locationinformationservice.comRésolu/Fermé

Question

Mon ordinateur tente de se conecter tout seul à internet à la demande d'un service : "locationinformationservice.com"
je rencontre, par ailleur des difficultés au démarage de l'ordinateur qui fonctionne sous windows XP pro : je dois taper F1avant de pouvoir démarrer.
Merci de votre aide,
Claude

DeNisCoOl · Answer

Bienvenue sur la communauté CCM. 

Pour commencer poste un log HJThis comme tu as fait l'an dernier.

- Télécharger HiJackThis sur ton bureau : http://www.commentcamarche.net/telecharger/telechargement 159 hijackthis
- Renommer le fichier HiJackThis.exe par exemple en Scanner.exe pour cela, faire un clic droit sur le fichier HiJackThis.exe et choisir renommer dans la liste
- Taper Scanner.exe et Appuyer sur la touche Entrée.
- Génère un rapport en suivant ces indications :
- Double-clic sur Scanner.exe
- Exécuter le et cliquer sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Coller le rapport dans un nouveau message
Aide : N'hésite pas à consulter l'aide HiJackThis - 

a+ je te laisses avec les pro je vais me coucher,

Denis

acclaude2 · Answer

une précision, il s'agit en fait de "tiger.locationinformationservice.com" qui tente de se connecter.


Merci de ta prompte réponse, 
Trouve ci-dessous le scan HiJackThis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:53:44, on 28/12/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo	askbaricon.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\inetsrv\win.exe
C:\Program Files\PowerPanel\Program\PcfMgr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo	askbaricon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe
O4 - HKLM\..\RunServices: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: PowerPanel.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C14DBF3-387C-49B0-9F91-5AAC6621662D}: NameServer = 81.253.149.9 80.10.246.3
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

DeNisCoOl · Answer

salut acclaude2,

Bon visiblement je vais être obligé de tirer les oreilles.
Tu as un bon pare feu Sunblet (Kerio), mais pas d'anti virus c'est la chose la plus importante, pourquoi? es tu maso?
Pourtant tu as déjà eu un virus l'an dernier.

Je te conseilles Antivir de Avira:https://www.avira.com/
Le tutoriel pour Antivir ici :
http://forum.malekal.com/ftopic4192.php

Tu devrais également faire la mise à jour IE7 plus sure:
http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=en&&thankspage=5

Je te conseillerais surtout Firefox plus sure, rapide et plus souple que IE: http://www.mozilla-europe.org/fr/products/firefox/

Mais comme tu as déjà une infection on va passer par Navilog, si cela ne marche pas on essaiera Smitfraudfix.

Il y a sans doute une infection NaviPromo là dessous. 
On va vérifier cela:
•	Télécharge Navilog1 de Il_Mafioso depuis-ce lien : 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
Enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
•	Une fois l'installation terminée, fait un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis Exécuter en tant qu'administrateur . 
•	Au menu principal, Fait le choix 1 
•	Laisse toi guider et patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
•	Appuie sur une touche le bloc note va s'ouvrir. 
Copie-colle l'intégralité du rapport dans ta prochaine réponse. 
Referme le bloc note. 
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%. 
Affiche les dossiers les fichiers cachés de XP : https://1map.com/fr/astwindscom

a+

Denis

acclaude2 · Answer

Hum, en effet, tu as raison, j'installerai un AV,
Merci pour ton aide,
voici le log Navilog :

Search Navipromo version 3.3.8 commencé le 28/12/2007 à  8:12:39,36

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\fnac\application data" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\fnac\local settings\application data" 

* 

*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\fnac\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :

*** Analyse terminée le 28/12/2007 à  8:20:58,25 ***

DeNisCoOl · Answer

aaclaude2,

Rien pour Navilog, j'y vais à taton car rien n'indique l'origine de ton infection même avec le nom  	
locationinformationservice.com on reçoit des réponses en chinois russe ou italien pas facile mes courts d'italien sont loin ;-)

On va tester si tu as une infection Smitfraud.
Passes d'abord Spybot un anti spyware, pour le télécharger cliquer ici
Rechercher les mises à jour, cocher les MàJ , télécharger les MàJ, Vérifier tout, Purger les éléments sélectionner, puis ***Vacciner*** 

************************
Ensuite

Télécharger SmitfraudFix - S!Ri -> http://siri.urz.free.fr/Fix/SmitfraudFix.php
Dézipper la totalité de l'archive smitfraudfix.zip. 
Option 1 - Recherche :
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
Poster le rapport dans ton prochain message. 

a+

Denis

acclaude2 · Answer

Merci de ton aide, et du temps que tu consacre à ce probleme, trouve, plus bas, le rapport SmitfraudFix. Entre-temps, j'ai installé et fais "tourner" l'anti-virus que tu m'as conseillé qui a trouvé des malware (mis en quarantaine) en voici le log : AntiVir PersonalEdition Classic Report file date: vendredi 28 décembre 2007 09:15 Scanning for 994132 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (plain) [5.1.2600] Username: SYSTEM Computer name: NOM-WB2J4L619KO Version information: BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29 AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51 LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47 LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 08:07:25 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 08:07:25 ANTIVIR2.VDF : 7.0.1.157 286720 Bytes 26/12/2007 08:07:26 ANTIVIR3.VDF : 7.0.1.166 23552 Bytes 28/12/2007 08:07:26 AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 28/12/2007 08:07:29 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26 AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24 AVPACK32.DLL : 7.6.0.2 360488 Bytes 28/12/2007 08:07:29 AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06 AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13 RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: D:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: vendredi 28 décembre 2007 09:15 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'wuauclt.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned Scan process 'guard.exe' - '0' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'PcfMgr.exe' - '1' Module(s) have been scanned Scan process 'win.exe' - '1' Module(s) have been scanned Module is infected -> 'C:\WINDOWS\System32\inetsrv\win.exe' Scan process 'ApntEx.exe' - '1' Module(s) have been scanned Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned Scan process 'msmsgs.exe' - '1' Module(s) have been scanned Scan process 'avgas.exe' - '1' Module(s) have been scanned Scan process 'qttask.exe' - '1' Module(s) have been scanned Scan process 'TaskBarIcon.exe' - '1' Module(s) have been scanned Scan process 'dragdiag.exe' - '1' Module(s) have been scanned Scan process 'CnxMon.exe' - '1' Module(s) have been scanned Scan process 'JogServ2.exe' - '1' Module(s) have been scanned Scan process 'Apoint.exe' - '1' Module(s) have been scanned Scan process 'igfxtray.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned Process 'win.exe' has been terminated C:\WINDOWS\System32\inetsrv\win.exe [DETECTION] Is the Trojan horse TR/Dropper.Gen [INFO] The file was moved to '47e2b17b.qua'! 33 processes with 32 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'D:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '25' files ). Starting the file scan: Begin scan in 'C:\' C:\hiberfil.sys [WARNING] The file could not be opened! C:\pagefile.sys [WARNING] The file could not be opened! C:\Documents and Settings\fnac\Bureau\adlib ver.0.4.1r\users\Maryline-Beauplet-Dornic\cv[1].txt [DETECTION] Contains detection pattern of the HTML script virus HTML/Infected.WebPage.Gen [INFO] The file was moved to '47cfb366.qua'! C:\Documents and Settings\fnac\Bureau\TRANSFERT\adlib ver.0.4.1r\users\Maryline-Beauplet-Dornic\cv[1].txt [DETECTION] Contains detection pattern of the HTML script virus HTML/Infected.WebPage.Gen [INFO] The file was moved to '47cfb508.qua'! C:\System Volume Information\_restore{BA184C3A-FCE2-4A3A-9CD5-F549A08FB508}\RP879\A0143192.exe [DETECTION] Is the Trojan horse TR/Dropper.Gen [INFO] The file was moved to '47a5ce95.qua'! C:\System Volume Information\_restore{BA184C3A-FCE2-4A3A-9CD5-F549A08FB508}\RP885\A0143929.exe [DETECTION] Is the Trojan horse TR/Dropper.Gen [INFO] The file was moved to '47a5cec6.qua'! Begin scan in 'D:\' End of the scan: vendredi 28 décembre 2007 12:03 Used time: 2:48:25 min The scan has been done completely. 4761 Scanning directories 175437 Files were scanned 4 viruses and/or unwanted programs were found 2 Files were classified as suspicious: 0 files were deleted 0 files were repaired 5 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 175433 Files not concerned 9175 Archives were scanned 2 Warnings 7 Notes ----------------------- Le rapport SmitfraudFix : SmitFraudFix v2.274 Rapport fait à 6:15:21,67, 29/12/2007 Executé à partir de C:\Documents and Settings\fnac\Bureau\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode normal »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\Program Files\Apoint\Apoint.exe C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe C:\PROGRA~1\Wanadoo\CnxMon.exe C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\Wanadoo askbaricon.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Apoint\Apntex.exe C:\Program Files\PowerPanel\Program\PcfMgr.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\fnac »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\fnac\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\fnac\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! IEDFix.exe by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: WAN (PPP/SLIP) Interface DNS Server Search Order: 80.10.246.130 DNS Server Search Order: 80.10.246.3 HKLM\SYSTEM\CCS\Services\Tcpip\..\{4C14DBF3-387C-49B0-9F91-5AAC6621662D}: NameServer=80.10.246.130 80.10.246.3 HKLM\SYSTEM\CS1\Services\Tcpip\..\{4C14DBF3-387C-49B0-9F91-5AAC6621662D}: NameServer=80.10.246.130 80.10.246.3 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin

DeNisCoOl · Answer

aaclaude2,

Rien avec Smitfraud non plus.

Fermes toutes tes applications, redémarres Hijackthis, clic sur do a scan only, coches la ligne suivante et clic sur fix checked:

O4 - Startup: PowerReg Scheduler.exe

----------------------

Ensuite il faut rechercher et effacer le fichier PowerReg Scheduler.exe et le répertoire PowerReg.
-Affiche les dossiers les fichiers cachés de XP : https://1map.com/fr/astwindscom
Ensuite clic sur démarrer puis recherche et tape PowerReg.
Si tu ne peux pas les enlever, installes Unlocker
Unlocker permet de déverrouiller un fichier afin de le supprimer normalement !
https://www.01net.com/telecharger/windows/Utilitaire/manipulation_de_fichier/fiches/32585.html
Clic sur le bouton droit de la souris un menu va apparaitre tu clic sur unlock, ensuite tu pourras le supprimer.

-----------------------
Pour continuer le nettoyage.

Cleanzip de Malekal_Morte 

* Télécharge clean zip de Malekal_Morte http://www.malekal.com/download/clean.zip 

* Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean. 
* Ouvre le dossier Clean qui se trouve sur ton bureau. 
* Double-clique sur clean.cmd. 
Une fenêtre noire va apparaître, 

Choisis l'option 1  laisses le travailler.
A là fin clic sur une touche pour continuer… comme indiquer.

Puis poste le rapport qui se trouve ici C:\rapport_clean.txt et un autre rapport log Hijackthis également 

a+

Le sioux · Answer

Bonjour

Pour avancer DenisCool

C:\WINDOWS\System32\inetsrv\win.exe 
O4 - HKLM\..\Run: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe
O4 - HKLM\..\RunServices: [Win Critical File] C:\WINDOWS\System32\inetsrv\win.exe 

Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
(Note: tu n'auras pas accès à Internet à partir du moment ou te redémarreras en mode sans échec)
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

1) Télécharge 

* SDFix d' AndyManchesta 

  http://downloads.andymanchesta.com/RemovalTools/SDFix.exe   sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. N y touche pas pour l instant.

2) Redémarre en mode sans échec

Regarde ici si besoin avant ici  : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8]  (ou [F5]  sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur  [Entrée] 
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre. 

Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

3) SDFix
    * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    * Appuie sur Y pour commencer le processus de nettoyage.
    * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    * Appuie sur une touche pour redémarrer le PC.
    * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
·	Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

4) Rapports :

Poste un nouveau rapport HijackThis et le rapport de SDFix en réponse.

@ plus

acclaude2 · Answer

Bonjour Denis,

J'ai effectué le fix HijackThis demandé mais ne trouve pas les fichiers et/ou répertoires PowerReg (fichiers caché affichés)
mais seulement la sauvegarde HijackThis : backup-20071229-073336-531-PowerReg Scheduler.exe

voici néanmoins le rapport de Cleanzip :

 29/12/2007 a  7:57:48,72 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 



et le fichier : resultat_clean.txt  :
Veuillez svp envoyer le fichier C:\upload_moi_NOM-WB2J4L619KO.tar.gz a l'adresse http://upload.malekal.com 

- dois-je envoyer le fichier en question?

DeNisCoOl · Answer

aacalude2,

Non il n'y a rien.
Suis la procédure Sdfix de Le Sioux au dessus.

a+

acclaude2 · Answer

voici les log demandés : 

HijacThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:13:40, on 29/12/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo	askbaricon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\PowerPanel\Program\PcfMgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo	askbaricon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: PowerPanel.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C14DBF3-387C-49B0-9F91-5AAC6621662D}: NameServer = 81.253.149.9 80.10.246.132
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Le sioux · Answer

Bonjour Claude

Bien joué.

Denis repassera ce soir ou en fin d'âpres midi. Pour l'avancer un ctit peu ;)

Quand est il du probleme initial ? y a t il un mieux ?

Salut

acclaude2 · Answer

et bien, merci de ton aide à toi aussi  :o)
le problem n'est plus manifeste depuis que j'ai donné dans la fenêtre des tentatives de connection un numéron d'appel bidon.
mais ce n'est sans doute qu'un mieux apparent.

par ailleur j'ai toujour l'alert au demerrage du PC qui dit en substence  "plantage disk imminent, sauvegardez vos fichier"
& appuyez sur F1 pour continuer... 

merci encore,

Le sioux · Answer

Re

Avec plaisir Claude, ce n'est pas encore gagné apparemment.

Denis continuera par la suite ;)

As tu fait ce qu'il t ' a demandé a propos de PowerReg Scheduler.exe  poste 7  ?

Salut.

DeNisCoOl · Answer

aaclaude2,

Pour win.exe, Antivir l'avait déjà trouvé et supprimé.
Tu as fait la recherche pour PowerReg sans succès apparemment.

Si je ne me trompes pas.
La ligne de démarrage de ton parefeu Sunbelt Kerio est là mais le programme a disparu.
Résinstalles le, cela serait raisonnable.

Internet explorer n'est pas à jour il serait mieux de le faire car il est plus sure:
http://www.windowsupdate.com/windowsupdate/v6/default.aspx

Télécharge Combofix.exe (par sUBs)  sur ton Bureau 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
 
Double clique combofix.exe  et suis les invites. 
Lorsque le scan sera complété, un rapport apparaîtra.  
 
Copie/colle ce rapport dans ta prochaine réponse

Le Sioux nous aidera pour l'analyse ;-)

a+

acclaude2 · Answer

Bonjour, Excuse-moi, j'ai du m'absenter ce dimanche, merci pour pour ton aide. Voici le rapport ComboFix : ComboFix 07-12-31.4 - fnac 2007-12-31 7:20:31.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.67 [GMT 1:00] Running from: C:\Documents and Settings\fnac\Bureau\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((((((( Fichiers créés 2007-11-28 to 2007-12-31 )))))))))))))))))))))))))))))))))))) . 2007-12-31 07:16 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-12-29 08:41 . 2007-12-29 08:41 d-------- C:\WINDOWS\ERUNT 2007-12-29 08:03 . 2007-12-29 08:03 d-------- C:\upload_moi_NOM-WB2J4L619KO 2007-12-29 07:58 . 2007-12-29 07:58 2,153,464 --a------ C:\upload_moi_NOM-WB2J4L619KO.tar.gz 2007-12-29 06:15 . 2007-12-29 06:15 2,050 --a------ C:\WINDOWS\system32 mp.reg 2007-12-28 08:51 . 2007-12-28 08:51 d-------- C:\Program Files\Avira 2007-12-28 08:51 . 2007-12-28 08:51 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2007-12-28 08:11 . 2007-12-28 08:24 d-------- C:\Program Files\Navilog1 2007-12-28 01:48 . 2007-12-28 01:48 d-------- C:\Program Files\Trend Micro 2007-12-27 08:28 . 2007-12-27 08:28 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-12-21 08:53 . 2006-09-05 17:03 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-12-18 17:29 . 2007-12-18 17:29 d--hs---- C:\found.000 2007-12-17 23:04 . 2007-12-29 08:37 835 --a------ C:\WINDOWS\system32\drivers\fwdrv.err 2007-11-21 01:11 . 2007-12-27 08:17 d-------- C:\Program Files\Audacity . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-28 01:53 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-28 01:53 --------- d-----w C:\Program Files\Sony 2007-12-28 01:51 --------- d-----w C:\Program Files\QuickTime 2007-12-27 07:28 --------- d-----w C:\Program Files\InterActual 2007-12-27 07:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-27 07:16 --------- d-----w C:\Program Files\Fichiers communs\Sony Shared 2007-12-27 07:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec 2005-10-17 13:24 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 06:14 1077277] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2001-08-08 08:25 143360] "JOGSERV2.EXE"="C:\Program Files\Sony\Jog Dial Utility\JogServ2.exe" [2002-02-25 21:41 1462272] "WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" [2002-02-20 11:49 20480] "SpeedTouch USB Diagnostics"="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2001-12-05 07:07 4247552] "WOOWATCH"="C:\PROGRA~1\Wanadoo\watch.exe" [2002-02-20 11:49 20480] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo askbaricon.exe" [2002-02-20 11:49 36864] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-12-21 08:55 6731312] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 11:00 13312] "Win Critical File"="C:\WINDOWS\System32\inetsrv\win.exe" [ ] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ PowerPanel.lnk - C:\Program Files\PowerPanel\Program\PcfMgr.exe [2002-04-10 11:01:49] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "DisallowRun"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\disallowrun] "Protected system files1"= avgupsvc.exe "Protected system files2"= avgamsvr.exe "Protected system files3"= avgcc.exe "Protected system files4"= nod32kui.exe "Protected system files5"= nod32krn.exe "Protected system files6"= ccSetMgr.exe "Protected system files7"= ccEvtMgr.exe "Protected system files8"= DefWatch.exe "Protected system files9"= SavRoam.exe "Protected system files10"= Rtvscan.exe "Protected system files11"= VPTray.exe "Protected system files12"= ccApp.exe "Protected system files13"= AluSchedulerSvc.exe "Protected system files14"= nod32.exe "Protected system files15"= nod32ra.exe "Protected system files16"= UpdaterUI.exe "Protected system files17"= tbmon.exe "Protected system files18"= Mcshield.exe "Protected system files19"= SHSTAT.exe "Protected system files20"= ashMaiSv.exe "Protected system files21"= ashServ.exe "Protected system files22"= ashWebSv.exe "Protected system files23"= aswUpdSv.exe "Protected system files24"= AVGUARD.exe "Protected system files25"= AVWUPSRV.exe "Protected system files26"= avscan.exe "Protected system files27"= guardgui.exe "Protected system files28"= VxMon.exe "Protected system files29"= AVGNT.exe "Protected system files30"= avgemc.exe "Protected system files31"= avp.exe "Protected system files32"= avp.com [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NAV Agent] C:\PROGRA~1\NORTON~2 avapw32.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NAV CfgWiz] C:\PROGRA~1\NORTON~2\Cfgwiz.exe /R [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "Apoint"=C:\Program Files\Apoint\Apoint.exe "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22] R0 va16w2;va16w2;C:\WINDOWS\System32\DRIVERS\va16w2.sys [2000-10-21 00:11] R0 va32w2;va32w2;C:\WINDOWS\System32\DRIVERS\va32w2.sys [2001-06-21 00:09] R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04] R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys [2006-07-18 11:02] R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys [2006-07-18 11:02] R3 Ich;Ich;C:\WINDOWS\System32\DRIVERS\Ich.sys [2002-04-09 17:16] R3 SPI;Périphérique de contrôle d'E/S programmable Sony;C:\WINDOWS\System32\DRIVERS\SonyPI.sys [2001-08-17 20:51] R3 WDM_YAMAHAAC97;YAMAHA AC-XG Audio Device;C:\WINDOWS\System32\drivers\yacxgc.sys [2002-01-23 17:33] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18883bb0-b28b-11d9-8ce3-080046612bca}] \shell\play\command - C:\Program Files\WinDVD\WinDVD.exe *Newly Created Service* - PROCEXP90 . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2005-04-21 10:06:58 C:\WINDOWS\Tasks\Low Battery Alarm Program.job" . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-31 07:27:31 Windows 5.1.2600 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-31 7:30:40

DeNisCoOl · Answer

aaclaude2,

On va attendre Le Sioux car je suis encore novice avec Combofix je regardes un peu en attendant.

Bonne Année

Denis

Le sioux · Answer

Bonsoir tout le monde

Meilleurs voeux a vous 2.

Quelques éléments de registre a supprimer , vu dans rapport ComboFix 

 1) Creation de Fix.reg

Crée un nouveau document texte :

Clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

REGEDIT 4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Win Critical File"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
 "DisallowRun"=-
[-HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\disallowrun]


Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : Fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

Note:
* Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"
* Fait bien attention que REGEDIT 4 soit sur la toute 1ere ligne 

2 ) Utilisation du Fix.reg

Double clique sur regfix.reg (que tu as créé sur ton bureau)

=> tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui" 

Salut.

acclaude2 · Answer

Merci et BONNE ANNEE à vous  !!  :o)

une question, à la 5eme ligne et suivantes du Fix.reg, est-ce normal qu'il n'y ait plus de majuscules après HKEY_USER?
quoiqu'il en soit, j'effectue la manip. que dois-je faire après?
merci de consacrer du temps à ce probleme.

Claude

Le sioux · Answer

Re

une question, à la 5eme ligne et suivantes du Fix.reg, est-ce normal qu'il n'y ait plus de majuscules après HKEY_USER? 

--> Yes, c est normal ;)

 que dois-je faire après?   

--> Poste un nouveau rapport Hijackthis.

Remarques :
* SDFix nous a cité une pochette sur ton Bureau qui possède des éléments suspect  la pochette TRANSFERT

* Je ne vois pas Antivir sur le démarrage dans ton dernier rapport HijackThis, est il actif dans la barre des taches en bas a droite ? --> parapluie rouge ouvert ?

@ +

acclaude2 · Answer

Merci pour ton aide, 

j'effectue, en attendant, des mises-à-jour Windows recommandées...

par ailleur, mais n'est-ce pas lié, j'utilise cet ordinateur comme passerelle internet et ne peux plus, depuis quelque temps, transférer de fichier d'un PC à l'autre par la connection reseau local.

à bientôt,
Claude

Le sioux · Answer

Re

j'utilise cet ordinateur comme passerelle internet et ne peux plus, depuis quelque temps, transférer de fichier d'un PC à l'autre par la connection reseau local. 

Je n'y connais pas grand chose en matière de reseau .. 

Par ailleurs, peux tu répondre a cette question stp :

Je ne vois pas Antivir sur le démarrage dans ton dernier rapport HijackThis, est il actif dans la barre des taches en bas a droite ? --> parapluie rouge ouvert ? 

@ suivre

acclaude2 · Answer

Mais, tu as raison ! je ne l'avais pas remarqué...
Il n'y apparait pas alors que je l'ai installé & mis-à-jour récemment, voilà qui est currieux.
je le redémarre...

Est-ce bien normal qu'il ne demarre pas avec windows?

Le sioux · Answer

Re

Non, ce n est pas normal ...

Clique droit sur antivir  et a antivir guard mets sur activate

Puis 

--> Poste un nouveau rapport Hijackthis. 

@ suivre

DeNisCoOl · Answer

Re,

Quand je l'utilisais cela m'est arrivé également 1 ou 2 fois qu'il ne s'ouvre pas au démarrage , un petit bug dirait on.

Denis

afideg · Answer

Bonjour Le sioux et acclaude2,

Cettte question: « est-ce normal qu'il n'y ait plus de majuscules après HKEY_USER? » n'est pas naïve; en effet, chez moi j'ai ceci: « HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer » et non pas « [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer ».
D'autre part, je n'ai pas de "disallowr un", ni de ""DisallowRun".

Bonne chance pour la suite.
Al.

acclaude2 · Answer

Il semble, pour ce qui est du  probleme initial, qu'il s'agissait d'un service de mon fournisseur Internet.
Pour le reste, je vous remercie, votre aide & vos conseil m'ont été précieux,
à bientôt, 

Merci encore à vous tous,
Claude

DeNisCoOl · Answer

aaclaude2,

Bonne nouvelle alors, Antivir se lance avec windows maintenant?

-Mais dans ton dernier rapport HJThis la version de windows n'était pas à jour et de loin même pas la version SP1 ce qui t'expose à de nombreuse infections:
http://v4.windowsupdate.microsoft.com/fr/default.asp

Idem pour Internet Explorer, faire la mise à jour IExplorer7: https://support.microsoft.com/fr-fr/allproducts

Je vous conseillerais Firefox, plus sure, plus rapide et plus souple que IE : http://www.mozilla-europe.org/fr/products/firefox/

-Le parefeu Sunbelt (ex Kerio) ne semble pas apparaitre dans tes programmes mais la ligne de démarrage automatique est présente.
Le bouclier bleu est il présent dans ta barre de notification (près de l'horloge en bas à droite)?


afideg,
D'autre part, je n'ai pas de "disallowr un", ni de ""DisallowRun". 
tu es jaloux de acclaude2 tu veux les mêmes clés, on peut te faire un paquet cadeau pour la saint valentin ;-)

A+

Le sioux · Answer

Bonjour Denis, Claude

Claude,il serait bon de terminer ce nettoyage comme il se doit en envoyant  un rapport HijackThis tout d'abord, puis en supprimant les outils utilisés, ainsi que leurs backups, en faisant un scan en ligne de contrôle puis en s'occupant de la restauration pour finir et en te prodiguant quelques conseils de sécurité afin que tu évites par la suite les ennuis ...

@toi de voir ...

DeNisCoOl · Answer

Wi wi Le Sioux m'en occupe ;-)
Je voulais pas le noyer de procédure il reviendra plus sinon lol

A+

Le sioux · Answer

Hello DenisCool, Claude

Okidoki Denis  ;) mais j'avais l'impression que Claude voulait déjà se sauver, donc je "l'interpelais" pour rester encore un peu ;)

Salut.

DeNisCoOl · Answer

Oui j'ai vu mais il semble parti, je n'ai pas voulu charger la mule mais bon... :-)

A+

acclaude2 · Answer

Sorry, je suis partie sans terminer la procédure, ce n'est pas très malin,
milles merci pour votre aide, je crois que nettoyer les logs & les outils serait une bonne chose en effet...
il s'en est passé des choses depuis mais mon systeme est plus stable & c'est bien grace à vous !

voici un HijackThis tout récent,
Claude,


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:42:36, on 09/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32	cpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Intel\ASF Agent\ASFAgent.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WTablet\TabUserW.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\TBPanel.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = :::::::::::: Cyber :: Kikoo ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_SF0.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [OrangePlayer] c:\program files\orange\player orange\Orange Player.exe /systray (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk.disabled
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.serviceshub.microsoft.com/supportforbusiness/create
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30155.www3.hp.com/ediags/hpfix/sj/en/check/xp/qdiagh.cab?326
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Program Files\Intel\ASF Agent\ASFAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: wampapache - Apache Software Foundation - M:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - M:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

DeNisCoOl · Answer

salut acclaude2,

Oh un revenant ;-)


- Vous avez fait les mises à SP2 c'est bien.

- Je vois également vous êtes revenu à Avast c'est votre choix ;-)

- Il faudrait également installer Firefox car IE7, malgré certains plus n'est pas encore assez sure pour naviguer.


1- Relancer HiJackthis cliquer sur Do a scan only et cocher les lignes en gras:


O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk.disabled
+ 2 lignes suspect O6, à effacer si ces inscriptions sont involontaire !


Comment fixer une ligne: (Merci a Balltrap34 pour cette réalisation vidéo) 
&#61672;	http://pageperso.aol.fr/balltrap34/demohijack.htm  
Fermer toutes tes applications et ton navigateur puis fix checked.


------------------------
2- Faire un scan en ligne (sous IE uniquement, cliquer sur la barre jaune clair qui s'affiche un peu en dessous de la barre d'adresse et accepter le module activeX) :
Kaspersky https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr  (Utile à rajouter dans ses favoris)
Coller le rapport si il y a détection d'une infection autre que des cookies.

------------------------
3- ToolsCleaner de A.Rothstein 
Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques

Télécharge le http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe sur ton Bureau. 
* Double-clique sur ToolsCleaner2.bat et laisse le travailler 
* Clique sur Recherche et laisse le scan se terminer. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options facultatives. 
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)


------------------------
4- Mises à jours en particulier Adobe, Flash, et autres programmes.
Updatechecker : https://filehippo.com/windows/tuning-utilities/
Quelques détails ici pour l’installation en particulier de Framework:
http://www.commentcamarche.net/faq/sujet 9908 update checker vos logiciels sont ils a jour#update checker la solution

Pour les mises à Jour Java en particulier ici une version online de Secunia en anglais, mais il y a juste 1 ou 2 boutons à cliquer :
https://www.flexera.com/products/operations/software-vulnerability-management.html
Une petite explication dans ce lien (merci malekal). 

Et bien entendu windows update:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr


------------------------
5- Ensuite si rien n'a été détecté ni par Kaspersky ni par Avast, désactiver la restauration système attendre qu'il travail puis l’activer de nouveau
Pour cela suivre les instructions du lien ICI


A+


Denis

acclaude2 · Answer

Merci pour ta réponse DeNisCoOl,

C'est un hyper programme que tu me propose là ;o)
c'est impressionnant mais je vais tâcher de le réaliser points par points...

j'en suis donc au 1- les fixes HiJackthis et j'ai quelques questions :

1) tu evoque IE7 mais Il me semble que j'utilise IE 6, non?
Celà dit, je vais re-installer Firefox (avec lequel j'ai expérimenté quelques difficultés par le passé, 
notemment avec le service  de courriel que j'avais trouvé moins intuitif & que je n'avais pu faire 
fonctionner à la place d'Outlook Express)...

2) Quant aux 2 lignes 06  suspectes, si elle ne sont pas dues à SpyBot S&D alors je vais effectivement les fixer comme tu le propose. (nouveau log HiJackthis ci-dessous)

3) puis-je fixer (puisqu'on y est) aussi les 3 lignes 04 [CFTMON.EXE] ? il paraît qu'il s'agit d'un 
service windows pas indispensable..?

4) un détail, dois-je remettre le fil de discut. sur "non-resolu"?

merci++ & à bientôt,
Claude



----------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:13:32, on 10/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32	cpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Intel\ASF Agent\ASFAgent.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WTablet\TabUserW.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\TBPanel.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = :::::::::::: Cyber :: Kikoo ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_SF0.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [OrangePlayer] c:\program files\orange\player orange\Orange Player.exe /systray (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.serviceshub.microsoft.com/supportforbusiness/create
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30155.www3.hp.com/ediags/hpfix/sj/en/check/xp/qdiagh.cab?326
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Program Files\Intel\ASF Agent\ASFAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: wampapache - Unknown owner - M:\wamp\bin\apache\apache2.2.8\bin\httpd.exe (file missing)
O23 - Service: wampmysqld - Unknown owner - M:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe (file missing)

DeNisCoOl · Answer

salut acclaude2,


1) Désolé pour la confusion mais dans les mises à jours je te proposes d'installer IE7, mais il faudra installer Firefox plus sure, plus rapide et souple.
Tu confonds Firefox avec Thunderbird, Firefox est un navigateur.
Mais oui à Thunderbird également qui filtre beaucoup mieux les spam et évitent de les ouvrir par erreur.


2) C'est peut être ton niveau de restriction qui a été augmenté sur IExplorer.
Les 2 lignes O6 sont toujours là, il n'était pas utile de refaire un log HJThis, car votre log est quasi propre.


3) Inutile car ne prend pas beaucoup de ressource et HJThis ne pourra pas les enlever définitivement.


4) Non cette procédure est juste la conclusion, nettoyage des outils, les mises à jour de vos programmes.
J'attends juste le rapport Kaspersky en ligne si il détecte autre chose que des cookies.


A+

afideg · Answer

--

Patience-Vigilance-Amour.

acclaude2 · Answer

(...) je n'ai pas eu ton message afideg...

1) C'est fait j'ai installé Firefox mais il n'est pas encore en navigateur par défaut & oui, c'est bien de thunderbird dont je voulais parler..    ;o) 

2) Les lignes 06 que j'ai fixées, pour voir, sont bien due à ma config Spybot, donc c'est réglé.

3) & 4) ok bon, je ne touche rien quant au fil de discussion... mais.. Il semble que quelqu'un l'a fait avant moi..? (c'est toi afideg?)


je fais le Kaspersky & je reviens vers vous incessamment... 

merci à bientôt,
Claude

DeNisCoOl · Answer

(...) je n'ai pas eu ton message afideg... 
afideg indique juste qu'il était dans les parages pour suivre.

je fais le Kaspersky & je reviens vers vous incessamment... 
Ok

A+

acclaude2 · Answer

Hi ! DeNisCoOl & tout le monde,

j'ai fais un Kaspersky en ligne qui n'a rien détecté, j'ai installé Firefox que je dois prendre en main mais... Miince ! J'utilise IE en ce momment même... Il va me falloir de la volonté pour arrêter de "fumer" IE (!) je clique sur "Ajouter" et je m'y mets...
Reste à faire ToolsCleaner2 & les mises-à-jours.

à bientôt, merci !

DeNisCoOl · Answer

acclaude2,

À propos de Firefox tu devrais voir encore plus la différence avec ceci :

* Pour les cookies s'assurer de tout est correctement configurer, Outils / Options / Vie privée > 
* Cookies / Les conserver jusqu'à : la fermeture de firefox. 
* Vie privée cocher : Toujours effacer mes informations personnelles à la fermeture de Firefox. 

Voici un lien pour encore mieux optimiser la vitesse de navigation: 
http://www.commentcamarche.net/faq/sujet 852 firefox optimisation ameliorer les performances
ou automatiquement regarder ici: 
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/31802.html

A+

acclaude2 · Answer

Hi! & Merci !!
Toutes tes conseils & mes mises en pratiques successives me mettent petit à petit en confiance avec Firefox car c'est bête à dire mais avec IE (et SpyBot, etc.) j'étais presque rassurée & il me faut, soudain, passé à Firefox dont je dois tout apprendre, découvrir les arcanes (téléchargement, signet ou marque-pages...) 

A propos, comment Mozzila gère-t'il les activeX? Sous IE c'était toute une histoire avec moult alertes, là, rien, j'ai l'impression que je navigue à vue & de façon pas très sécure...
Quoiqu'il en soit, Cela va probablement venir...

à bientôt,
Claude

DeNisCoOl · Answer

salut,

- A propos, comment Mozzila gère-t'il les activeX?
Le système des control activeX sont une propriété exclusive de Microsoft et ne fonctionne que sous IExplorer.

Sous IE c'était toute une histoire avec moult alertes, là, rien,
C'est un peu pour cela que IExplorer a beaucoup de faille de sécurité, même si il y a des fenêtres de mise en garde les risques sont là.
Les script Java de la compagnie Sun compatible sur tous les navigateurs, eux sont plus sure.

Bye bye

Denis

Le sioux · Answer

Hello Denis

En complément, un peu de lecture pour aclaude2

--Le navigateur Firefox plus sûr /sécurisé qu’IE

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/
-Tutorial pour le sécuriser: https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

Firefox n’utilise pas le dangereux protocole ActiveX
Ce que sont les activeX : http://assiste.com.free.fr/p/abc/a/activex_dangers.html
S'en protéger : http://assiste.com.free.fr/p/abc/c/anti_activex.html

Salut.

DeNisCoOl · Answer

Hey Le sioux,

Merci pour aclaude, aclaude Le sioux, Le sioux aclaude.
Attention dis bien que je suis efficace sinon Le sioux va m'engueuler lol

Bye bye

Le sioux · Answer

Hello Denis, aclaude

T'as vu Denis, je trouve encore des "ptits trucs" pour te faire "coucou" ^^

Bon dimanche.

DeNisCoOl · Answer

Oui je vois ça ;-)

Bon dimanche

Locationinformationservice.com

47 réponses

Newsletters