LE NEWSMAGAZINE Nº1 DES NOUVELLES TECHNOLOGIES

Fiches pratiques

Hors série

Forums

Contacts

01net.

168 utilisateurs connectés

Forum de Micro Hebdo / Questions techniques diverses / Sécurité/ Windows fait n'importe quoi (c'était Beagle) [RESOLU]

Windows fait n'importe quoi (c'était Beagle) [RESOLU]

SlideHorn le 25 aout 2008 à 11h35

Bonjour à tous,

Alors je vais essayer d'être le plus clair et plus rapide possible car mon problème n'est pas simple: (j'hésite entre ici et la rubrique sécurité mais j'ai choisi ici :love:

)

il y a quelques jours, j'étais sur mon pc et d'un coup écran bleu (vidange de la mémoire physique blablabla etc...)
je m'inquiète pas trop, vu qui me l'a déjà fait 3 ou 4 fois en 3 ans... (ce qui reste raisonnable)

mais les ennuies commences au redémarrage vu qu'il me manque quelques icônes dans la zone de notification, dont l'antivirus (Norton).
alors premier reflex: j'essaye de le lancer à la main ainsi que la plus part de mes logiciels, résultat:
tout fonctionne parfaitement sauf: Norton, Spybot, Hijackthis :heink:

ils me disent que ce ne sont pas des applications Win32 valide alors qu'il fonctionne très bien depuis des mois !

plus bizarre encore: j'ai plus de son (winamp me dit que le pilote est absent)
et mon Wifi (via clé usb) ne veux plus bosser: "Windows ne peut configurer cette connexion sans fil blablabla", que je peux cocher la case dans les "Propriétés de connexion réseau sans fil" mais l'onglet "Configuration réseau sans fil" à disparu :'(

après plusieurs redémarrage du système (avec l'option "dernière bonne configuration connue) j'ai retrouvé du son et... c'est tout.
NB: je ne peux pas restaurer mon système à une date antérieure car j'ai désactivé la restauration... j'avais plus de place sur mon disque dur

J'ai aussi remarqué que mon processeur travail comme un fou (moyenne 65%) alors qu'aucun processus visible ne travail,
et qu'il m'est impossible d'ouvrir windows en mode-sans-echec (j'ai directement le Blue Screen of Death)
et que mes fichiers cachés (qui sont habituellement affichés) sont re-cachés et l'option dans "Options des dossiers" à disparu !

Après moultes recherches, j'ai tous les symptômes d'un virus (bagle) mais après le passage plusieurs utilitaires spécialisés: il ne trouve rien. :cry:

Dans la série: j'installe Avg antiSpyware, même chose: impossible à lancer.
il y a juste F-secure BlackLight qui m'a trouvé un processus caché (hldrrr.exe) que j'ai "viré": je peux désormais démarrer en sans-echec et mon processeur ne travail plus pour rien. :hinhin:

je ne sais plus quoi faire, si vous avez des idées, je suis preneur !
Merci d'avance

-->Message édité par SlideHorn le 28/08/2008 19:09:39<--

répondre

bernard53 le 25 aout 2008 à 13h17

Tout a fait tu as les symptômes de Beagle.

Essai ceci STP.

Télécharge ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp
** Vas bien jusqu’au bas de la page pour le téléchargement**

Clique sur le bouton Descargar Elibagla : cela va télécharger le fichier.
Place-le sur ton bureau :

[:fml:8]

Au moment de l'enregistrer
sur le bureau renomme-le en SlideHorn.exe [:fml:8]

Double-clique dessus pour l'ouvrir.
Assurez-toi que dans le menu déroulant Unidad, tu as bien C:\
Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente
est bien cochée.

Clique sur le bouton Explorar pour lancer l'analyse.

Lance-le, de préférence en mode sans échec si tu en as la possibilité.

- Si tu n'y parviens pas télécharge cet utilitaire
Exécute-le et suis les instructions.

En mode normal dans le cas contraire. Patiente le temps du scan.
Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans
Poste de travail > Disque C:\ infosat.txt

Ensuite :

Télécharge ComboFix (de sUBs) par un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe

- Au moment de l'enregistrer sur ton Bureau renomme-le en: [:fml:8]

MAGIC.exe [:fml:8]

- Double-clique sur MAGIC.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Copie/colle le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

[:fml:8]

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme. [:fml:8]

INFO

Si, par malchance, vous n'avez plus accès à votre connexion Internet après avoir fait tourner ComboFix, la première chose à essayer est de faire redémarrer votre ordinateur.
Cette seule manip devrait corriger la grande majorité des problèmes de non-connexion à Internet après l'utilisation de ComboFix. Si vous n'avez toujours pas de connexion Internet après avoir redémarré, exécutez les étapes suivantes:
1. Cliquez sur le bouton Démarrer.
2. Cliquez sur l'option de menu Paramètres.
3. Cliquez sur l'option Panneau de configuration.
4. Après l'ouverture du Panneau de configuration, faites un double clic sur l'icône Connexions réseau
5. . Si votre Panneau de configuration est paramétré pour un affichage en catégories, faites un double clic sur Connexions réseau et Internet. puis cliquez sur Connexions réseau .tout en bas.
6. Vous verrez alors une liste de toutes les connexions réseau disponibles. Repérez la connexion vers votre adaptateur Sans Fil ou Réseau local et faites un clic droit dessus.
7. Vous verrez alors un menu similaire à celui de l'image ci-dessous. Cliquez simplement sur l'option de menu Réparer. .

8. Laissez le processus de réparation se dérouler, et lorsqu'il a terminé, votre connexion Internet devrait être de nouveau opérationnelle.
Sinon, si une icône de votre réseau apparaît aussi dans la barre des tâches Windows, vous pouvez la réparer en faisant un clic droit sur l'icône et en choisissant Réparer comme le montre l'image ci-dessous:

Ne pas oublier que souvent Beagle viens suite a un crack.

Donc si cela est la cas, Supprimes celui ci en premier.

-->Message édité par bernard53 le 25/08/2008 13:41:04<--

répondre

SlideHorn le 25 aout 2008 à 14h23

Parmi mes moultes recherches, j'avais déjà téléchargé ces 2 logiciels, mais à ce moment là, mon mode sans-echec était couronné d'échec justement.
Aujourd'hui le mode sans-échec est rétabli donc j'ai recommencé et suivi tes conseils à la lettre.

Voici le contenu de InfoSat.txt

Sun Aug 24 20:44:53 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Sun Aug 24 20:45:06 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Sun Aug 24 21:08:59 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.66
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Sun Aug 24 21:14:23 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.66
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

Sun Aug 24 21:15:10 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 10174
Nº Total de Ficheros: 153573
Nº de Ficheros Analizados: 13386
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Mon Aug 25 13:56:22 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Aug 25 13:57:03 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 10169
Nº Total de Ficheros: 153567
Nº de Ficheros Analizados: 13385
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Pour ce qui est de ComboFix, pas moyen de le lancer, quelques soit le nom de l'exécutable que je lui donne: Application Win32 non valide ! :chepa:

Merci de te pencher sur mon cas

:edit

J'ai effacé le fichier qui est susceptible d'avoir installé ce virus,

-->Message édité par SlideHorn le 25/08/2008 14:28:14<--

répondre

bernard53 le 25 aout 2008 à 14h36

bon très bien supprimes le fichier suspect. :bien:

ensuite relance deux ou trois fois "ELIBAGLA"

Refait un téléchargement de combofix sans oublier de le renommer.

essai plusieurs fois car Beagle est un coriace. :hurle:

-->Message édité par bernard53 le 25/08/2008 14:36:29<--

répondre

SlideHorn le 26 aout 2008 à 01h33

J'ai donc relancé au moins 5 ou 6 fois ELIBAGLA (dans tous les modes et tous les comptes possible), mais ensuite j'ai lancé Combofix (qui enfin à s'est lancé) qui a supprimé le InfoSat.txt
donc le compte rendu d'Elibagla ne témoigne que d'un seul scan (un ultime après ComboFix), mais j'en ai bien fait plusieurs avant.

voici le résultat de Elibagla:

Tue Aug 26 00:50:27 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Aug 26 00:50:29 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 10142
Nº Total de Ficheros: 153505
Nº de Ficheros Analizados: 13394
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

J'ai donc exécuté comboFix 2 fois en mode sans echec (la première fois il a redémarrer en cours de travail), et je l'ai relancé une fois en mode normal
voici le résultat du 1er ComboFix en mode sans-echec:

ComboFix 08-08-24.03 - SlideHorn 2008-08-26 0:27:12.1 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.891 [GMT 2:00]
Endroit: C:\MAGIC.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\InfoSat.txt
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\tmlpcert2007

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Legacy_SROSA
-------\Service_Iprip

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-25 to 2008-08-25 ))))))))))))))))))))))))))))))))))))
.

2008-08-26 00:31 . 2008-08-26 00:31 <REP> d-------- C:\WINDOWS\system32\drivers\downld
2008-08-25 15:11 . 2008-08-24 19:39 55,819 --a------ C:\SlideHorn.exe
2008-08-25 14:12 . 2008-08-25 15:01 2,830,141 -ra------ C:\MAGIC.exe
2008-08-24 20:44 . 2008-08-24 20:44 <REP> d-------- C:\Muestras
2008-08-24 19:25 . 2008-08-24 19:25 <REP> d-------- C:\Program Files\CCleaner
2008-08-24 19:12 . 2008-08-24 19:12 <REP> d-------- C:\Program Files\AVG Anti-Spyware 7.5
2008-08-24 19:12 . 2008-08-24 19:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-08-23 00:06 . 2003-04-24 13:00 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt0804.dll
2008-08-23 00:06 . 2003-04-24 13:00 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt0412.dll
2008-08-23 00:06 . 2003-04-24 13:00 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt0411.dll
2008-08-23 00:06 . 2003-04-24 13:00 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt040d.dll
2008-08-23 00:06 . 2001-08-17 21:52 12,800 --a--c--- C:\WINDOWS\system32\dllcache\aha154x.sys
2008-08-23 00:04 . 2001-08-23 17:46 689,216 --a--c--- C:\WINDOWS\system32\dllcache\3dfxvs.dll
2008-08-23 00:04 . 2001-08-23 17:46 462,848 --a--c--- C:\WINDOWS\system32\dllcache\a3dapi.dll
2008-08-23 00:04 . 2001-08-17 20:20 297,728 --a--c--- C:\WINDOWS\system32\dllcache\ac97sis.sys
2008-08-23 00:04 . 2004-08-03 22:32 231,552 --a--c--- C:\WINDOWS\system32\dllcache\ac97ali.sys
2008-08-23 00:04 . 2001-08-17 20:48 148,352 --a--c--- C:\WINDOWS\system32\dllcache\3dfxvsm.sys
2008-08-23 00:04 . 2001-08-17 20:20 96,256 --a--c--- C:\WINDOWS\system32\dllcache\ac97intc.sys
2008-08-23 00:04 . 2004-08-03 22:32 84,480 --a--c--- C:\WINDOWS\system32\dllcache\ac97via.sys
2008-08-23 00:04 . 2001-08-23 17:46 61,952 --a--c--- C:\WINDOWS\system32\dllcache\acerscad.dll
2008-08-23 00:04 . 2001-08-23 17:46 38,400 --a--c--- C:\WINDOWS\system32\dllcache\8514a.dll
2008-08-23 00:04 . 2001-08-17 21:52 23,552 --a--c--- C:\WINDOWS\system32\dllcache\abp480n5.sys
2008-08-23 00:04 . 2004-08-03 23:00 12,288 --a--c--- C:\WINDOWS\system32\dllcache\4mmdat.sys
2008-08-23 00:03 . 2004-08-19 16:04 2,150,400 --a--c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-08-23 00:03 . 2001-08-17 21:28 762,780 --a--c--- C:\WINDOWS\system32\dllcache\3cwmcru.sys
2008-08-23 00:03 . 2001-08-23 17:46 66,048 --a--c--- C:\WINDOWS\system32\dllcache\s3legacy.dll
2008-08-23 00:03 . 2001-08-17 22:06 11,264 --a--c--- C:\WINDOWS\system32\dllcache\1394vdbg.sys
2008-07-27 14:24 . 2008-07-27 14:24 <REP> d-------- C:\Program Files\Microsoft Money
2008-07-27 14:17 . 2008-07-27 14:17 <REP> d-------- C:\Program Files\Microsoft Works Suite 99

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-23 08:14 --------- d-----w C:\Program Files\FireFox
2008-08-22 22:34 --------- d-----w C:\Documents and Settings\SlideHorn\Application Data\Free Download Manager
2008-08-22 10:26 --------- d-----w C:\Program Files\Microsoft AntiSpyware
2008-08-22 10:07 --------- d-----w C:\Program Files\Thunderbird
2008-08-21 22:57 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-08-21 09:15 --------- d-----w C:\Program Files\Norton Internet Security
2008-08-15 22:08 --------- d-----w C:\Program Files\PhotoFiltre
2008-08-04 19:08 --------- d-----w C:\Documents and Settings\SlideHorn\Application Data\Skype
2008-08-03 10:35 --------- d-----w C:\Program Files\Paint Shop Pro 6
2008-07-29 22:41 --------- d-----w C:\Program Files\Winamp
2008-07-29 22:41 --------- d-----w C:\Program Files\Sonic Foundry ACID Music
2008-07-06 13:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\TrackMania
2008-06-26 06:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-26 06:30 --------- d-----w C:\Program Files\Ad-Aware
2008-06-26 06:28 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-06-26 06:16 --------- d-----w C:\Documents and Settings\SlideHorn\Application Data\Lavasoft
2008-06-10 18:09 6,453,676 ----a-w C:\Photos_Badminton_ELP.zip
2007-02-25 11:50 1,534,976 ----a-w C:\Program Files\SIW_Systeme-Information-for-Windows_1.66.exe
2006-08-25 04:14 47,360 ----a-w C:\Documents and Settings\SlideHorn\Application Data\pcouffin.sys
2005-11-23 23:23 3,854,863 ----a-w C:\Program Files\copiTC.exe
2003-06-25 15:05 120,832 ----a-w C:\Program Files\TweakUI.exe
2002-07-26 15:02 153,088 ----a-w C:\Program Files\UNWISE.EXE
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"Reminder"="C:\Program Files\Microsoft Money\System\reminder.exe" [2005-03-20 03:07 712712]
"Sensiva"="C:\Program Files\Sensiva\Sensiva.exe" [2006-06-10 09:29 626688]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-01-22 16:09 98304]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-01-22 16:08 495616]
"THotkey"="C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe" [2004-04-30 16:42 430080]
"PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2004-02-12 11:43 1019904]
"CoolSwitch"="C:\WINDOWS\System32\taskswitch.exe" [2002-03-19 18:30 45632]
"gcasServ"="C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" [2008-08-24 21:11 473928]
"\\EVO\EPSON Stylus C86 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE" [2003-11-25 05:00 99840]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-08-24 21:11 58728]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-04-09 00:27 100056]
"TPSMain"="TPSMain.exe" [2004-05-04 10:41 266240 C:\WINDOWS\system32\TPSMain.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-09-15 11:12 37888 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 17:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= "C:\Program Files\DVD Region\DVDShell.dll" [2004-10-09 15:18 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.l3acm"= l3codecp.acm
"vidc.xvid"= xvid.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.YV12"= yv12vfw.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.3ivx"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"VIDC.MJPG"= Pvmjpg21.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
--a------ 2007-06-11 11:25 6731312 C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LtMoh]
--a------ 2003-09-26 15:43 184320 C:\Program Files\ltmoh\ltmoh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
--a------ 2004-04-30 11:14 118784 C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" /background
"PMCS"="C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CloneCDElbyCDFL"="C:\Program Files\CloneCD 4.2.02\ElbyCheck.exe" /L ElbyCDFL
"AGRSMMSG"=AGRSMMSG.exe
"ATIModeChange"=Ati2mdxx.exe
"PinnacleDriverCheck"=C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\SmartFTP Client 2.0\\SmartFTP.exe"=
"C:\\Program Files\\NetSupport School\\client32.exe"=
"C:\\Program Files\\NetSupport School\\PCINSSUI.EXE"=
"C:\\Program Files\\NetSupport School\\pcinsscd.exe"=
"C:\\Program Files\\NetSupport School\\pcideply.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-04-14 14:52]
R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
R2 gearsec;gearsec;C:\WINDOWS\System32\gearsec.exe [2003-01-27 18:40]
S3 iscFlash;iscFlash;C:\DOCUME~1\SlideHorn\LOCALS~1\Temp\iscCtmp\iscflash.sys []
S3 USB28xxBGA;USB 2883 Device;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2006-08-09 11:10]
S3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2006-08-09 11:10]
S3 ZD1211U(Wireless);IEEE 802.11g USB Adapter Driver(Wireless);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-07-14 14:53]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e88684c8-50b1-11db-9a78-806d6172696f}]
\Shell\AutoRun\command - E:\AutoPlay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

2008-08-22 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur - SlideHorn.job
- C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe [2008-08-24 21:11]

2005-11-07 C:\WINDOWS\Tasks\Rappel d'enregistrement 1.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2004-08-19 17:10]

2005-11-14 C:\WINDOWS\Tasks\Rappel d'enregistrement 2.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2004-08-19 17:10]

2005-11-21 C:\WINDOWS\Tasks\Rappel d'enregistrement 3.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2004-08-19 17:10]
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-PMCS - C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe

.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\SlideHorn\Application Data\Mozilla\Firefox\Profiles\mqlnu3fr.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.fr
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-26 00:31:56
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"\\\\EVO\\EPSON Stylus C86 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S4I0R2.EXE /P29 \"\\\\EVO\\EPSON Stylus C86 Series\" /O6 \"USB002\" /M \"Stylus C86\""
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Ad-Aware\aawservice.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-26 0:37:22 - machine was rebooted [SlideHorn]
ComboFix-quarantined-files.txt 2008-08-25 22:37:19

Pre-Run: 2,330,329,088 octets libres
Post-Run: 966,025,216 octets libres

228

voici le résultat du ComboFix en mode normal:

ComboFix 08-08-24.03 - SlideHorn 2008-08-26 1:09:50.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.844 [GMT 2:00]
Endroit: C:\MAGIC.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\downld

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-25 to 2008-08-25 ))))))))))))))))))))))))))))))))))))
.

2008-08-25 15:11 . 2008-08-24 19:39 55,819 --a------ C:\SlideHorn.exe
2008-08-25 14:12 . 2008-08-25 15:01 2,830,141 -ra------ C:\MAGIC.exe
2008-08-24 20:44 . 2008-08-24 20:44 <REP> d-------- C:\Muestras
2008-08-24 19:25 . 2008-08-24 19:25 <REP> d-------- C:\Program Files\CCleaner
2008-08-24 19:12 . 2008-08-24 19:12 <REP> d-------- C:\Program Files\AVG Anti-Spyware 7.5
2008-08-24 19:12 . 2008-08-24 19:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-08-23 00:06 . 2003-04-24 13:00 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt0804.dll
2008-08-23 00:06 . 2003-04-24 13:00 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt0412.dll
2008-08-23 00:06 . 2003-04-24 13:00 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt0411.dll
2008-08-23 00:06 . 2003-04-24 13:00 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt040d.dll
2008-08-23 00:06 . 2001-08-17 21:52 12,800 --a--c--- C:\WINDOWS\system32\dllcache\aha154x.sys
2008-08-23 00:04 . 2001-08-23 17:46 689,216 --a--c--- C:\WINDOWS\system32\dllcache\3dfxvs.dll
2008-08-23 00:04 . 2001-08-23 17:46 462,848 --a--c--- C:\WINDOWS\system32\dllcache\a3dapi.dll
2008-08-23 00:04 . 2001-08-17 20:20 297,728 --a--c--- C:\WINDOWS\system32\dllcache\ac97sis.sys
2008-08-23 00:04 . 2004-08-03 22:32 231,552 --a--c--- C:\WINDOWS\system32\dllcache\ac97ali.sys
2008-08-23 00:04 . 2001-08-17 20:48 148,352 --a--c--- C:\WINDOWS\system32\dllcache\3dfxvsm.sys
2008-08-23 00:04 . 2001-08-17 20:20 96,256 --a--c--- C:\WINDOWS\system32\dllcache\ac97intc.sys
2008-08-23 00:04 . 2004-08-03 22:32 84,480 --a--c--- C:\WINDOWS\system32\dllcache\ac97via.sys
2008-08-23 00:04 . 2001-08-23 17:46 61,952 --a--c--- C:\WINDOWS\system32\dllcache\acerscad.dll
2008-08-23 00:04 . 2001-08-23 17:46 38,400 --a--c--- C:\WINDOWS\system32\dllcache\8514a.dll
2008-08-23 00:04 . 2001-08-17 21:52 23,552 --a--c--- C:\WINDOWS\system32\dllcache\abp480n5.sys
2008-08-23 00:04 . 2004-08-03 23:00 12,288 --a--c--- C:\WINDOWS\system32\dllcache\4mmdat.sys
2008-08-23 00:03 . 2004-08-19 16:04 2,150,400 --a--c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-08-23 00:03 . 2001-08-17 21:28 762,780 --a--c--- C:\WINDOWS\system32\dllcache\3cwmcru.sys
2008-08-23 00:03 . 2001-08-23 17:46 66,048 --a--c--- C:\WINDOWS\system32\dllcache\s3legacy.dll
2008-08-23 00:03 . 2001-08-17 22:06 11,264 --a--c--- C:\WINDOWS\system32\dllcache\1394vdbg.sys
2008-07-27 14:24 . 2008-07-27 14:24 <REP> d-------- C:\Program Files\Microsoft Money
2008-07-27 14:17 . 2008-07-27 14:17 <REP> d-------- C:\Program Files\Microsoft Works Suite 99

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-23 08:14 --------- d-----w C:\Program Files\FireFox
2008-08-22 22:34 --------- d-----w C:\Documents and Settings\SlideHorn\Application Data\Free Download Manager
2008-08-22 10:26 --------- d-----w C:\Program Files\Microsoft AntiSpyware
2008-08-22 10:07 --------- d-----w C:\Program Files\Thunderbird
2008-08-21 22:57 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-08-21 09:15 --------- d-----w C:\Program Files\Norton Internet Security
2008-08-15 22:08 --------- d-----w C:\Program Files\PhotoFiltre
2008-08-04 19:08 --------- d-----w C:\Documents and Settings\SlideHorn\Application Data\Skype
2008-08-03 10:35 --------- d-----w C:\Program Files\Paint Shop Pro 6
2008-07-29 22:41 --------- d-----w C:\Program Files\Winamp
2008-07-29 22:41 --------- d-----w C:\Program Files\Sonic Foundry ACID Music
2008-07-06 13:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\TrackMania
2008-06-26 06:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-26 06:30 --------- d-----w C:\Program Files\Ad-Aware
2008-06-26 06:28 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-06-26 06:16 --------- d-----w C:\Documents and Settings\SlideHorn\Application Data\Lavasoft
2008-06-10 18:09 6,453,676 ----a-w C:\Photos_Badminton_ELP.zip
2007-02-25 11:50 1,534,976 ----a-w C:\Program Files\SIW_Systeme-Information-for-Windows_1.66.exe
2006-08-25 04:14 47,360 ----a-w C:\Documents and Settings\SlideHorn\Application Data\pcouffin.sys
2005-11-23 23:23 3,854,863 ----a-w C:\Program Files\copiTC.exe
2003-06-25 15:05 120,832 ----a-w C:\Program Files\TweakUI.exe
2002-07-26 15:02 153,088 ----a-w C:\Program Files\UNWISE.EXE
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((( snapshot@2008-08-26_ 0.36.51.03 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-25 23:06:46 16,384 ----atw C:\WINDOWS\temp\Perflib_Perfdata_dc.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"Reminder"="C:\Program Files\Microsoft Money\System\reminder.exe" [2005-03-20 03:07 712712]
"Sensiva"="C:\Program Files\Sensiva\Sensiva.exe" [2006-06-10 09:29 626688]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-01-22 16:09 98304]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-01-22 16:08 495616]
"THotkey"="C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe" [2004-04-30 16:42 430080]
"PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2004-02-12 11:43 1019904]
"CoolSwitch"="C:\WINDOWS\System32\taskswitch.exe" [2002-03-19 18:30 45632]
"gcasServ"="C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" [2008-08-24 21:11 473928]
"\\EVO\EPSON Stylus C86 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE" [2003-11-25 05:00 99840]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-08-24 21:11 58728]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-04-09 00:27 100056]
"TPSMain"="TPSMain.exe" [2004-05-04 10:41 266240 C:\WINDOWS\system32\TPSMain.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-09-15 11:12 37888 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 17:09 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2005-11-04 20:13:10 598016]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= "C:\Program Files\DVD Region\DVDShell.dll" [2004-10-09 15:18 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.l3acm"= l3codecp.acm
"vidc.xvid"= xvid.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.YV12"= yv12vfw.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.3ivx"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"VIDC.MJPG"= Pvmjpg21.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
--a------ 2007-06-11 11:25 6731312 C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LtMoh]
--a------ 2003-09-26 15:43 184320 C:\Program Files\ltmoh\ltmoh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
--a------ 2004-04-30 11:14 118784 C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" /background
"PMCS"="C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CloneCDElbyCDFL"="C:\Program Files\CloneCD 4.2.02\ElbyCheck.exe" /L ElbyCDFL
"AGRSMMSG"=AGRSMMSG.exe
"ATIModeChange"=Ati2mdxx.exe
"PinnacleDriverCheck"=C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\SmartFTP Client 2.0\\SmartFTP.exe"=
"C:\\Program Files\\NetSupport School\\client32.exe"=
"C:\\Program Files\\NetSupport School\\PCINSSUI.EXE"=
"C:\\Program Files\\NetSupport School\\pcinsscd.exe"=
"C:\\Program Files\\NetSupport School\\pcideply.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-04-14 14:52]
R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
S2 gearsec;gearsec;C:\WINDOWS\System32\gearsec.exe [2003-01-27 18:40]
S3 iscFlash;iscFlash;C:\DOCUME~1\SlideHorn\LOCALS~1\Temp\iscCtmp\iscflash.sys []
S3 USB28xxBGA;USB 2883 Device;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2006-08-09 11:10]
S3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2006-08-09 11:10]
S3 ZD1211U(Wireless);IEEE 802.11g USB Adapter Driver(Wireless);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-07-14 14:53]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e88684c8-50b1-11db-9a78-806d6172696f}]
\Shell\AutoRun\command - E:\AutoPlay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

2008-08-22 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur - SlideHorn.job
- C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe [2008-08-24 21:11]

2005-11-07 C:\WINDOWS\Tasks\Rappel d'enregistrement 1.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2004-08-19 17:10]

2005-11-14 C:\WINDOWS\Tasks\Rappel d'enregistrement 2.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2004-08-19 17:10]

2005-11-21 C:\WINDOWS\Tasks\Rappel d'enregistrement 3.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2004-08-19 17:10]
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\SlideHorn\Application Data\Mozilla\Firefox\Profiles\mqlnu3fr.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.fr
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-26 01:13:54
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"\\\\EVO\\EPSON Stylus C86 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S4I0R2.EXE /P29 \"\\\\EVO\\EPSON Stylus C86 Series\" /O6 \"USB002\" /M \"Stylus C86\""
.
Temps d'accomplissement: 2008-08-26 1:15:38
ComboFix-quarantined-files.txt 2008-08-25 23:15:21
ComboFix2.txt 2008-08-25 23:04:52
ComboFix3.txt 2008-08-25 22:37:23

Pre-Run: 976,965,632 octets libres
Post-Run: 957,861,888 octets libres

209

seul amélioration pour l'instant: l'option des fichiers cachées est revenue, je peux donc ré-afficher mes fichiers caché :hinhin:

Sinon rien n'a vraiment évolué: mes antivirus et antiSpyWare ne fonctionnent toujours pas, mon wifi toujours dans les choux :ga:

Malgré que certain logiciel (antiBeagle) ne détecte rien, il s'agirait quand même d'un problème de sécurité?? donc je ne me vexerai pas si un modo transfert ce topic vers la rubrique "Sécurité" :bisou:

Merci de ta patience.

répondre

bernard53 le 26 aout 2008 à 12h56

Bon ok tu as très bien avancés. :bien:

fait ceci.

Connais ceci. : C:\Program Files\copiTC.exe :chepa:

Si tu ne connais pas fais ceci.

Vas sur le site http://virusscan.jotti.org/
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier :

C:\Program Files\copiTC.exe

idem ceci : C:\SlideHorn.exe

- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici –
[:fml:8]

ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens!
Aide : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId662799

Ensuite ceci.

Télécharge CCLEANER

TUTO

Fait un nettoyage comme cela :

**Décoche la case dans Options –avancé- Effacer uniquement les fichiers, du dossier temp de Windows : plus vieux que 48 Heures

Recocher cette case une fois le premier nettoyage effectué

1-Élimine les fichiers temporaires et les traces ( onglet nettoyeur )

que vous laissez en naviguant sur Internet ou bien en ouvrant simplement des fichiers avec n'importe quel logiciel sous Windows : le Lecteur Windows Media, Emule, Office, Nero, Adobe Reader, etc.

2-Nettoyées le Registre de Windows, (onglet registre)

l'endroit où est stockée toute la configuration du système peut également être à l'origine d'un ralentissement de votre système. Certaines clés erronées et non valides l'alourdissent.
Acceptes toujours la première sauvegarde du registre que tu mets dans un dossier choisi par toi même

Puis::

Installe Malewarebytes' Antimalware,
Téléchargement et tuto

[:fml:8]

Met-le à jour puis passe en mode sans échec :
http://www.pcloisirs.eu/mode_sans_echec.htm

Choisi, Exécuter un examen complet
[:fml:8]

Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.

:salut:

-->Message édité par bernard53 le 26/08/2008 12:58:09<--

répondre

SlideHorn le 26 aout 2008 à 17h53

copiTC.exe ...oui en effet je l'ai vu dans le rapport, ça me rappelais quelques choses donc je n'y avais pas prêté attention, du fait j'ai vérifié, il s'agit tout simplement d'une archive auto-extractible, d'un EDI TurboC++ (d'où TC), c'était dans mon jeune temps que je programmais en C++ :fume:

, enfin, ya pas si longtemps que ça: à peine 1 an!

tu fais allusion à SlideHorn.exe ...mais c'est toi qui m'avais demandé de renommer Elibagla en SlideHorn.exe :wahoo:

pour CCleaner, j'ai tout nettoyé, le registre est à faire d'ailleurs plusieurs fois car à chaque fois il retrouve des trucs :heink:

pour Malewarebytes' Antimalware, je l'ai installé mais pas de mise à jour possible puisque je te dis que mon wifi est HS à cause de p*** de virus, synonyme de PAS internet sur ce pc là ! (bénit soit l'inventeur de la Clé de stockage usb :ouimaitre:

)

voici le rapport de AntiMalware: (c'est quand j'ai vu le temps qu'il à mis pour tout scanner, que j'ai compris son slogan "octet par octet": 3h15 le scan... :sleep:

)

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 5.1.2600 Service Pack 2

17:48:32 26/08/2008
mbam-log-08-26-2008 (17-48-20).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 191944
Temps écoulé: 3 hour(s), 14 minute(s), 26 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Apparemment rien à changer parmi tous les dysfonctionnements

Merci d'acance.

-->Message édité par SlideHorn le 26/08/2008 18:21:04<--

répondre

bernard53 le 26 aout 2008 à 19h39

tu fais allusion à SlideHorn.exe ...mais c'est toi qui m'avais demandé de renommer Elibagla en SlideHorn.exe

Autant pour moi pour cela.

bon pour ta connection , cela arrive quelques après une bonne infection et la passage de ComboFix.

Tu peux me mettre un rapport hijackthis

Télécharge hijackthis

- poste un rapport.
Tuto + téléchargement

et pour vérifier que rien n'est resté.

Télécharge GenProc de (Narco4 & jean-chretien1) sur ton Bureau.
Dé zippe le dossier: clic droit dessus > Extraire ici ou Tout Extrait.
Ouvre le dossier jaune GenProc sur ton Bureau > double-clique sur GenProc.bat : < inclued picture >

Suis les instructions ...
Poste ici le rapport qui sera généré.
Le rapport est sauvegardé à la racine du disque C « GenProc.txt »

Téléchargement :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

TUTO: Genproc

:salut:

-->Message édité par bernard53 le 26/08/2008 19:40:20<--

répondre

SlideHorn le 27 aout 2008 à 00h07

la connexion à merdé dès l'"infection" donc ComboFix n'y est pour rien ici

et je remarque que mes programmes qui ne fonctionnaient plus: en les re-téléchargeant (par ex ComboFix, HiJackThis) et bien ils re-fonctionnent!
ça veux dire que je dois ré-installer tout ceux qui me met "application Win32 non valide" :??:

j'ai po fini, surtout avec Norton... qui pour l'instant ne veux rien savoir

donc voici le rapport d'HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:03:38, on 26/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sensiva\Sensiva.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\SlideHorn\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [\\EVO\EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P29 "\\EVO\EPSON Stylus C86 Series" /O6 "USB002" /M "Stylus C86"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Reminder] C:\Program Files\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Sensiva] C:\Program Files\Sensiva\Sensiva.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger le site avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Télécharger les tous avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{68F6018A-6B29-48E8-A364-BE1710E14AC3}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Ad-Aware\aawservice.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Client32 - NetSupport Ltd - C:\PROGRA~1\NETSUP~1\client32.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

--
End of file - 8332 bytes

Pour GenProc, je n'arrive à le lancer qu'en mode sans-échec, voici son rapport:

Rapport GenProc 2.020 [1] effectué le 26/08/2008 à 23:41:06,12 - Windows XP

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Lance l'outil ELIBAGLA, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
Lorsque c'est terminé, redémarre ton ordinateur.

- Combofix (sUBs) : par clic droit de souris sur ce lien http://download.bleepingcomputer.com/sUBs/ComboFix.exe sélectionne "enregistrer sous" et nomme-le en combo-fix.exe. Double-clique ensuite sur combo-fix.exe, et appuie sur la touche Y (Yes) pour démarrer le scan et patiente.

# Etape 2/ Lance CCleaner > "Nettoyeur" > "Lancer le nettoyage" et c'est tout.

# Etape 3/ Poste les trois rapports suivants :
- le contenu du fichier infosat.txt qui se trouve dans Poste de travail > disque C:\
- le contenu du rapport qui se trouve dans C:\Combofix.txt
- un nouveau rapport GenProc.

Merci. j'ai hâte de savoir comment tu comptes réparer mon wifi... :ouimaitre:

répondre

bernard53 le 27 aout 2008 à 10h35

bon Beagle est encore la.

Fait ceci.

Télécharge :Avenger2

Dé zippe le puis double clique sur avenger.exe
Copie tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Drivers to delete:
srosa

Files to Delete:
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
C:\windows\system32\wintems.exe
C:\windows\system32\hldrrr.exe
C:\windows\system32\mdelk.exe
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

Folders to delete:
C:\Windows\System32\drivers\down

Le pc va redémarrer et un rapport va s’afficher dès le redémarrage.

Le rapport est en outre sauvegardé à la racine du disque (avenger.txt)

ensuite les demandes de Genproc.

[:fml:8]

Tout cela en mode sans échec.

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

-->Message édité par bernard53 le 27/08/2008 12:53:14<--

répondre

SlideHorn le 27 aout 2008 à 19h18

Alors voici le comptes rendu des festivités d'aujourd'hui:

j'ai fais Avenger dont voici le rapport:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\srosa" not found!
Deletion of driver "srosa" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT" not found!
Deletion of file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\windows\system32\wintems.exe" not found!
Deletion of file "C:\windows\system32\wintems.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\windows\system32\hldrrr.exe" not found!
Deletion of file "C:\windows\system32\hldrrr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\windows\system32\mdelk.exe" not found!
Deletion of file "C:\windows\system32\mdelk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS" not found!
Deletion of file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE" not found!
Deletion of file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "C:\Windows\System32\drivers\down" not found!
Deletion of folder "C:\Windows\System32\drivers\down" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.
*******************
Finished! Terminate.

ensuite j'ai fais étape par étape les consignes de GenProc.

je te fais court le rapport de Eligabla, qui donne l'impression de rien faire comme d'habitude:

Nº Total de Directorios: 9834
Nº Total de Ficheros: 153242
Nº de Ficheros Analizados: 13393
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

voici le rapport de ComboFix:

ComboFix 08-08-24.03 - Slidehorn 2008-08-27 18:43:13.4 - NTFSx86 MINIMAL
Endroit: C:\MAGIC.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\InfoSat.txt
C:\WINDOWS\system32\drivers\downld

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-27 to 2008-08-27 ))))))))))))))))))))))))))))))))))))
.

2008-08-27 00:15 . 2008-08-27 00:15 <REP> d-------- C:\Documents and Settings\Slidehorn\Application Data\Grisoft
2008-08-27 00:14 . 2008-08-27 00:15 <REP> d-------- C:\Program Files\AVG Anti-Spyware 7.5
2008-08-27 00:14 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-08-26 14:28 . 2008-08-26 14:28 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-26 14:28 . 2008-08-26 14:28 <REP> d-------- C:\Documents and Settings\Slidehorn\Application Data\Malwarebytes
2008-08-26 14:28 . 2008-08-26 14:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-26 14:28 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-26 14:28 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-26 14:05 . 2008-08-26 14:05 <REP> d-------- C:\Program Files\CCleaner
2008-08-26 13:55 . 2008-08-26 13:55 <REP> d-------- C:\123
2008-08-25 15:11 . 2008-08-24 19:39 55,819 --a------ C:\SlideHorn.exe
2008-08-25 14:12 . 2008-08-25 15:01 2,830,141 -ra------ C:\MAGIC.exe
2008-08-24 20:44 . 2008-08-24 20:44 <REP> d-------- C:\Muestras
2008-08-24 19:12 . 2008-08-24 19:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-08-23 00:06 . 2003-04-24 13:00 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt0804.dll
2008-08-23 00:06 . 2003-04-24 13:00 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt0412.dll
2008-08-23 00:06 . 2003-04-24 13:00 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt0411.dll
2008-08-23 00:06 . 2003-04-24 13:00 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt040d.dll
2008-08-23 00:06 . 2001-08-17 21:52 12,800 --a--c--- C:\WINDOWS\system32\dllcache\aha154x.sys
2008-08-23 00:04 . 2001-08-23 17:46 689,216 --a--c--- C:\WINDOWS\system32\dllcache\3dfxvs.dll
2008-08-23 00:04 . 2001-08-23 17:46 462,848 --a--c--- C:\WINDOWS\system32\dllcache\a3dapi.dll
2008-08-23 00:04 . 2001-08-17 20:20 297,728 --a--c--- C:\WINDOWS\system32\dllcache\ac97sis.sys
2008-08-23 00:04 . 2004-08-03 22:32 231,552 --a--c--- C:\WINDOWS\system32\dllcache\ac97ali.sys
2008-08-23 00:04 . 2001-08-17 20:48 148,352 --a--c--- C:\WINDOWS\system32\dllcache\3dfxvsm.sys
2008-08-23 00:04 . 2001-08-17 20:20 96,256 --a--c--- C:\WINDOWS\system32\dllcache\ac97intc.sys
2008-08-23 00:04 . 2004-08-03 22:32 84,480 --a--c--- C:\WINDOWS\system32\dllcache\ac97via.sys
2008-08-23 00:04 . 2001-08-23 17:46 61,952 --a--c--- C:\WINDOWS\system32\dllcache\acerscad.dll
2008-08-23 00:04 . 2001-08-23 17:46 38,400 --a--c--- C:\WINDOWS\system32\dllcache\8514a.dll
2008-08-23 00:04 . 2001-08-17 21:52 23,552 --a--c--- C:\WINDOWS\system32\dllcache\abp480n5.sys
2008-08-23 00:04 . 2004-08-03 23:00 12,288 --a--c--- C:\WINDOWS\system32\dllcache\4mmdat.sys
2008-08-23 00:03 . 2004-08-19 16:04 2,150,400 --a--c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-08-23 00:03 . 2001-08-17 21:28 762,780 --a--c--- C:\WINDOWS\system32\dllcache\3cwmcru.sys
2008-08-23 00:03 . 2001-08-23 17:46 66,048 --a--c--- C:\WINDOWS\system32\dllcache\s3legacy.dll
2008-08-23 00:03 . 2001-08-17 22:06 11,264 --a--c--- C:\WINDOWS\system32\dllcache\1394vdbg.sys
2008-07-27 14:24 . 2008-07-27 14:24 <REP> d-------- C:\Program Files\Microsoft Money
2008-07-27 14:17 . 2008-07-27 14:17 <REP> d-------- C:\Program Files\Microsoft Works Suite 99

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-26 12:11 --------- d-----w C:\Program Files\Microsoft AntiSpyware
2008-08-26 12:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-08-26 12:10 --------- d-----w C:\Program Files\FireFox
2008-08-22 22:34 --------- d-----w C:\Documents and Settings\Slidehorn\Application Data\Free Download Manager
2008-08-22 10:07 --------- d-----w C:\Program Files\Thunderbird
2008-08-21 22:57 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-08-21 09:15 --------- d-----w C:\Program Files\Norton Internet Security
2008-08-15 22:08 --------- d-----w C:\Program Files\PhotoFiltre
2008-08-04 19:08 --------- d-----w C:\Documents and Settings\Slidehorn\Application Data\Skype
2008-08-03 10:35 --------- d-----w C:\Program Files\Paint Shop Pro 6
2008-07-29 22:41 --------- d-----w C:\Program Files\Winamp
2008-07-29 22:41 --------- d-----w C:\Program Files\Sonic Foundry ACID Music
2008-07-06 13:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\TrackMania
2008-06-10 18:09 6,453,676 ----a-w C:\Photos_Badminton_ELP.zip
2007-02-25 11:50 1,534,976 ----a-w C:\Program Files\SIW_Systeme-Information-for-Windows_1.66.exe
2006-08-25 04:14 47,360 ----a-w C:\Documents and Settings\Slidehorn\Application Data\pcouffin.sys
2005-11-23 23:23 3,854,863 ----a-w C:\Program Files\copiTC.exe
2003-06-25 15:05 120,832 ----a-w C:\Program Files\TweakUI.exe
2002-07-26 15:02 153,088 ----a-w C:\Program Files\UNWISE.EXE
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"Reminder"="C:\Program Files\Microsoft Money\System\reminder.exe" [2005-03-20 03:07 712712]
"Sensiva"="C:\Program Files\Sensiva\Sensiva.exe" [2006-06-10 09:29 626688]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-01-22 16:09 98304]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-01-22 16:08 495616]
"THotkey"="C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe" [2004-04-30 16:42 430080]
"PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2004-02-12 11:43 1019904]
"CoolSwitch"="C:\WINDOWS\System32\taskswitch.exe" [2002-03-19 18:30 45632]
"gcasServ"="C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" [2008-08-24 21:11 473928]
"\\EVO\EPSON Stylus C86 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE" [2003-11-25 05:00 99840]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-08-24 21:11 58728]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-04-09 00:27 100056]
"TPSMain"="TPSMain.exe" [2004-05-04 10:41 266240 C:\WINDOWS\system32\TPSMain.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-09-15 11:12 37888 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 17:09 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2005-11-04 20:13:10 598016]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= "C:\Program Files\DVD Region\DVDShell.dll" [2004-10-09 15:18 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.l3acm"= l3codecp.acm
"vidc.xvid"= xvid.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.YV12"= yv12vfw.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.3ivx"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"VIDC.MJPG"= Pvmjpg21.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
--a------ 2007-06-11 11:25 6731312 C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LtMoh]
--a------ 2003-09-26 15:43 184320 C:\Program Files\ltmoh\ltmoh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
--a------ 2004-04-30 11:14 118784 C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" /background
"PMCS"="C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CloneCDElbyCDFL"="C:\Program Files\CloneCD 4.2.02\ElbyCheck.exe" /L ElbyCDFL
"AGRSMMSG"=AGRSMMSG.exe
"ATIModeChange"=Ati2mdxx.exe
"PinnacleDriverCheck"=C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\SmartFTP Client 2.0\\SmartFTP.exe"=
"C:\\Program Files\\NetSupport School\\client32.exe"=
"C:\\Program Files\\NetSupport School\\PCINSSUI.EXE"=
"C:\\Program Files\\NetSupport School\\pcinsscd.exe"=
"C:\\Program Files\\NetSupport School\\pcideply.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-04-14 14:52]
R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
S2 gearsec;gearsec;C:\WINDOWS\System32\gearsec.exe [2003-01-27 18:40]
S3 iscFlash;iscFlash;C:\DOCUME~1\Slidehorn\LOCALS~1\Temp\iscCtmp\iscflash.sys []
S3 USB28xxBGA;USB 2883 Device;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2006-08-09 11:10]
S3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2006-08-09 11:10]
S3 ZD1211U(Wireless);IEEE 802.11g USB Adapter Driver(Wireless);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-07-14 14:53]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e88684c8-50b1-11db-9a78-806d6172696f}]
\Shell\AutoRun\command - E:\AutoPlay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

2008-08-22 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur - Slidehorn.job
- C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe [2008-08-24 21:11]

2005-11-07 C:\WINDOWS\Tasks\Rappel d'enregistrement 1.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2004-08-19 17:10]

2005-11-14 C:\WINDOWS\Tasks\Rappel d'enregistrement 2.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2004-08-19 17:10]

2005-11-21 C:\WINDOWS\Tasks\Rappel d'enregistrement 3.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2004-08-19 17:10]
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Slidehorn\Application Data\Mozilla\Firefox\Profiles\mqlnu3fr.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.fr
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-27 18:47:29
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"\\\\EVO\\EPSON Stylus C86 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S4I0R2.EXE /P29 \"\\\\EVO\\EPSON Stylus C86 Series\" /O6 \"USB002\" /M \"Stylus C86\""
.
Temps d'accomplissement: 2008-08-27 18:49:40
ComboFix-quarantined-files.txt 2008-08-27 16:49:34
ComboFix2.txt 2008-08-25 23:15:39
ComboFix3.txt 2008-08-25 23:04:52
ComboFix4.txt 2008-08-25 22:37:23

Pre-Run: 2,305,589,248 octets libres
Post-Run: 2,286,080,000 octets libres

213

je te fais court aussi le rapport de CCleaner:

NETTOYAGE COMPLET - (2.680 secs)
------------------------------------
1,94MB supprimés.
------------------------------------
Détails des fichiers effacés
------------------------------------
C:\WINDOWS\system32\wbem\Logs\wbemess.log 60,87KB
C:\WINDOWS\system32\wbem\Logs\wmiprov.log 469 bytes
C:\WINDOWS\0.log 0 bytes
C:\WINDOWS\Sti_Trace.log 0 bytes
C:\WINDOWS\wiadebug.log 214 bytes
C:\WINDOWS\wiaservc.log 50 bytes
C:\WINDOWS\WindowsUpdate.log 0,40MB
C:\WINDOWS\ntbtlog.txt 1,44MB
C:\WINDOWS\SchedLgU.Txt 31,77KB
------------------------------------

et pour finir le rapport de GenProc:

GenProc 2.020 [2] 27/08/2008 - Windows [XP] : Aucune infection caractéristique trouvée

ca à l'air d'aller mieux, mais Norton ainsi que mon wifi ne veulent toujours pas fonctionner :hurle:

Merci d'avance
:salut:

répondre

bernard53 le 27 aout 2008 à 19h51

bon super quand Genproc mets cela comme rapport.

GenProc 2.020 [2] 27/08/2008 - Windows [XP] : Aucune infection caractéristique trouvée

Remets moi un rapport hijackthis STP.

bon je connais très peu norton, regarde si tu as une possibilité de réparation.

Pour le Wifi, essai ceci si tu ne l'as pas déjà fait.

Démarrer<panneau de configuration<Connection réseau et Internet<connection réseau<Clique droit sur ta connection puis désactive cette connection.

Attends quelques instant puis retentes une connection.

Si cela ne fonctionne pas , clique droit dessus puis réparer.

:salut:

répondre

SlideHorn le 27 aout 2008 à 20h21

voici le rapport HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:06:45, on 27/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sensiva\Sensiva.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Lionel\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [\\EVO\EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P29 "\\EVO\EPSON Stylus C86 Series" /O6 "USB002" /M "Stylus C86"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Reminder] C:\Program Files\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Sensiva] C:\Program Files\Sensiva\Sensiva.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger le site avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Télécharger les tous avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{68F6018A-6B29-48E8-A364-BE1710E14AC3}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Ad-Aware\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Client32 - NetSupport Ltd - C:\PROGRA~1\NETSUP~1\client32.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

--
End of file - 8520 bytes

pour Norton, je vais voir ca

pour le Wifi, la réparation donne ca:

Windows n'as pas pu réparer le problème car l'opération suivante n'a pas été menée à bien: connexion au réseau sans fil.
Demandez assistance à la personne qui gère votre réseau.

Mais c'est moi qui gère mon réseau...

bref, j'ai déjà essayé de démarrer le service: "Configuration automatique sans fil" mais il ne veut pas "Impossible de démarrer le service .... erreur 1068: le service ou groupe de dépendance n'a pas pu démarrer",
sachant que "Appel de procédure distante RPC" à l'air déjà démarré mais je n'ai pas la possibilité de l'arrêter comme s'il été verrouillé.
puis je te revoie (au 1er post) aux symptôme que j'ai pour mon wifi, je te recopie ici
je me cite:

mon Wifi (via clé usb) ne veux plus bosser: "Windows ne peut configurer cette connexion sans fil blablabla", que je peux cocher la case dans les "Propriétés de connexion réseau sans fil" mais l'onglet "Configuration réseau sans fil" à disparu

Merci d'avance.
:salut:

répondre

bernard53 le 27 aout 2008 à 21h04

Pour le super flux dans hijackthis

Relance HijackThis > Do a system scan only > coche ces lignes: ensuite valides sur Fix checked

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

Pour ta connection :

Telecharge WinSockFix :

http://winsockfix.en.softonic.com/

Tuto ici : http://www.tacktech.com/display.cfm?ttid=257

Ne pas oublier de redémarre ton pc.

:salut:

répondre

SlideHorn le 27 aout 2008 à 21h22

pour HiJackThis, c'est fait,

Pour norton, j'ai essayé de copié/coller l'exe qui ne veux pas ce lancer à partir d'un autre pc (oui oui je suis barbare comme mec :fume:

) et bien ça na pas vraiment marché,

sinon pour le wifi avec WinsockFix... il a juste réussi à viré ma config manuele de mes ip, mais le problème est toujours là !

Windows ne peut pas configurer cette connexion sans fil

Si vous avez autorisez un autre programme à gérer cette connexion sans fil, veuillez utiliser ce programme.

Si vous souhaitez que Windows configure cette connexion sans fil, démarrer le services configuration automatique sans fil. Pour obtenir plus d'information sur ce service, consulter l'article 871122 de la base des connaissances sur le site web de microsoft.

Mais je n'ai pas d'onglet configuration réseaux sans fil, il me reste que l'onglet général et un avancé, donc je ne peux pas autorisé Windows à gérer le réseau

-->Message édité par SlideHorn le 27/08/2008 21:26:16<--

répondre

bernard53 le 27 aout 2008 à 21h29

exact désolé pas pensez que tu avais fait une configuration manuel.

Pas le choix je crois que pour la connection, il faut la refaire entièrement: plus simple et plus rapide.

répondre

SlideHorn le 27 aout 2008 à 21h36

nan mais pour la config, c po grave, je "maitrise" la config de mon réseau, c'est moi qui l'a installé, en 20 secondes c'est fait,

mais je vois pas comment la refaire entièrement??

tu peux me conseiller?

Merci d'avance

répondre

bernard53 le 27 aout 2008 à 22h02

SlideHorn a écrit :

Sans tout supprimer de ton pc, relance ton CD d'installation qui vas reconnaître déjà se qui est installé je pense.

Par contre regarde si tout simplement le drivers de ta clé USB n'as pas été supprimer.

A moins que le Wifi est intégré. :chepa:

répondre

SlideHorn le 28 aout 2008 à 00h02

youhou, alors pour le wifi,

après désinstalle et réinstalle de multiples manières mes pilotes de ma clé wifi, rien n'y changé,
j'ai trouvé enfin la solution: le service de "configuration de réseau sans fil" ne voulait pas démarrer à cause de du service NDIS non démarré.

Merci à EZing, forumeur chez nos collègues Ordinateur Individuel qui a trouvé la clé registre que Beagle modifie, >> Message original de EZing ICI <<

je le cite ici car cette solution n'est pas assez référencée à mon gout, car les autres solutions que je trouvais étaient dans mon cas inefficace:

EZing a écrit :

Vous n'arrivez plus a vous connecter avec votre wifi. Si vous allez dans les outils administration sur la page "services" pour activer "configuration automatique sans fil" vous avez l'erreur 1068.

Si c'est votre cas et que vous vous etes arraché les cheveux, voici la solution:

Vous devez aller dans la base de registre avec regedit ou autre.

1. Demarrer > executer > Tapez : "regedit" en ok

2. Allez sur HKEY Local Machine > system > CurrentControlSet > Services > Ndisuio

Dans cette clé il y a une entrée nommée "START", double cliquez dessus. Cette entrée doit être 3 pour que le protocole NDIS E/S demarre correctement.

Un virus comme "bagle / Beagle" change cette entrée et la met sur 4 (disable) et cause le problème

Reste mon problème de l'antivirus mais je pense qu'une réparation ou ré-installe résoudra le problème!
j'attends de faire ça pour être sûr, afin de marquer comme résolu ce topic rondement mené,

:super:

Merci encore Bernard53 :top:

-->Message édité par SlideHorn le 28/08/2008 00:12:28<--

répondre

dos2000 le 28 aout 2008 à 07h08

sujet déplacé

-------
Marsue, I'm under your spell... [:dos2000:5]

(Tara, n°607)
"Je te montrerai comme la vie est belle, je t'apprendrais à te servir de tes ailes."

répondre

bernard53 le 28 aout 2008 à 09h27

cette solution pour le Wifi. :bien:

Je m'est cela de coté.

Donc si tout vas bien.

Fait ceci pour supprimer les logiciels de cette infection.
Fermes toutes les applications en cours, puis télécharge, ToolsCleaner! Sur ton Bureau.

http://pc-system.fr/TC/ToolsCleaner2.exe

Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste-moi le rapport(TCleaner.txt) qui se trouve à la racine de ton disque dur (C :\).

Ensuite::
Bon maintenant on va mettre la restauration du système propre.
Pour cela:
1- Valides les touches Windows et Pause en même temps.
Sur cette fenêtre coche cette case :

Valide cela par l’onglet APPLIQUER et acceptes la demande sur la fenêtre que vas s’afficher.

Après quelques instants décoche cette même case et valides cela par l’onglet APPLIQUER .

[:fml:8]

Il te faut donc maintenant recrée un nouveau point de restauration.

2-Demarrer >exécuter et tapes.
Restore/rstrui.exe

Valides dans la fenêtre qui apparait : Créer un point de restauration

Puis Suivant et donne un nom au nouveau point de restauration : Valide :

L'écran suivant doit vous prévenir que le point de restauration a été créé avec succès.
Cliquez sur "Fermer" dans la prochaine fenêtre pour sortir de l'utilitaire.

Puis::
[:fml:8]

Voici un lien très intéressant sur des Logiciels nuisibles. n'installez plus ces programmes

Et :
Clique sur le [:Footlog2001:3]

puis éditer le message et à la suite de ton titre marque : RESOLU

:salut:

-->Message édité par bernard53 le 28/08/2008 09:27:57<--

répondre

SlideHorn le 28 aout 2008 à 19h04

j'ai passé ToolsCleaner, qui enlève les rapports des autres logiciels, mais à peine fini, que fait ToolsCleaner? il met son rapport... :whistle:

-->- Suppression:

C:\Documents and Settings\SlideHorn\Bureau\HijackThis.exe: supprimé !
C:\Documents and Settings\SlideHorn\Bureau\sécurité\fsbl.exe: supprimé !
C:\Téléchargé\Logiciels\HijackThis.exe: supprimé !
C:\Téléchargé\Logiciels\avenger\avenger.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\rapport_clean.txt: supprimé !
C:\avenger.txt: supprimé !
C:\Documents and Settings\SlideHorn\Bureau\hijackthis.log: supprimé !
C:\Documents and Settings\SlideHorn\Bureau\sécurité\rapport_clean.txt: supprimé !
C:\avenger: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\SlideHorn\Bureau\sécurité\GenProc: supprimé !
C:\Téléchargé\Logiciels\avenger: supprimé !

Pour la restauration, c'est fait!

Pour norton, je l'ai complètement viré car il ne propose pas de le réparer, je n'ai pas le temps de le réinstaller en ce moment, je verrai la semaine prochaine, mais tout devrai rouler comme sur des roulettes, donc je marque ce topic comme résolu!

Merci pour tout ! :bien: