Message au démarage de Windows XP

Message au démarage de Windows XP - Sécurité - Windows & Software

Marsh Posté le 06-05-2006 à 00:50:39    

Bonjour,
Depuis quelques temps, lorsque je démarre mon PC, un message s'affiche sous win dans la fenêtre DOS.
Il est indiqué C\WINDOWS\SYSTEM32\RUNRSV32.EXE
Avez-vous déjà eu ce message ?

Reply

Marsh Posté le 06-05-2006 à 00:50:39   

Reply

Marsh Posté le 06-05-2006 à 00:59:04    

Cela ressemble fortement à un virus...
 
!!! Si tu n'es pas sous Windows XP, ne fais que le point 35) !!!  
 
1) Imprime ces instructions  
 
2-3) Télécharge "Testor" ici : http://www.lutile.be/testor.zip  
 
4) Choisis "Enregistrer" et mets-le à un endroit où tu vas le retrouver  
 
5) Clique-droit sur "Testor.zip", puis sur "Extraire tout" (Si Winzip ou Winrar est installé sur ton ordi, ça peut être "Extract To Folder" ou "Décompresser vers le dossier..." )  
 
6) Ouvre le dossier décompressé et double-clique sur "Lisez-moi.txt"  
 
7) Ferme "Lisez-moi" après l'avoir lu et double-clique sur "Testor.bat"  
 
8) Clique sur "Exécuter" --> Une fenêtre noire s'ouvre  
 
9) Appuie sur "Enter" et tape ton prénom, puis "Enter"  
 
10) Sauvegarde de la base des registres, accepte (ça prend quelques secondes...)  
 
11) Continue (il enregistre tes paramètres dans le dossier "r4c10" )  
 
12) Accepte l'optimisation  
 
13) Accélérer XP --> Appuie sur "O"  
 
14) Supprimer les BHO --> "N"  
 
15) Réparer un desktop Hijacking --> "N"  
 
16) Désinfecter Winlogon --> "N"  
 
17) Réparer le fichier "Host" --> "N"  
 
18) Supprimer CWS --> "N"  
 
19) ... mise à jour --> "N"  
 
20) ... centre de sécurité --> "N"        
 
21) Processus invisibles avec HijackThis --> "N"  
 
22) Télécharger la dernière version d'HijackThis --> "O"  
 
23) Choisis "Enregistrer" et mets-le à un endroit où tu vas le retrouver  
 
24) Télécharger AVG --> "N"  
 
25) Cleanup --> "O"  
 
26) Choisis "Enregistrer" et mets-le à un endroit où tu vas le retrouver  
 
27) Enregistrement des paramètres du réseau, accepte  
 
28) Chargeur de démarrage, idem  
 
29) Sauvegarder les exe du system --> "O" et ça défile !  
 
30) Suppression de l'espion : Ok  
 
31) Désinstaller Windows Messenger : "N"  
 
32) Nettoyage du dossier Prefetch : Ok  
 
32) Services démarrés : Ok  
 
33) Désactivation de l'indexation : Ok  
 
34) Cherche dans l'utilitaire de configuration système qui vient de s'ouvrir (onglets "démarrage" ou "services" ) celui qui porte ce nom... Regarde à quel programme il correspond...
 
35) Suis les instructions ici : http://pageperso.aol.fr/balltrap34/demohijack.htm (générer un rapport) et poste le rapport (c'est presque fini, je t'enverrai mon analyse)

Reply

Marsh Posté le 06-05-2006 à 01:28:41    

Bonjour,
Je te remercie pour d'avoir donner tout ces détails.
Dès demain (là je vais faire dodo), je suivrai pas à pas ton message.
Encore merci.
Je te tiendrai au courant  :hello:

Reply

Marsh Posté le 06-05-2006 à 01:30:39    

Houps, désolé pour les fautes.
On va dire que c'est la fatigue...

Reply

Marsh Posté le 06-05-2006 à 12:21:10    

J'ai réussi à voir le message apparaissant dans la fenêtre dos C\WINDOWS\SYSTEM32\RUNRSV32.EXE
"Nom de commande ou fichier incorrect".
A votre avis virus ou pas ???

Reply

Marsh Posté le 06-05-2006 à 12:50:34    

Raison de plus pour suivre mes instructions...   ;)

Reply

Marsh Posté le 06-05-2006 à 13:05:40    

Je suis en cours mais je ne comprends pas très bien la fin.

Reply

Marsh Posté le 06-05-2006 à 13:14:30    

Je viens de lancer le programme, télécharger les deux programmes sans les avoir installer puis relancer la machine.
Lors du démarage de la machine, il m'affiche plusieurs messages sous DOS dans le bureau Win xp (avant ce n'était que le premier affiché au début du post.)
Je comprends plus rien :-(

Reply

Marsh Posté le 06-05-2006 à 18:35:19    

Bon, nous allons faire plus simple :
Télécharge et décompresse ceci dans un dossier dédié :
http://download.hijackthis.eu/hijackthis_199.zip
 
Exécute HijackThis.exe (avec la petite dynamite)
Suis les instructions données ici : http://pageperso.aol.fr/balltrap34/demohijack.htm
 
Poste ici le rapport...
Bien à toi,

Reply

Marsh Posté le 06-05-2006 à 18:50:15    

Voilà ce que cela donne :
 
Logfile of HijackThis v1.99.1
Scan saved at 18:47:38, on 06/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
F:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
F:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Ahead\InCD\InCD.exe
F:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe
C:\WINDOWS\system32\rundll32.exe
F:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe
F:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe
C:\Program Files\Windows Defender\MSASCui.exe
F:\program files\WCESCOMM.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
F:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe
C:\Program Files\Fichiers communs\Sony Shared\GMR\GMRMan.exe
F:\Program Files\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\WINDOWS\system32\wuauclt.exe
F:\Téléchargement Internet\Programmes\Testor\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.noblindlinks.com/sp.shtml
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?p [...] w.free.fr/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {19F13809-C444-2AE5-8724-16550CDB724A} - C:\WINDOWS\System32\urvoty.dll (file missing)
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - F:\Program Files\Xi\Net Transport\NTIEHelper.dll
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: Starware - {F7C7AA47-BCA6-451D-8DBC-C10A8F75C8C7} - C:\Program Files\Starware\bin\Starware.dll
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Starware - {9839B3B7-3F99-4498-884D-6CFCCD251AB1} - C:\Program Files\Starware\bin\Starware.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [hplampc] C:\WINDOWS\system32\hplampc.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Watch] F:\PROGRA~2\MINITEL\Watch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ivmpmjsj] C:\WINDOWS\ivmpmjsj.exe
O4 - HKLM\..\Run: [pccguide.exe] "F:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "F:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "F:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [eCarteBleue-CDE-P3] C:\Program Files\ECB-CDE.exe  /dontopenmycards
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CONNECTScheduler] "C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" /RUN_SCHEDULER
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\program files\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Otoe] C:\Documents and Settings\Richard & Maria\Application Data\cono.exe
O4 - HKCU\..\Run: [Xffqbub] C:\WINDOWS\System32\zreappdu.exe
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = F:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: CONNECTAUTrayApp.lnk = C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Tout Télécharger avec Net Transport - F:\PROGRA~2\XI\NETTRA~1\NTAddList.html
O8 - Extra context menu item: Télécharger avec Net Transport - F:\PROGRA~2\XI\NETTRA~1\NTAddLink.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - f:\PROGRA~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\PROGRA~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\PROGRA~2\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted IP range: 64.127.104.144
O15 - Trusted IP range: 64.127.104.144 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - http://62.4.84.150/data/sc.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activ [...] player.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 216.127.92.38
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 216.127.92.38
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - F:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\Fsk\SonySCSIHelperService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - F:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe

Reply

Marsh Posté le 06-05-2006 à 18:50:15   

Reply

Marsh Posté le 06-05-2006 à 21:00:42    

Re-salut,
 
1) CTRL + ALT + DEL : arrête les processus suivants (si présents) :
 
CONNECTScheduler.exe
CONNECTAUTrayApp.exe  
GMRMan.exe  
 
2) Relance HijackThis et choisis "Do Only A System Scan"
 
3) Fixe les lignes suivantes :
 
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)  
 
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)  
 
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)  
 
O2 - BHO: (no name) - {19F13809-C444-2AE5-8724-16550CDB724A} - C:\WINDOWS\System32\urvoty.dll (file missing)  
 
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file
 
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
 
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)  
 
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)  
 
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll  
 
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
 
O2 - BHO: Starware - {F7C7AA47-BCA6-451D-8DBC-C10A8F75C8C7} - C:\Program Files\Starware\bin\Starware.dll  
 
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)  
 
O3 - Toolbar: Starware - {9839B3B7-3F99-4498-884D-6CFCCD251AB1} - C:\Program Files\Starware\bin\Starware.dll  
 
O4 - HKLM\..\Run: [ivmpmjsj] C:\WINDOWS\ivmpmjsj.exe  
 
O4 - HKLM\..\Run: [eCarteBleue-CDE-P3] C:\Program Files\ECB-CDE.exe /dontopenmycards  (si tu n'utilises pas ce programme)
 
O4 - HKLM\..\Run: [CONNECTScheduler] "C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" /RUN_SCHEDULER    (si tu ne connais pas ce programme)
 
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe  
 
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe  
 
O4 - HKCU\..\Run: [Otoe] C:\Documents and Settings\Richard & Maria\Application Data\cono.exe  
 
O4 - HKCU\..\Run: [Xffqbub] C:\WINDOWS\System32\zreappdu.exe
 
O4 - Global Startup: CONNECTAUTrayApp.lnk = C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe  (si tu ne connais pas ce programme)
 
O15 - Trusted IP range: 64.127.104.144  
 
O15 - Trusted IP range: 64.127.104.144 (HKLM)  
 
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)  
 
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - http://62.4.84.150/data/sc.cab  
 
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe  
 
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe (si tu ne connais pas ce programme)
 
O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\Fsk\SonySCSIHelperService.exe (si tu ne connais pas ce programme)
 
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k  
 
017 : TOUS
 
 
--> Tu es TRES infecté, ton cas est intéressant, mais certaines API's avancées de Windows sont peut-être corrompues...
 
--> Télécharge et installe ensuite ceci : http://www.stevengould.org/downloa [...] nUp451.exe et clique sur "Cleanup"
 
4) Redémarre et poste un nouveau log
 
Bonne chance !!!
 
 
 

Reply

Marsh Posté le 06-05-2006 à 22:36:18    

Tu es TRES infecté, ton cas est intéressant, mais certaines API's avancées de Windows sont peut-être corrompues...  :(  
 
C'est effrayant...
 
Je suis nul et encore merci pour ton aide et ta patience.
J'ai coché la plupart des cases (sauf Sony qui correspond à mon balladeur) mais que dois-je faire après ?
Installer directement le programme que tu m'as donné ou cocher sur une des icones sur HijackThis avant ?
 
Que veux tu dire poste un nouveau log.
 
J'ai honte mais je suis vraiment nul  :sarcastic:

Reply

Marsh Posté le 06-05-2006 à 23:35:01    

Cocher toutes les petites cases que je t'ai indiquées dans HijackThis...
 
Refaire un "System Scan" et reposter le log...
 
Bonne chance !

Reply

Marsh Posté le 06-05-2006 à 23:48:25    

Rebonsoir,
Voilà, j'ai fais tout ce que tu m'a dit de faire et lorsque je redémarre win xp, tout ce passe correctement.
Je n'ai plus cette fenêtre sous dos qui s'ouvre et tout à l'air de fonctionner correctement.
Je comprends pas, j'ai un antivirus que je mets régulièrement à jour (pc cilin 2002) le pare feu de windows est activé et malgré toutes ces précautions, visiblement le pc était quand même infecté.
Tout à commencé hier. Mon anti-virus à trouvé des virus et les a mis en quarantaine. j'ai ensuite suprimé ces fichiers.
Puis j'avais l'antispyware de Microsoft en Beta 1. Il m'a proposé d'installer la Beta 2. J'ai eu un message comme quoi l'installation avait mal été faites.
Bref, à ne rien comprendre. Et c'est là, en redémarrant le pc que j'ai commencé à avoir ce message.
As-tu besoin d'autres infos ?
 
Enfin, je suis dans une situation financière catastrophique à cause d'une personne qui m'a vendu un bien qui était en hypothèque. J'ai tout perdu et je me retrouve chez ma mère avec ma femme et mes enfants. Sans elle, c'était la rue. Tout ça pour te remercier mille fois de ta patience et de ton aide. Quand tu veux, c'est avec plaisir que je t'offrirai un coup à boire  ;)  
 
 

Reply

Marsh Posté le 07-05-2006 à 00:35:04    

Pour info, voici le nouveau log :
 
Logfile of HijackThis v1.99.1
Scan saved at 00:33:46, on 07/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
F:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\WINDOWS\Explorer.EXE
F:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Ahead\InCD\InCD.exe
F:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe
C:\WINDOWS\system32\rundll32.exe
F:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe
F:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\htpatch.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe
C:\Program Files\Windows Defender\MSASCui.exe
F:\program files\WCESCOMM.EXE
C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Fichiers communs\Sony Shared\GMR\GMRMan.exe
F:\Program Files\Trend Micro\PC-cillin 2002\WebTrap.EXE
F:\Téléchargement Internet\Programmes\Testor\HijackThis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.noblindlinks.com/sp.shtml
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?p [...] w.free.fr/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - F:\Program Files\Xi\Net Transport\NTIEHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [hplampc] C:\WINDOWS\system32\hplampc.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Watch] F:\PROGRA~2\MINITEL\Watch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [pccguide.exe] "F:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "F:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "F:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [eCarteBleue-CDE-P3] C:\Program Files\ECB-CDE.exe  /dontopenmycards
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CONNECTScheduler] "C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" /RUN_SCHEDULER
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\program files\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = F:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: CONNECTAUTrayApp.lnk = C:\Program Files\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Tout Télécharger avec Net Transport - F:\PROGRA~2\XI\NETTRA~1\NTAddList.html
O8 - Extra context menu item: Télécharger avec Net Transport - F:\PROGRA~2\XI\NETTRA~1\NTAddLink.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - f:\PROGRA~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\PROGRA~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\PROGRA~2\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activ [...] player.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - F:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\Fsk\SonySCSIHelperService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - F:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
 

Reply

Marsh Posté le 07-05-2006 à 05:49:10    

A part celui-ci (si ce n'est pas un programme que tu utilises)
 
O4 - HKLM\..\Run: [eCarteBleue-CDE-P3] C:\Program Files\ECB-CDE.exe /dontopenmycards  
 
Ton log est clean...
On peut encore gagner un peu de vitesse si cela t'intéresse...
 
Pour le verre, MERCI beaucoup, mais je ne bois que de l'eau...   ;)
 
A +

Reply

Marsh Posté le 07-05-2006 à 14:29:55    

salut
apparement il reste aussi des morceau de norton (ton ancien antivirus?)
donc quelques ressources recuperable
za pluch

Reply

Marsh Posté le 08-05-2006 à 19:06:32    

Bonjour,
Je n'ai pas souvenir d'avoir installer Norton sur mon PC depuis une petite cure de jouvence (2 ans environ).
J'ai du lancé une fois un patch Norton si je me souviens bien.
J'ai relancé ce jour un scan avec mon anti-virus PC cilin et il a mis en quarantaine les trojans suivants :
C:\WINDOWS\SYTEM32\wpkngif.exe
C:\WINDOWS\SYTEM32\winrsv32.exe
C:\WINDOWS\SYTEM32\repigsp.exe
C:\WINDOWS\SYTEM32\winbl32.dll
 
Méchant ou pas ???
 
 

Reply

Marsh Posté le 15-05-2006 à 23:39:32    

Bonjour,
Mon anti-virus (pc-cilin) a encore trouvé des spywares. Ils les a mis en quarantaine. Puis-je les effacer ou mieux vaut-il les laisser en quarantaine ?
Richard.

Reply

Marsh Posté le 16-05-2006 à 07:01:43    

N'apparaissant pas dans ton log HijackThis, il y a 96 chances sur 100 pour que ces spyware's n'affectent en rien le comportement de ta machine...
 
Bien à toi,

Reply

Marsh Posté le 16-05-2006 à 07:21:23    

c est drol, mais moi la ligne :
 
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe  
 
me parait louche

Reply

Marsh Posté le 16-05-2006 à 07:39:48    

Tu peux la fixer si tu veux, mais ce processus correspond normalement à la barre des tâches...
 
A moins qu'il ne soit pas localié au bon endroit (%windir%\system32 ou %windir%\system32\dllcache), je le laisserais...   ;)

Reply

Marsh Posté le 16-05-2006 à 09:44:37    

mouai, le truc c est que je l ai jamais vu apparaitre dans un Hijack.
 
et les spy utilisant des nom a consonnance usuel ... on en a deja vu pas mal.

Reply

Marsh Posté le 16-05-2006 à 15:16:47    

D'où l'intérêt de chercher manuellement à quel endroit est localisé le fichier du même nom (si présent)...
 
Il me semble qu'il apparait avec certaines configurations...

Reply

Marsh Posté le 16-05-2006 à 18:27:28    

Bonjour,
Votre language n'étant pas très parlant pour moi  :??: , voici la liste des trojans que mon anti-virus (pc-cilin) a trouvé.
 
- wpkwgif.exe
- winsrv32.exe
- repigsp.exe
- winbl32.dll
- forchrjbk.exe
- zalegdqo.exe
 
Pour info, l'emplacements de ces trojans est identiques, à savoir :
 
- C:\WINDOWS\SYSTEM32\
 
A votre avis, ces trojans sont méchants ou pas ?
Encore merci pour votre aide.
Richard.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed