595 bytes

   
Répondre à pdf89

9

jlpjlp, le 22 jan 2009 à 11:34:14

1.a. symnrt.exe a finalement fini de tourner. (voir log ci-après) Il y a encore 5 occurrences de Symantec. QUE FAIRE?


tu les vire et tu passe un coup de ccleaner et reg cleaner pour finir le boulot

http://www.malekal.com/regcleaner.html
http://www.malekal.com/tutorial_CCleaner.html
________________________

1.b. il y a toujours la référence à un serveur obsolète ("R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;*.bec.ch;*.extrabec.*;*.rservices.com;*.sandoz*.ch;*.bec*.ch;10.100.20.1;10.100.60.*;10.60.50.*;<local>"). QUE FAIRE?



RELANCE HIJACKTHIS, fais do a system scan only et fix cette ligne (fix cheked)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;*.bec.ch;*.extrabec.*;*.rservices.com;*.sandoz*.ch;*.bec*.ch;10.100.20.1;10.100.60.*;10.60.50.*;<local>


_______________________

1.c. Il y a toujours des références à des "(file missing)" autres que Symantec. QUE FAIRE?

tu peux fixer ces lignes dans hijackthis:

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Unknown owner - C:\Program Files\Symantec AntiVirus\DefWatch.exe (file missing)
O23 - Service: SAVRoam (SavRoam) - Unknown owner - C:\Program Files\Symantec AntiVirus\SavRoam.exe (file missing)
_______________________

2. Voici la capture d'écran des services.exe qui tournent. NORMAL?

[URL=http://img1.imagilive.com/affiche/0109/servicesexe.gif.htm][IMG]http://img1.imagilive.com/0109/thumbs_servicesexe.gif/IMG/URL

________________________

3. Comment "virer" le fichier \Program Files\anerouge\setup\gendel32.ex_ ? En le supprimant simplement? Faut-il désinstaller l'application anerouge avant?après? (je n'en ai vraiment pas besoin)

tu peux virer anerouge avant si tu n'utilise pas
______________________

4. Même question pour le 2ème virus. Puis-je supprimer le dossier "AxBx" ? (je n'ai aucune idée de ce que c'est!

AxBX c'est ceci http://www.axbx.com/

donc virus keeper pro que tu devais avoir si tu n'as plus tu peux virer le dossier entier ou seulement ce qui est dans le dossier quarantine

_____________________

5. Pas encore fait le scan que tu suggères car j'attends les réponses aux questions ci-dessous.

CE DESSUS non?


tu fais malwarebyte


a plus

   
Répondre à jlpjlp

10

pdf89, le 23 jan 2009 à 15:40:11

Bonjour,

Point de situation ce 23/01 à 15h30 :

Mon PC rame toujours mais de manière plus « ciblée » semble-t-il (cf. point 3 ci-dessous).

1. Hijackthis : j’ai supprimé la ligne du serveur obsolète, toutes les lignes contenant encore une référence à Symantec, ainsi que toutes les lignes se terminant par « (file missing) ».

Malgré cela, certaines de ces lignes sont revenues (après redémarrage Windows), à savoir :

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSn­iff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/­cabsa.cab
O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Unknown owner - C:\WINNT\Cpqdiag\Cpqdfwag.exe (file missing)
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Unknown owner - C:\Program Files\Symantec AntiVirus\DefWatch.exe (file missing)
O23 - Service: SAVRoam (SavRoam) - Unknown owner - C:\Program Files\Symantec AntiVirus\SavRoam.exe (file missing)
O23 - Service: SBHookSvc - Unknown owner - C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\SBHookSvc.exe (file missing)
O23 - Service: Time Service (TimeServ) - Unknown owner - C:\WINNT\system32\timeserv.exe (file missing)

QUE DEVRAIS-JE FAIRE?

D’autre part, il y a quelques lignes (dont des “(file missing)” supprimées qui elles, ne sont pas revenues) qui concernent l’application Verisign i-Nav dont je ne connais pas l’utilité.

DEVRAIS-JE LA DESINSTALLER?

2. Problème Registre : depuis longtemps, il y a une clé que CCleaner et Regcleaner détectent comme défectueuse mais que ni l’un ni l’autre n’arrive à supprimer :
Problem : ActiveX/COM Issue
Data : InProcServer32\C:\WINNT\system32\Macromed\Flash\Flash9b.oc­x
Registry Key : HKCR\CLSID\{1171A62F-05D2-11D1-83FC-00A0C9089C5A}

DEVRAIS-JE LA SUPPRIMER, ET SI OUI, COMMENT ?

3. Services.exe : peux-tu jeter un coup d’œil à la liste des services que j’ai mise en capture d’écran sur le précédent post et me dire si tout te semble « normal ».

En analysant de plus près le comportement de ma machine, elle rame (= services.exe prenant 100% du CPU) au moment de l’ouverture des connexions réseaux internet (soit local, soit wifi) ou, dans explorer, lors de la 1ère expansion des disques locaux après démarrage.

4. Virus : j’ai viré les 2 détectés par bitdefender comme tu me l’a suggéré puis j’ai tourné malwarebytes dont voici le log.
Surprise !, un virus dans hijackthis que bitdefender n’avait pas vu ?! QUE DOIS-JE FAIRE ?


Merci d’avance pour ton aide.


Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1682
Windows 5.0.2195 Service Pack 4

23/01/2009 14:35:26
mbam-log-2009-01-23 (14-35-09).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 143934
Temps écoulé: 1 hour(s), 3 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

   
Répondre à pdf89

11

jlpjlp, le 24 jan 2009 à 09:35:50

Mon PC rame toujours mais de manière plus « ciblée » semble-t-il (cf. point 3 ci-dessous).

1. Hijackthis : j’ai supprimé la ligne du serveur obsolète, toutes les lignes contenant encore une référence à Symantec, ainsi que toutes les lignes se terminant par « (file missing) ».

Malgré cela, certaines de ces lignes sont revenues (après redémarrage Windows), à savoir :

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSn­­iff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/­­cabsa.cab
O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Unknown owner - C:\WINNT\Cpqdiag\Cpqdfwag.exe (file missing)
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Unknown owner - C:\Program Files\Symantec AntiVirus\DefWatch.exe (file missing)
O23 - Service: SAVRoam (SavRoam) - Unknown owner - C:\Program Files\Symantec AntiVirus\SavRoam.exe (file missing)
O23 - Service: SBHookSvc - Unknown owner - C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\SBHookSvc.exe (file missing)
O23 - Service: Time Service (TimeServ) - Unknown owner - C:\WINNT\system32\timeserv.exe (file missing)

QUE DEVRAIS-JE FAIRE?

pour les lignes 23 déactive les services puis fix les lignes:
http://www.pcastuces.com/pratique/windows/services/page1.htm­

_____________________

D’autre part, il y a quelques lignes (dont des “(file missing)” supprimées qui elles, ne sont pas revenues) qui concernent l’application Verisign i-Nav dont je ne connais pas l’utilité.


c'est ceci:

http://www.google.fr/...
_________________________

2. Problème Registre : depuis longtemps, il y a une clé que CCleaner et Regcleaner détectent comme défectueuse mais que ni l’un ni l’autre n’arrive à supprimer :
Problem : ActiveX/COM Issue
Data : InProcServer32\C:\WINNT\system32\Macromed\Flash\Flash9b.oc­x
Registry Key : HKCR\CLSID\{1171A62F-05D2-11D1-83FC-00A0C9089C5A}

DEVRAIS-JE LA SUPPRIMER, ET SI OUI, COMMENT ?

non tu peux laisser

___________________

3. Services.exe : peux-tu jeter un coup d’œil à la liste des services que j’ai mise en capture d’écran sur le précédent post et me dire si tout te semble « normal ».

En analysant de plus près le comportement de ma machine, elle rame (= services.exe prenant 100% du CPU) au moment de l’ouverture des connexions réseaux internet (soit local, soit wifi) ou, dans explorer, lors de la 1ère expansion des disques locaux après démarrage.

rien de spécial dans les services
__________________

4. Virus : j’ai viré les 2 détectés par bitdefender comme tu me l’a suggéré puis j’ai tourné malwarebytes dont voici le log.
Surprise !, un virus dans hijackthis que bitdefender n’avait pas vu ?! QUE DOIS-JE FAIRE ?



il faut virer ce qui a été trouvé!
______________











si encore des soucis


colle le rapport d'un scan en ligne
avec un des suivants:


Kaspersky en ligne
http://webscanner.kaspersky.fr/

secuser en ligne :
http://www.secuser.com/outils/antivirus.htm
http://www.secuser.com/outils/antivirus_installation.htm

scan en ligne firefox

http://fr.trendmicro-europe.com/consumer/housecall/housecall_launch.php

   
Répondre à jlpjlp

12

pdf89, le 25 jan 2009 à 11:08:41

Merci pour tous tes conseils. Il semble que nous progressons dans la résolution de mon problème mais pas encore à 100%.

1. Dans mon dernier post, je te disais :

« En analysant de plus près le comportement de ma machine, elle rame (= services.exe prenant 100% du CPU) au moment de l’ouverture des connexions réseaux internet (soit local, soit wifi) ou, dans explorer, lors de la 1ère expansion des disques locaux après démarrage. »

Maintenant, elle ne rame QUE SI J’ACTIVE LA CONNEXION AU RESEAU WIFI (y-compris 1ère expansion de la liste des fichiers dans explorer).

Si je démarre mon ordi branché à mon modem avec un cable ethernet (Connexion réseau local), elle ne rame plus (dans explorer non plus).

Q ? Il y aurait donc un problème avec la connexion wifi, mais lequel ? Sache que la plupart du temps, je suis connecté en wifi, raison pour laquelle la résolution de cette étape est très importante pour moi.


2. J’ai tout nettoyé comme tu l’as suggéré dans ton dernier post, y compris désinstallation de Verisign i-nav.

Si je comprends bien, le « virus » trouvé par Kaspersky (cf rapport scan oon-line ci-dessous) n’en est pas un !

Q ? Faut-il quand même nettoyer les « trouvailles » de Kaspersky, et si oui, comment ?


Sunday, January 25, 2009 7:04:46 AM
Système d'exploitation : Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 24/01/2009
Enregistrements dans la base antivirus Kaspersky : 1700407

Paramètres d'analyse
Analyser avec la base antivirus suivante étendue
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
C:\
D:\
E:\
F:\

Statistiques de l'analyse
Total d'objets analysés 102865
Nombre de virus trouvés 1
Nombre d'objets infectés 1 / 0
Nombre d'objets suspects 0
Durée de l'analyse 03:11:52

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\Default User\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Default User\Local Settings\History\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\pdf.W2KGE014\Application Data\$_hpcst$.hpc L'objet est verrouillé ignoré

C:\Documents and Settings\pdf.W2KGE014\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\pdf.W2KGE014\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\pdf.W2KGE014\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\pdf.W2KGE014\Local Settings\History\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\pdf.W2KGE014\Local Settings\History\History.IE5\MSHist012009012520090126\index.­dat L'objet est verrouillé ignoré

C:\Documents and Settings\pdf.W2KGE014\Local Settings\Temp\WCESLog.log L'objet est verrouillé ignoré

C:\Documents and Settings\pdf.W2KGE014\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\pdf.W2KGE014\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\pdf.W2KGE014\NTUSER.DAT.LOG L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log L'objet est verrouillé ignoré

C:\Program Files\COMPAQ\Compaq Management Agents\Dmi\Win32\mifdb\errors.log L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\debug.log L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\debug.log.idx L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\error.log L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\error.log.idx L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\hips.log L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\hips.log.idx L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\ids.log L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\ids.log.idx L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\network.log L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\network.log.idx L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\SbFw.etl L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\SbFwIm.etl L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\system.log L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\system.log.idx L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\warning.log L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\warning.log.idx L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\web.log L'objet est verrouillé ignoré

C:\Program Files\Sunbelt Software\Personal Firewall\Logs\web.log.idx L'objet est verrouillé ignoré

C:\WINNT\Debug\ipsecpa.log L'objet est verrouillé ignoré

C:\WINNT\Debug\Netlogon.log L'objet est verrouillé ignoré

C:\WINNT\Debug\oakley.log L'objet est verrouillé ignoré

C:\WINNT\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINNT\SA277719F.tmp L'objet est verrouillé ignoré

C:\WINNT\SECURITY\edb.log L'objet est verrouillé ignoré

C:\WINNT\SECURITY\tmp.edb L'objet est verrouillé ignoré

C:\WINNT\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINNT\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\70tovmto.ini Infecté : not-a-virus:AdWare.Win32.Sahat.ao ignoré

C:\WINNT\SYSTEM32\CONFIG\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\CONFIG\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\CONFIG\DEFAULT L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\CONFIG\DEFAULT.LOG L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\CONFIG\SAM L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\CONFIG\SAM.LOG L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\CONFIG\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\CONFIG\SECURITY L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\CONFIG\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\CONFIG\SOFTWARE L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\CONFIG\SOFTWARE.LOG L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\CONFIG\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\CONFIG\SYSTEM L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\CONFIG\SYSTEM.ALT L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\DRIVERS\sptd.sys L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\Perflib_Perfdata_288.dat L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\Perflib_Perfdata_498.dat L'objet est verrouillé ignoré

C:\WINNT\SYSTEM32\Perflib_Perfdata_6b0.dat L'objet est verrouillé ignoré

C:\WINNT\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

   
Répondre à pdf89

13

pdf89, le 28 jan 2009 à 11:16:52

A: jlpjlp

Sii tu consultes encore ce post, peux-tu répondre à mon dernier message STP car mon problème ne s'est pas résolu tout seul! Si ce n'est plus dans ton domaine de compétences, y a-t-il un autre forum sur lequel je devrais poster mon problème?

Merci pour ton aide.

   
Répondre à pdf89

14

jlpjlp, le 29 jan 2009 à 19:13:45

Télécharge OTMoveIt

http://oldtimer.geekstogo.com/OTMoveIt3.exe

(de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.




:files
C:\WINNT\SYSTEM32\70tovmto.ini


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

_________________

encore des s0ucis?

   
Répondre à jlpjlp

15

pdf89, le 30 jan 2009 à 09:56:38

Welcome back!

Voici le log:

========== FILES ==========
C:\WINNT\SYSTEM32\70tovmto.ini moved successfully.

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01302009_091643

Encore des soucis?

OUI! C'est comme avant, en pire!

J'explique.

Après la manip que tu m'as indiquée, j'ai redémarré le PC pour voir comment il se comporte avant de te répondre.

NB: Dans les programmes qui se lancent automatiquement au démarrage, j'ai mis depuis toujours explorer.exe (car je l'utilise tout le temps pour gérer mes dossiers et fichiers) ainsi que procexp.exe pour monitorer ce qui se passe au niveau processus et CPU.

1. AVANT la manip: comme indiqué dans un précédent post, le PC démarre normalement, ouvre les différentes applications, y-compris explorer (avec l'arborescence de base non étendue, c.-à-d. My Computer - My Network Place - Recycle bin - My Documents + sous-bossiers) mais rame (services.exe à 100% pendant 1 à 2 minutes) au moment de l'ouverture de la connexion wifi. Il rame à nouveau dès que j'étend pour la première fois l'arborescence C:\ de My computer. ensuite, plus de "ramage", sauf si je me déconnecte et reconnecte au réseau ou si je fais un refresh du C:.

2. APRES la manip: il continue à faire tout ce qui est mentionné ci-dessus, mais en PLUS, il rame dès le 1er lancement d'explorer (celui inclus dans le démarrage).

NB: avant de bouger C:\WINNT\SYSTEM32\70tovmto.ini , j'ai fait une copie du texte contenu dans ce .ini file. Dois-je restaurer? Comment?

SINON, QUE DOIS-JE FAIRE?

   
Répondre à pdf89

16

jlpjlp, le 30 jan 2009 à 11:56:21

Oui alors remets le fichier 70tovmto.ini dans le dossier sytèm32 en suivant le lien . Si tu n'as pas le fichier il à été sauvegardé dans le dossier MOUVED FILE en allànt dans post de travail puis c puis otmovit

   
Répondre à jlpjlp

17

pdf89, le 30 jan 2009 à 15:55:30

C'est fait!

Autre chose à tenter?

   
Répondre à pdf89

18

jlpjlp, le 31 jan 2009 à 19:01:28

Analyse le fichier concerné sur le site virustotal et colle le rapport

   
Répondre à jlpjlp

19

pdf89, le 31 jan 2009 à 19:36:57

Voici le rapport:

Fichier 70tovmto.ini reçu le 2009.01.31 19:31:03 (CET)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.01.31 Riskware.AdWare.Win32.Sahat.ao­!IK
AhnLab-V3 5.0.0.2 2009.01.31 -
AntiVir 7.9.0.60 2009.01.30 -
Authentium 5.1.0.4 2009.01.31 -
Avast 4.8.1281.0 2009.01.30 VBS:Malware-gen
AVG 8.0.0.229 2009.01.30 -
BitDefender 7.2 2009.01.31 -
CAT-QuickHeal 10.00 2009.01.31 -
ClamAV 0.94.1 2009.01.31 Adware.Sahat-3
Comodo 955 2009.01.31 -
DrWeb 4.44.0.09170 2009.01.31 -
eSafe 7.0.17.0 2009.01.29 -
eTrust-Vet 31.6.6335 2009.01.29 -
F-Prot 4.4.4.56 2009.01.31 -
F-Secure 8.0.14470.0 2009.01.31 AdWare.Win32.Sahat.ao
Fortinet 3.117.0.0 2009.01.31 -
GData 19 2009.01.31 VBS:Malware-gen
Ikarus T3.1.1.45.0 2009.01.31 not-a-virus:AdWare.Win32.Sahat­.ao
K7AntiVirus 7.10.612 2009.01.31 -
Kaspersky 7.0.0.125 2009.01.31 not-a-virus:AdWare.Win32.Saha­t.ao
McAfee 5512 2009.01.31 potentially unwanted program Adware-SAHAgent
McAfee+Artemis 5512 2009.01.31 potentially unwanted program Adware-SAHAgent
Microsoft 1.4306 2009.01.31 -
NOD32 3815 2009.01.31 -
Norman 6.00.02 2009.01.31 -
nProtect 2009.1.8.0 2009.01.30 -
Panda 9.5.1.2 2009.01.31 -
PCTools 4.4.2.0 2009.01.31 Spyware.SahAgent
Prevx1 V2 2009.01.31 -
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.30 -
Sophos 4.38.0 2009.01.31 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.31 -
TheHacker 6.3.1.5.241 2009.01.31 -
TrendMicro 8.700.0.1004 2009.01.30 -
VBA32 3.12.8.12 2009.01.30 -
ViRobot 2009.1.31.1583 2009.01.31 -
VirusBuster 4.5.11.0 2009.01.31 -
Information additionnelle
File size: 35 bytes
MD5...: b2e888fd2e5ef2237dfca7fdb02da630
SHA1..: adb3e2634484369e3df1a8b93b956a83fd4eefeb
SHA256: 74a9d1434b161179cc8f40c7c385060ec5ef68eb3e0ff8fd52237558b781­d5cd
SHA512: ae22383f72b3e88c5188c8c825bc56dd4608d5e5419487a7c6069d87d733­b384<br>1d3ffb11fbddaddf13fe7f94201167c517305d59d7449a45d778447e9b0cbf27<br>
ssdeep: 3:Dekg96K0rv:D7g9hmv<br>
PEiD..: -
TrID..: File type identification<br>Generic INI configuration (100.0%)
PEInfo: -

   
Répondre à pdf89

20

jlpjlp, le 1 fév 2009 à 13:38:10

Télécharge à squared free et colle un rapport avec

   
Répondre à jlpjlp

21

pdf89, le 1 fév 2009 à 23:27:50

A-squared free a mis en quarantaine l'élément suivant quI, bizarrement, n'apparaît pas dans le log:
Source: C:\Program Files\Panda Security\NanoScan\Engine\psnflg.dll
Infection: Trojan.Agent!IK
Niveau de risque: Haut
Date: 01/02/2009 21:28:19

DOIS-JE LE SUPRIMER? COMMENT?

NB: Je n'arrive pas à poster le rapport! CCM tourne pendant 5' puis me shoote. Je vais essayer par morceaux.

   
Répondre à pdf89

22

pdf89, le 1 fév 2009 à 23:47:25

Part I
Version - a-squared Free 4.0
Dernière mise à jour : 01/02/2009 20:25:36

Paramètres des balayages :

Éléments : Mémoire, Traces, Cookies, C:\
Balaye dans les archives : Marche
Analyse heuristique : Marche
Balaye dans les ADS : Marche

Début du balayage : 01/02/2009 20:26:40

   
Répondre à pdf89

23

pdf89, le 1 fév 2009 à 23:48:50

Part II

Value: HKEY_USERS\.DEFAULT\Software\Viewpoint\Content Debugger --> Viewpoint Manager
Objets détectés : Trace.Registry.Viewpoint Media Toolbar!A2

Value: HKEY_USERS\S-1-5-21-1593909490-974942910-416036997-1000\Software\Viewpoint\Content Debugger --> Viewpoint Manager
Objets détectés : Trace.Registry.Viewpoint Media Toolbar!A2

Value: HKEY_USERS\S-1-5-21-1593909490-974942910-416036997-1000\Software\Viewpoint\Content Debugger --> Viewpoint Manager Installer
Objets détectés : Trace.Registry.Viewpoint Media Toolbar!A2

c:\winnt\system32\70tovmto.ini
Objets détectés : Trace.File.ISTbar!A2

c:\winnt\system32\bln02nqv.ini
Objets détectés : Trace.File.ISTbar!A2

c:\winnt\system32\gah95on6.ini
Objets détectés : Trace.File.ISTbar!A2

Key: HKEY_LOCAL_MACHINE\software\dameware development\dwrcs
Objets détectés : Trace.Registry.DameWareMiniRemoteControl!A2

Key: HKEY_USERS\S-1-5-21-1593909490-974942910-416036997-1000\software\kazaa
Objets détectés : Trace.Registry.KaZaA!A2

   
Répondre à pdf89

24

pdf89, le 1 fév 2009 à 23:55:16

Part III

C:\Documents and Settings\pdf.W2KGE014\Cookies\pdf@247realmedia[1].txt
Objets détectés : Trace.TrackingCookie.247realmedia!A2

C:\Documents and Settings\pdf.W2KGE014\Cookies\pdf@smartadserver[1].txt
Objets détectés : Trace.TrackingCookie.smartadserver!A2

etc...

SE POURRAIT-IL QUE LE POST AIT ATTEINT SA TAILLE MAXIMALE ? JE NE SEMBLE PAS POUVOIR ENVOYER PLUS D'INFO! QUE FAIRE?

   
Répondre à pdf89

25

pdf89, le 2 fév 2009 à 10:18:09

Suite et fin du rapport qui semble pouvoir passer ce matin

C:\Documents and Settings\pdf.W2KGE014\Cookies\pdf@specificclick[2].txt
Objets détectés : Trace.TrackingCookie.specificclick!A2

C:\Documents and Settings\pdf.W2KGE014\Application Data\Mozilla\Firefox\Profiles\388vkzg1.default\cookies.sqlit­e:1232997294733497
Objets détectés : Trace.TrackingCookie.preferences!A2

C:\Documents and Settings\pdf.W2KGE014\Application Data\Mozilla\Firefox\Profiles\388vkzg1.default\cookies.sqlit­e:1233246801445606
Objets détectés : Trace.TrackingCookie.pop!A2

C:\Program Files\OTMoveIt\MovedFiles\01302009_091643\WINNT\SYSTEM32\70t­ovmto.ini
Objets détectés : Riskware.AdWare.Win32.Sahat.ao!IK

C:\WINNT\SYSTEM32\70tovmto.ini
Objets détectés : Riskware.AdWare.Win32.Sahat.ao!IK

C:\WINNT\SYSTEM32\gah95on6.ini
Objets détectés : Riskware.AdWare.Win32.Sahat.ao!IK

Analysé

Fichiers : 223204
Traces : 437781
Cookies : 349
Processus : 38

Objets trouvés

Fichiers : 3
Traces : 8
Cookies : 5
Processus : 0
Clés de Registre : 0

Fin du balayage : 01/02/2009 22:03:52
Temps du balayage : 1:37:12

   
Répondre à pdf89

26

jlpjlp, le 2 fév 2009 à 10:56:28

Copie dans un coin ces deux fichiers puis vire les si souci tu les remettra :


C:\WINNT\SYSTEM32\70tovmto.ini
Objets détectés : Riskware.AdWare.Win32.Sahat.ao!IK

C:\WINNT\SYSTEM32\gah95on6.ini
Objets détectés : Riskware.AdWare.Win32.Sahat.ao!IK



ensuite dis comment se comporte ton pc

   
Répondre à jlpjlp

27

gen-hackman, le 2 fév 2009 à 11:16:41

Salut on dirait du windows 2000 On vous aide ailleurs ? signalez-le !!!!!
Mettre en resolu pour les autres  Merci
          ®© ----g3и-н@¢км@и™---- ©®

   
Répondre à gen-hackman

28

jlpjlp, le 2 fév 2009 à 11:22:30

Oui :)

   
Répondre à jlpjlp

29

gen-hackman, le 2 fév 2009 à 12:08:58

Sinon je pense que le mieux est de les enfermer dans un "RAR" On vous aide ailleurs ? signalez-le !!!!!
Mettre en resolu pour les autres  Merci
          ®© ----g3и-н@¢км@и™---- ©®

   
Répondre à gen-hackman

30

jlpjlp, le 2 fév 2009 à 12:16:20

Je me mefie car il a déjà viré le premier ce qui a rendu instable son systeme !

   
Répondre à jlpjlp

31

gen-hackman, le 2 fév 2009 à 12:51:51

Ok On vous aide ailleurs ? signalez-le !!!!!
Mettre en resolu pour les autres  Merci
          ®© ----g3и-н@¢км@и™---- ©®

   
Répondre à gen-hackman
52 réponses 12 Suivant
Posez votre question Répondre
Ils ont besoin de votre aide