Toutes mes cartes reseau en code 39 !Résolu/Fermé

Question

Bonjour à tous,

gros probleme sur mon portable Vaio avec XP Pro SP2.
Suite a quelques infections virus ou malware (je ne sais si ca peut avoir une incidence en fait),
j'ai perdu toutes mes connexions reseau, dans Connexions réseau.
Mais surtout, quand je vais dans le gestionnaire des peripheriques, toutes les cartes reseau sont passées en "jaune" avec code 39 sur chacune.

- J'ai tenté de desinstaller/reinstaller les pilotes, avec ou sans le CDROM d'XP, rien ne change
- je suis alle dans la base de registre pour supprimer les cles Upperfilters et Lowerfilters, ca n'a rien changé

Le PC n'a a priori plus aucun probleme de virus (AVG, Ad-aware2007, Ccleaner passés).

Quelle peut etre la cause ? Probleme Windows ? Probleme matériel qui demanderait reparation ?

Merci pour votre aide.

Utilisateur anonyme · Answer

la restauration système est encore en état de fonctionner sur ton pc ?

lelo6 · Answer

oui je pense.
En revanche, si je demande a revenir aux versions precedentes des pilotes concernes, windows m'indique qu'ucun pilote n'a ete sauvegardé avant.

A quoi penses tu avec la restauration ?

J'ajoute que le PC refuse de demarrer en mode sans echec.

Et toutes mes cartes sont dans le meme etat :
IEE1394,
Ethernet
IEEE 802.11g
Miniport Reseau etendu (?)
et meme VMWARE Virtual Ethernet Adapter

Utilisateur anonyme · Answer

Simple, restaure ton Xp à une date précédent ton soucis.
Si du moins elle n'est pas altérée..parfois les points de restaurations sont présent, mais la tentative échoue.
A ta place, j'essayerai ça...parceque la décontamination de ton PC, n'est pas garantie...mais si la restauration échoue, il ne te restera plus que cet option...avant un réinstall total éventuel, en cas d'échec.

lelo6 · Answer

merci pour ton aide,

donc selon toi tu ferais
1 - restauration du systeme a telle date (mais je n'ai pas de sauvegarde du systeme donc....)
2 - decontamination totale = qu'entends tu par ca ?
3 - reinstalle totale = alors la ce serait gros malheur :-(

Utilisateur anonyme · Answer

tu veux dire que la restauration système est désactivée sur ton système ?
Tu veux dire que tu n'as aucun point de restauration antérieure à la date de ton soucis ?
------------------
2 - decontamination totale = qu'entends tu par ca ? 
je dirais plus...tentative de décontamination.
parceque parfois l'infection est telle que le formatage est la seule soluce, mais ça, c'est le pire des cas...donc restons optimistes !
-----------------------
Bien si tu désires on peut voir si tu infecté, s'il ne te reste que cette soluce.
Si c'est le cas lis ceci et réponds au deux petites questions.
http://leblogdeclaude.blogspot.com/2007/06/bienvenue-sur-ccm.html

lelo6 · Answer

en effet, je n'ai pas de points de sauvegarde systeme

Utilisateur anonyme · Answer

Bien, donc réponds au deux questions de ce lien...
http://leblogdeclaude.blogspot.com/2007/06/bienvenue-sur-ccm.html
on peut tenter de désinfecter ta machine.

lelo6 · Answer

- Mon PC est de groupe C 
(modele Vaio de marque Sony avec XP Pro OEM, dont j'ai le CD de reinstallation fourni avec)
A cote de ca, j'ai aussi le CD d'install XP Pro SP1, mais qui n'a pas servi pour ce PC la.

- Mon coupe feu est de categorie B 
(zonealarm). D'ailleurs il est pas bien, ave un message rouge en haut a droite "Erreur systeme, redemarrez".

Utilisateur anonyme · Answer

Bien, 
fais ceci:
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
postes le rapport.

lelo6 · Answer

Et voila le resultat :

JE PRECISE, je n'ai pas acces au Gestionnaire des taches depuis la barre de menu ou autre moyen, j'obtiens le message "Le gestionnaire des taches a ete desactive par l'administrateur" (j'ai bien sur les droits admin sur le pc).


Logfile of HijackThis v1.99.1
Scan saved at 17:07:50, on 17/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\LogWatNT.exe
C:\WINDOWS\System32
vsvc32.exe
C:\eclips\users\ingres\bin\orsposvc.exe
C:\WINDOWS\System32\svchost.exe
D:\VMWARE\vmware-authd.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\SigmaTel\C-Major Audio\stacmon.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Sony\HotKey Utility\HKserv.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\powerpanel\Program\PcfMgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Sony\HotKey Utility\HKWnd.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\hijackthis\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Documents%20and%20Settings/laurent/Mes%20documents/bookmark.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.sony-europe.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.startup.homepage", "file:///C:/Documents%20and%20Settings/laurent/Mes%20documents/_Perso/bookmark.htm"); (C:\Documents and Settings\laurent\Application Data\Mozilla\Profiles\default\85ani04u.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\laurent\Application Data\Mozilla\Profiles\default\85ani04u.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\C-Major Audio\stacmon.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [\LELO\EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P30 "\LELO\EPSON Stylus D88 Series" /O5 "LPT1:" /M "Stylus D88"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin
pjpi142_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin
pjpi142_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{6291AC63-12AE-4E23-8B68-65FA0FB1224C}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Ingres Intelligent Database [II] (Ingres_Database_II) - Computer Associates International, Inc. - C:\eclips\users\ingres\bin\servproc.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: OpenROAD Application Server (orsposvc) - Computer Associates International, Inc. - C:\eclips\users\ingres\bin\orsposvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcappcapd.exe" -d -f "%ProgramFiles%\WinPcappcapd.ini (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Program Files\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Program Files\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\VMWARE\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Utilisateur anonyme · Answer

cocher + fixer ces lignes:
----------------------------------
comment faire ?
https://leblogdeclaude.blogspot.com/2007/05/comment-utiliser-hijackthis-fixer.html
-------------------------------------------
	R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Documents%20and%20Settings/laurent/Mes%20documents/bookmark.htm
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
 	O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
 	O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
 	O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
 	O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
 	O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
 	O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
 	O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
 	O4 - Global Startup: PowerPanel.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
--------------------------
ensuite faire ceci:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html
poster le rapport

lelo6 · Answer

merci,
je vais faire des sauvegardes de donnees et ensuite continuerai ton processus.
Merci et a tres bientot

Utilisateur anonyme · Answer

ok, j'attends donc ceci:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html

lelo6 · Answer

bonjour philo,

mre revoila avec le dernier rapport de navilog:





Search Navipromo version 2.0.5 commencé le 19/07/2007 à 16:05:38.50
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\laurent\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/19/07 at 16:05:39.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/19/07 at 16:10:28 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 

3)Recherche Certificats :


*** Analyse Terminé le 19/07/2007 à 16:11:12.14 ***

Utilisateur anonyme · Answer

Bien,
clean.
fais ceci:
https://leblogdeclaude.blogspot.com/2007/04/informatique-procdure-smitfraud.html

lelo6 · Answer

Et voila le resultat :

SmitFraudFix v2.204

Rapport fait à  7:55:35.50, 20/07/2007
Executé à partir de H:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\LogWatNT.exe
C:\WINDOWS\System32
vsvc32.exe
C:\eclips\users\ingres\bin\orsposvc.exe
C:\WINDOWS\System32\svchost.exe
D:\VMWARE\vmware-authd.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ezSP_Px.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SigmaTel\C-Major Audio\stacmon.exe
C:\WINDOWS\system32\ICO.EXE
C:\Program Files\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\HotKey Utility\HKWnd.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1  hk.digitaltrends.com
127.0.0.1  microsoft.com.org #[IE-SpyAd]
127.0.0.1  www.www.microsoft.com.org

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\laurent


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\laurent\Application Data

C:\Documents and Settings\laurent\Application Data\Install.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\laurent\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6291AC63-12AE-4E23-8B68-65FA0FB1224C}: NameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6291AC63-12AE-4E23-8B68-65FA0FB1224C}: NameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{6291AC63-12AE-4E23-8B68-65FA0FB1224C}: NameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B84D1C5D-B58D-463C-AC74-E736E09D52C7}: NameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

lelo6 · Answer

A noter que mon fichier HOSTS est celui recupéré sur
https://winhelp2002.mvps.org/

Utilisateur anonyme · Answer

Bien, il va falloir que tu en fasse une sauvegarde, l'outil va le remettre à zero, il y a des trucs qui ne lui plaise pas dedans !
Mais c'est pas grave, vu que tu es sûr de la source.
bien refait Smitfraud option 2 en mode sans échec.
https://leblogdeclaude.blogspot.com/2007/04/informatique-procdure-smitfraud.html
poste s le rapport

lelo6 · Answer

Je ne peux toujours pas booter le PC en mode sans echec malheureusement...

Je lance l'option 2 en mode normal quand meme...

Utilisateur anonyme · Answer

question, tu as déjà su le faire ?

lelo6 · Answer

oui en faisant F8 au boot.
J'obtiens bien le menu, mais quand je choisis Mode sans echec, j'ai a un moment donné
"Appyer sur la touche ESC pour stoper loading de d347bus.SYS" (traduction approx de memoire)
et ensuite je reviens au menu ou windows dit qu'il n'a pas redemarré et me propose de demarrer windows normalement.

lelo6 · Answer

Je te poste quand meme le dernier rapport apres nettoyage (non en mode sans echec)

SmitFraudFix v2.204

Rapport fait à  9:10:50.39, 20/07/2007
Executé à partir de H:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1  localhost

127.0.0.1  ad.a8.net
127.0.0.1  asy.a8ww.net
[............ je vire les dizaines voire centaines de lignes du fichier recupere sur le site precisé ci dessus]
127.0.0.1  www.xscincorporated.com

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Documents and Settings\laurent\Application Data\Install.dat supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6291AC63-12AE-4E23-8B68-65FA0FB1224C}: NameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6291AC63-12AE-4E23-8B68-65FA0FB1224C}: NameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{6291AC63-12AE-4E23-8B68-65FA0FB1224C}: NameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B84D1C5D-B58D-463C-AC74-E736E09D52C7}: NameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Utilisateur anonyme · Answer

ok,
tu as Daemon Tools sur ta machine ?
------------------------------------------------
si oui , tu le désinstalles, ça peut mettre le bazar dans l'accès au mode sans échec.
si non renommes ce fichier:
D347BUS.SYS  en D347BUS.SYS .old

lelo6 · Answer

J'ai desinstallé Deamontools.
Le mode sans echec ne me montre plus le message enquestion.
En revanche, il ne demarre toujours pas en sans-echec.
Une fenetre bleue apparait une fraction de secondes et redisparait sans que je puisse lire qqchose.
Et seule choix ensuite : redemarrage normal.

J'ai pas essayé de demarrer avec msconfig et en cochant /SAFEBOOT.

Utilisateur anonyme · Answer

J'ai pas essayé de demarrer avec msconfig et en cochant /SAFEBOOT.
bonne idée...si c'est un virus, il est probable que tu restes bloqué !
Mais pour l'heure....nous sommes coincé.
fais ceci:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html
ensuite fais l'option 2
----------------------------------------------------

lelo6 · Answer

Voila le rapport de l'option 2....


Clean Navipromo version 2.0.5 commencé le 20/07/2007 à 12:18:22.59

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)
 

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\laurent\Application Data ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\laurent\Local Settings\Temp effectué !

 
*** Sauvegarde du registre vers dossier Backupnavi*** 
 
 
sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

* 
** 
*** 
**** 
***** 
****** 
******* 
******** 

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :


*** Nettoyage termine le 20/07/2007 à 12:25:34.53 ***

Utilisateur anonyme · Answer

dis-moi, avec Navilog, il n'a pas tenté de rebooter en mode sans échec tout seul ?

lelo6 · Answer

j'ai pas l'impression.
Mais apres je suis pas resté rivé dessus (j'ai besoin de bosser un peu aussi sur le PC d'a cote qui marche....encore...).

Disons qu'il a arreté le pc, et je suis a la fin arrivé sur windows, la où je choisis d'ouvrir la session d'utilisateur qui m'interesse.

Utilisateur anonyme · Answer

il faudra essayé de faire un mode sans échec à froid, pour voir ce que ça donne. (à partir du PC éteind)

lelo6 · Answer

A froid ?
C'est a dire PC eteind, on allume, et la F8 pour demander le sans-echec ?

Sinon, est-il possible que ca vienne d'un probleme purement hardware ?
Parce que si mes cartes reseau ne reviennent pas normales malgré toutes les manips, j'ai l'impression que le seul moyen de s'en assurer serait encore "malheureusement" de faire un reinit du disque C avec le CD de resintallation. Non ?

Utilisateur anonyme · Answer

ce que tu peux faire avec les cartes réseaux, c'est:
1) les supprimer via le gestionnaire de périphérique.
2)ensuite  les enlever de l'ordi.
3)rebooter la machine en mode normal.
4) fermer l'ordi
5) réinstaller les cartes dans le PC.
6) rebooter la machine
ne passer aucune de ces étapes.

lelo6 · Answer

Je n'ai jamais demonté de portable, c'est aussi simple qu'un PC ?

Utilisateur anonyme · Answer

Non....je te conseille de te contenter alors de les virer via le gestionnaire de périph.
Ceci dit tu as combien de cartes réseaux ?
Normallement il y en a une "onboard" ?
Tu en as rajouté ?
------------------------------------
n'oublies de voir si cette carte réseau nécessite un drivers, et de te le procurer....avant de la virer !

lelo6 · Answer

Salut Philo,

(bizarre, des messages n'ont pas disparu de cette discussion !?)

Enfin bon, alors ne voyant aucune issue a mon probleme, j'ai donc decidé ce WE de tout reinstallé le disque C avec le CD de reinstall du portable.

Et enfin mes cartes sont reapparues ! 
Donc ce n'etait pas un probleme purement physique, ais bel et bien une configuration foirée par je ne sais quoi.
Bref beaucoup de temps passé à tout remettre, mais tout refonctionne a nouveau, avec en prime un pc nettoyé, et l'acquisition d'un logiciel de sauvegarde de type "ghost" pour gagner du temps la prochaine fois.

Merci encore a toi, au moins j'a decouvert des processus de desinfection !

Utilisateur anonyme · Answer

J'allais te conseiller ceci---->
https://leblogdeclaude.blogspot.com/2007/01/informatique-problme-disque-dur-externe.html
---------ceci dit, tu as combien de cartes réseau dans ce PC ?

Toutes mes cartes reseau en code 39 !

35 réponses

Discussions similaires

Newsletters