Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Pare-feu kerio provoque arrêt Runetime

Dernière réponse le 16 jan 2008 à 08:53:46 petit papa Noêl, le 15 déc 2006 à 23:23:14

Signaler ce message aux modérateurs

Bonjour à tous,

J'apprécierais que vous preniez quelques minutes de votre temps pour m'aider svp !

Depuis 2 semaines je me bat contre des méchants qui m'attaquent...
virus puis "sasser" etc...
J'ai scrupuleusement suivi les judicieux conseils dispensés sur ce site.

Je touche au but mais....après avoir installé le pare-feu Kerio, un nouveau problème s'est manifesté.(Comme si j'avais besoin de cela!).
À toutes les 5 minutes une fenêtre intitulée "Microsoft Visual C++ runtime library" apparait indiquant que des applications du pare-feu (assist.exe et sms5.exe) a provoqué la fermeture de Runtime...?

Pourriez-vous m'instruire en me disant à quoi sert Runtime et surtout comment règler ce problème ?

Merci
Un ami du Canada

Pierre alias petit papa Noël

Configuration: Windows XP
Internet Explorer 6.0

Meilleures réponses pour « Pare feu kerio provoque arrêt Runetime » dans :

Pare-feu antivirus compatibles Vista Voir

Télécharger Kerio Voir Kerio est un pare-feu très pratique et convivial, aux nombreuses fonctions, élément efficace dans la protection de votre ordinateur (bizarrement incompatible x64), permettant notamment : Le contrôle des paquets entrants et sortants par programme...

Acces pare feu windows (Résolu) Voir

[Sécurité] Le pare-feu de Windows XP VoirLe firewall (parefeu) de Windows XP 1- Le pare-feu Windows 2- Conclusion 3- Utilisez un véritable pare-feu 4- Compléments Windows XP possède un module servant de pare-feu. Vous pensez donc avoir une protection préinstallée ? Et bien...

Configuration du pare-feu avancé de sécurité de Windows 7 VoirDans Windows 7 comme dans Vista il y a un pare-feu caché . Ce pare-feu n'est pas difficile a trouver . Il y a Quatre possibilités pour le découvrir . 1° Via Démarrer-< Exécuter , taper la console wf.msc 2° Via Démarrer et Rechercher...

[Windows XP] Activer/Désactiver le pare-feu en ligne de commande VoirIl est possible d'activer ou désactiver le pare-feu (firewall) de Windows XP SP2 grâce à une simple ligne de commande : Pour désactiver le pare-feu de Windows XP :netsh firewall set opmode disable Pour activer le pare-feu de Windows XP :netsh...

Pare-feu Voir

Pare-feu pour vista Voir

Quel est le meilleur pare feu gratuit??? (Résolu) Voir

Télécharger AVG 8.0 Anti-Virus + Pare Feu Voir

Firewall (pare-feu) VoirFirewall (pare-feu) Chaque ordinateur connecté à internet (et d'une manière plus générale à n'importe quel réseau informatique) est susceptible d'être victime d'une attaque d'un pirate informatique. La méthodologie généralement employée par le...

Salut Fait ceci : ¤ Télécharge Killbox: Lire la suite

Posez votre question Répondre

boulepate62, le 16 déc 2006 à 04:42:24

Salut

t'es encore infecté :-/

Télécharge HijackThis:
--->hijackthis
Installe le dans son propre dossier:
-clique droit sur le bureau, choisis "nouveau dossier" puis installe le dedans.
Lance le, clique sur "do a system scan and save logfile"
Puis copie et colle le rapport ici stp
c'est en forgeant que l'on devient forgeron !
** site perso pour forger, dans mon profil **

Répondre à boulepate62

petit papa Noêl, le 16 déc 2006 à 15:28:13

Merci de ta générosité ,
voici le rapport : (enfin je crois...)

Logfile of HijackThis v1.99.1
Scan saved at 09:21:19, on 2006-12-16
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\SMS5.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Pierre\Bureau\Nouveau dossier\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.radio-canada.ca/index.shtml
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AdobeReaderPro] SMS5.exe
O4 - HKLM\..\RunServices: [AdobeReaderPro] SMS5.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeReaderPro] SMS5.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://chipmunk.uvm.edu/webcam/AxisCamControl.ocx
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

p.s. j'ai AVG (anti-virus qui supprime des virus environ 1 par jour),stinger (qui trouve et supprime des menaces à interval rég.), Fxsasser(qui ne trouve jamais rien)

Merci encore

Pierre

Répondre à petit papa Noêl

boulepate62, le 16 déc 2006 à 18:07:28

Salut

Fait ceci :

¤ Télécharge Killbox:
http://www.killbox.net/downloads/KillBox.exe

Double clique sur killbox.exe (Pocket Killbox)

- coche: delete on reboot
dans la barre vide entre ceci: (exactement)

C:\WINDOWS\System32\SMS5.exe

- clique sur le rond rouge avec la croix blanche
- une fenêtre va apparaître pour confirmation cliques sur "YES"
- une seconde fenêtre te demande si tu veux redémarrer cliques sur "YES"

Laisse le pc redémarrer s'il ne redémarre pas de lui même alors fait le.

¤ Fait ce nettoyage: (à faire réguliérement)

¤Telecharge et installe CCleaner (n'installe pas la barre d'outil Yahoo)
---> Ccleaner

dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes

¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"

Si tu as besoin d'aide pour Ccleaner, regarde ce tutoriel:
http://www.tutopat.com/viewtopic.php?t=305

¤ Télécharge, installe puis met à jour ce logiciel(Ewido), une fois que c'est fait, fais un scan complet de ton système, supprime (delete) tout ce qu'il te trouve puis colle le rapport ici stp
Ewido: (en Anglais reste gratuit après la période d'essai)
--->Ewido
Si tu as besoin d'aide avec Ewido(devenu AVG-antispyware) regarde ce tutoriel:
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html
c'est en forgeant que l'on devient forgeron !
** site perso pour forger, dans mon profil **

Répondre à boulepate62

petit papa Noêl, le 16 déc 2006 à 18:23:37

Est-ce que ce "SMS5.exe" est un fichier légitime de windows ?

Merci

Pierre

p.s. Par curiosité, voudrais tu me dire où tu es ?

Moi je suis de Montréal , Canada

Répondre à petit papa Noêl

boulepate62, le 16 déc 2006 à 19:07:23

Bah non ! si non je te le ferais psa supprimer lol

Je suis dans l'arc antillais ;-)
c'est en forgeant que l'on devient forgeron !
** site perso pour forger, dans mon profil **

Répondre à boulepate62

petit papa Noêl, le 18 déc 2006 à 02:35:34

Salutations !

J'ai finalement réussi à trouver le temps de mener le combat.

J'ai suivi les étapes que tu m'as indiqué.

Je n'ai pas été capable de copier le rapport du scan de AVG.Il me proposait d'exporter le résultat mais sous forme ".prn" ou autre extensions bizz.

J'ai (à nouveau) détecté et supprimé le virus suivant
Trojan IRC/BackDoor.SdBot2.KWD

Il était dans le fichier suivant

Malgré tout ce que je fais, il revient contamment.

Une réinfection ?
Où il est dormant qqpart sur mon pc ?

Merci à nouveau de ton aide.

Pierre

C:/WINDOWS/system32/.exe

Répondre à petit papa Noêl

boulepate62, le 18 déc 2006 à 02:52:03

Salut

Regarde dans le pare-feu Kerio et supprime toutes les lignes qui te sont étrangéres dans l'onglet "sécurité du réseau"

Télécharge ComboFix
http://download.bleepingcomputer.com/sUBs/combofix.exe

Ferme ton navigateur web avant d'exécuter ce programme
Double-clique dessus et appuye sur "Y" pour continuer

Attends quelques minutes..un rapport va s'ouvrir enregistre son contenu, puis copie et colle le ici stp
c'est en forgeant que l'on devient forgeron !
** site perso pour forger, dans mon profil **

Répondre à boulepate62

petit papa Noêl, le 18 déc 2006 à 03:24:24

Voila c'est fait.

Pour ce qui est des lignes à supprimer avec le pare-feu ... j'avoue être un peu perdu.
Sous l'onglet "sécurité du réseau" il y a 4 autres "onglets"
Parles-tu de "application", "zone sécurisée" ou d'un des 2 autres ?

Dans zone sécurisé, j'ai 2 connexion dont une identifiée Loopback 127.0.0.1 (inscrit N/A sous "matériel" et la seconde identifiée "connexion au réseau local"

Est-ce normal ? Laquelle supprimer ?

voici le log

ComboFix 06.11.27 - Running from: "C:\Documents and Settings\Pierre\Bureau"

((((((((((((((((((((((((((((((( Files Created from 2006-11-17 to 2006-12-17 ))))))))))))))))))))))))))))))))))

2006-12-17 18:55 <REP> dr-h----- C:\Documents and Settings\Pierre\Recent
2006-12-17 18:24 <REP> d-------- C:\!KillBox
2006-12-17 17:59 <REP> d-------- C:\Program Files\CCleaner
2006-12-16 11:22 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2006-12-15 16:27 <REP> d-------- C:\Program Files\Sunbelt Software
2006-12-10 16:51 0 --a------ C:\WINDOWS\system32\winds.exe
2006-12-07 21:30 <REP> d-------- C:\WINDOWS\Prefetch
2006-12-07 21:17 173,056 --a------ C:\WINDOWS\system32\LXAESUI.DLL
2006-12-07 21:09 96,256 --a------ C:\WINDOWS\system32\wuaueng.dll
2006-12-07 21:09 114,688 --a------ C:\WINDOWS\system32\wuauclt.exe
2006-12-07 21:07 23,070 --a------ C:\WINDOWS\system32\drivers\RTL8139.sys
2006-12-07 21:01 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2006-12-07 21:01 13,312 --a------ C:\WINDOWS\system32\irclass.dll

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-12-17 15:34 -------- d-------- C:\Program Files\Spybot - Search & Destroy
2006-12-16 11:22 -------- d-------- C:\Program Files\Spyware Doctor
2006-12-09 08:14 -------- d-------- C:\Program Files\Windows Media Player
2006-12-08 15:56 -------- d-------- C:\Program Files\Java
2006-12-07 21:34 -------- d--h----- C:\Program Files\WindowsUpdate
2006-12-07 21:09 -------- d-------- C:\Program Files\Messenger
2006-11-11 11:52 -------- d-------- C:\Program Files\EditHexa
2006-11-05 20:46 -------- d-------- C:\Program Files\ToniArts
2006-11-01 18:59 278528 --a------ C:\WINDOWS\system32\livesnth.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\System32\\ctfmon.exe"
"AdobeReaderPro"="SMS5.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"AdaptecDirectCD"="C:\\Program Files\\Adaptec\\Easy CD Creator 5\\DirectCD\\DirectCD.exe"
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"IMJPMIG8.1"="C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\System32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"AdobeReaderPro"="SMS5.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"AdobeReaderPro"="SMS5.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"=""
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
"AdobeReaderPro"="SMS5.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"=""
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
"AdobeReaderPro"="SMS5.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll"

Completion time: 06-12-17 21:16:40.21
C:\ComboFix.txt ... 06-12-17 21:16

merci encore

Pierre
Merci

Répondre à petit papa Noêl

boulepate62, le 18 déc 2006 à 04:36:53

¤ Clic sur démarrer, rechercher, cherche et supprime ces fichiers si présents:

- winds.exe
- SMS5.exe

** Si un fichier persiste lors de la suppression fait ceci:
-Redémarre ton PC. Dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaître choisit "mode sans echec" attends un peu.. puis va supprimer les fichiers/dossiers, vide ta corbeille et redémarre ton PC normalement

Pour Kerio, dans "sécurité du réseau" puis l'onglet "applications" puis c'est là que je te demande de tout supprimer ;-)

Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clique dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp

http://www.bitdefender.com/scan8/ie.html

A++
c'est en forgeant que l'on devient forgeron !
** site perso pour forger, dans mon profil **

Répondre à boulepate62

petit papa Noël, le 18 déc 2006 à 19:06:46

Bon,
les deux fichiers sont supprimés.

J'ai commencé le scan avec Bitedefender mais après un début "rapide" il semble avoir bloqué sur qqchose et progressait très lentement.
Le temps restant est passé progressivement jusqu'à 2h30 et ça continuait de monter...?
J'ai donc stopper en attendant de t'en parler.
Pour ce quie est du pare-feu, j'ai une dizaine d'application identifiée sous cet onglet (AVG, Internet Explorer et plusisuer microsoft activesync , un win logon )

Est de la cochonnerie ?
Est-ce que je les supprime tous ?
et surtout est-ce que le fait de les supprimer va empêcher mon pc de se connecter au net par après ?

p.s. Je remarque à l'occasion (grace au pare-feu) qu j'ai un "traffic entrant de 1 a 3 Ko/sec même si je ne suis pas en train de naviguer ?

Est-ce un signe que je suis en train de me faire pirater ?

Merci
Désolé si j'ai bcp de questions mais j'essais de comprendre...

Répondre à petit papa Noël

boulepate62, le 18 déc 2006 à 20:46:13

Non, rien de ce que tu cites sont des virus, ce sont des applications donc à ne pas supprimer

Le scan peut-être long tout dépend si ton PC est très rempli ou non.
Ne pas tenir compte du temps ça peut se réduire, ça fait le yoyo
c'est en forgeant que l'on devient forgeron !
** site perso pour forger, dans mon profil **

Répondre à boulepate62

petit papa Noêl, le 19 déc 2006 à 00:55:21

Salut !

J'ai posté une réponse mais je crois que je me la suis envoyée...
Au cas où tu ne l'aurais reçue, elle au forum message no.12

Merci

Pierre

Répondre à petit papa Noêl

petit papa Noël, le 19 déc 2006 à 00:22:31

Salut à toi !

J'ai fais le scan complet avec Bitedefender. (finalement cela a pris 1h50)
Au premier scan (partiel), il avait détecté et détruit un virus.
Aucun lors du second.

Je te met ci-bas le log de Hijackthis.
Crois-tu que je sois encore infecté par le vers SdBot machin ?

Y a-t-il une façon de vérifier si ma connexion est "partagée" avec qqun d'autre ? (en vérifiant le traffic entrant ? Est-ce normal qu'il y en ait si je ne surf pas sur le net mais que IE est ouvert ?)

Merci

Pierre

Logfile of HijackThis v1.99.1
Scan saved at 18:15:10, on 2006-12-18
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\Pierre\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.radio-canada.ca/index.shtml
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-ca\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AdobeReaderPro] SMS5.exe
O4 - HKLM\..\RunServices: [AdobeReaderPro] SMS5.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeReaderPro] SMS5.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://chipmunk.uvm.edu/webcam/AxisCamControl.ocx
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

Répondre à petit papa Noël

boulepate62, le 19 déc 2006 à 04:48:49

Recommence une recherche et dis moi si tu retrouves :

- SMS5.exe

Puis cherche et supprime ceux là :

- SMS5.dll
- SMS5Key.dll
- SMS5_hook.dll

"Y a-t-il une façon de vérifier si ma connexion est "partagée" avec qqun d'autre ? (en vérifiant le traffic entrant ? Est-ce normal qu'il y en ait si je ne surf pas sur le net mais que IE est ouvert ?)"

Oui, c'est normal, vérifie le pare-feu que tu n'as pas des choses inconnu ça sera l aseule façon de savoir si tu partages ta connexion (je doute très fort ;-) )
c'est en forgeant que l'on devient forgeron !
** site perso pour forger, dans mon profil **

Répondre à boulepate62

petit papa Noël, le 19 déc 2006 à 13:51:23

Voilà qui est fait.

Rien à signaler.

Bilan des opérations :

Mon pare-feu ne fait plus planter Runtime.
Je ne semble plus infecté par Sasser ou un autre du genre qui me donnait une minute pour sauvegarder et qui rebootait
Mon AVG ne détecte plus rien (ni la myriade de logiciels de détection que j'ai téléchargé et qu j'utiliserai régulièrement)

Je voudrais remercier boulepate pour sa gentillesse et sa patience.
Un forum comme celui-ci est tout à fait extraordinaire.

Merci à tous ceux qui le rendent possible.

Au revoir en souhaitant que mon problème soit réellement résolu.

Only time will tell !

Pierre

Répondre à petit papa Noël

boulepate62, le 21 déc 2006 à 01:13:57

Salut petit papa Noël

De rien ;-)

A plus tard peut-être
c'est en forgeant que l'on devient forgeron !
** site perso pour forger, dans mon profil **

Répondre à boulepate62

didier17240, le 16 jan 2008 à 08:53:46

Bonjour a tous les costauds de l' info!
Je ne peux plus ouvrir messenger!
dès que je clic dessus un message apparait:

Runetime Error
Programm:c:\Programm Files\MSN Messenger\msnmsgr.exe
R6025
-purevirtual fonction call

J' ai desinstalé messenger deux fois et je l' ai re telechargé mais c' est pareil!
Avast a rien trouvé non plus!

Les back up non plus...

Merçi les docteurs si vous avez une solution pour terrasser ce message et sauver messenger!
Didier

Répondre à didier17240

Posez votre question Répondre