comment me débarraser d'un rundll32 orphelin dans les process?

comment me débarraser d'un rundll32 orphelin dans les process? - Virus/Spywares - Windows & Software

Marsh Posté le 01-07-2010 à 12:11:02    

Bonjour tout le monde
 
je viens vous demander un peu d'aide pour deux petits soucis (étant sous XP SP3)
 

  • Suite à deux virus (vundo et trojan.dropper) dont je me suis débarrassé immédiatement, il me reste au moins un rundll32 orphelin dans la liste des processus qui se lance au démarrage et qui n'y était pas avant


Je n'arrive pas à trouver la clé de registre qui reste polluée et qui me génère ce rundll32 qui une fois lancé rallenti pas mal tant que je le tue pas
 
j'ai fait plusieurs scan en ligne et en résident d'antivirus différents et il ne semble plus y avoir de traces de virus,  
J'ai aussi lancé regcleaner, runalyser et Cccleaner et je retrouve bien uniquement dans les clées de démarrage uniquement celles que je connais d'avant cette infection
 
J'ai la possibilité aussi de lancer processus moniteur (il y a entre un outil qui propose une arborescence des processus) apres le reste à l'air assez complexe à maitriser  
mais ce rundll semble rataché à un svchost, lui même rataché à winlogon de mémoire (en tuant le svchost concerné, le pc se porte pas plus mal)
 
donc si quelqu'un peut m'aider à mettre la main sur ce qui lance cette tentative d'utilisation de librairie, je suis preneur  :)  
 

  • Par ailleur autre petit soucis toujours suite à ce virus il y avait sur le PC, un répertoire pollué généré par le virus je pense (dc.. suivi d'un nombre à deux chffres), voulant bloquer tout son contenu j'ai modifié les droits sur ce repertoire en bloquant ecriture (et peut être aussi execution) pour tout le monde et le systeme. Donc bien entendu je me suis rendu compte après coup que je pouvais plus toucher à ce répertoire et entre autre le supprimer


en faisant la tentative, ca me l'a refusé mais ayant unlocker d'installé le dossier a été forcé à se supprimer, sauf que maintenant la poubelle ne peut plus se vider totalement, est ce que quelqu'un saurait comment je peux passer outre, soit dans le registre soit autrement?
 
j'ai essayé en mode sans echec, administrateur (on voit pas la poubelle concernée), et utilisateur moi (qui a des droits d'admin aussi et proprietaire de la dite poubelle) mais rien y fait, ccleaner non plus, un effaceur de sécurité sur la poubelle non plus  :heink:  
 
Merci d'avance à ceux qui pourront me conseiller pour tenter de nettoyer ce boxon
 :jap:

Reply

Marsh Posté le 01-07-2010 à 12:11:02   

Reply

Marsh Posté le 01-07-2010 à 23:37:13    

visiblement un nième nettoyage de sécurité multipass (différent du premier) a fini par avoir raison de ma corbeille qui voulait plus se vider
 
reste plus que mon problème innitial du rundll32 orphelin qui me phagocite mes ressources
 
un petit help serait pas de refus ;)

Reply

Marsh Posté le 03-07-2010 à 19:08:28    

personne n'a une petite suggestion à me proposer pour un brin de nettoyage de ce process qui zone?

Reply

Marsh Posté le 03-07-2010 à 22:29:00    

Alors, moi je te propose de télécharger Hijack This qui est un excellent programme pour contrer les virus. Il va générer un scan complet mais ne résoudra pas tes problèmes directement (il faut d'abord analyser le log)  
Lien de Téléchargement
Une fois dezippé, Exécutes le (en administrateur de préférence) et dans le menu cliques sur "Do a system scan and save a logfile". A la fin du scan il va normalement t'ouvrir le fichier qui contient le log. Colle celui ci dans le forum et on verra ensuite :)
 
Lucas'


Message édité par Profil supprimé le 03-07-2010 à 22:30:47
Reply

Marsh Posté le 05-07-2010 à 13:32:29    

Merci Lucas' de voler à mon secours
voila le rapport
 
(je sais pas si il fait etat de virus, mais en tout cas ce qui est sur c'est que je vois bien quelques lignes surement à supprimer, par ailleurs j'arrive pas a me débarrasser de ctfmon au démarrage ni des pages webs de recherches et autres, moi je souhaiterais uniquement une page vierge) - sinon avec le tree-process de processus moniteur, j'ai pu voir que le rundll32 qui m'a fait ouvrir ce poste est issu de Winlogon->services->svchost et tente d'ouvrir dans système32 un fichier autoexec9.dll avec un argument TWAREZ, je crois, ce fichier n'existe pas ou plus - sinon autre chose au cas où tu te poses la question WinPCAP, VLC, OpenVPN ont volontairement été installés; Systran est installé et à rajouté une barre dans Word mais pas dans IE ni netscape. je ne sais pas pourquoi non plus, il y aurait un lien contextuel vers EXCEL et le rapport n'en fait pas état mais j'ai un dossier C:\OEMCUSTE qui contient des outils DOS et Win32, je n'arrive pas à savoir si c'est une de mes install qui l'a créé ou un hacker -je souhaiterais le désactiver tant qu'un programme à moi ne me le réclamme pas si tu sais si il faut que je le renomme ou autre avec politique de sécurité peut-être - enfin je te précise que le PC est un Packard Bell avec tatoo qui m'a été livré préinstalléet dont j'ai viré la plus par des programmes qui me servaient à rien
 
 
 
------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:45:41, on 05/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\OpenVPN\bin\openvpn-gui.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\Systran\4_0\Premium\SYSTRA~1.EXE
C:\Program Files\Internet Explorer\iexplore.exe
D:\Secu\Antivirus\HijackThis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ccleaner.com/update/?v=2.11.636&l=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Program Files\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Program Files\Systran\4_0\Premium\IEPlugIn.dll
O4 - HKLM\..\Run: [openvpn-gui] C:\Program Files\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/
O15 - Trusted IP range: http://192.168.5.1
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/re [...] oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 3600500982
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://monsite.com:82/activex/AMC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{183507BD-8114-43E9-9D72-9A217BD7EFA7}: NameServer = 192.168.1.1,212.27.40.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{97B8BCC8-A41C-4AA6-B858-CAA9F96075B7}: NameServer = 192.168.1.1,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{183507BD-8114-43E9-9D72-9A217BD7EFA7}: NameServer = 192.168.1.1,212.27.40.240
O17 - HKLM\System\CS2\Services\Tcpip\..\{183507BD-8114-43E9-9D72-9A217BD7EFA7}: NameServer = 192.168.1.1,212.27.40.240
O17 - HKLM\System\CS3\Services\Tcpip\..\{183507BD-8114-43E9-9D72-9A217BD7EFA7}: NameServer = 192.168.1.1,212.27.40.240
O17 - HKLM\System\CS4\Services\Tcpip\..\{183507BD-8114-43E9-9D72-9A217BD7EFA7}: NameServer = 192.168.1.1,212.27.40.240
O17 - HKLM\System\CS5\Services\Tcpip\..\{183507BD-8114-43E9-9D72-9A217BD7EFA7}: NameServer = 192.168.1.1,212.27.40.240
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: ACC - Unknown owner - C:\DOCUME~1\tintin34\LOCALS~1\Temp\ACC.exe (file missing)
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Créateur de rapports d'état Sophos Anti-Virus (SAVAdminService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
 
--
End of file - 8430 bytes


Message édité par tintin34 le 05-07-2010 à 13:40:11
Reply

Marsh Posté le 05-07-2010 à 14:09:04    

J'ai aussi essayé il y a pas longtemps de mettre à jour les drivers de la carte vidéo intégrée
 
qui est une SIS 630_730 pour passer de la version 2.03 (de WinXP) à la dernière proposée 2.09: je suis allé sur le site SIS et downloadé de fichier, mais d'une part la mise à jour a généré une erreur, d'autre part ca m'a installé une panoplie d'outils SIS additionels superflus et maintenant dans Ajout_Suppression de Programme on trouve une ligne pour chaque version :(
 
Et apres t'avoir posté le rapport HijackThis, je me suis rendu compte que le gestionnaire de périphérique génère maintenant une erreure class invalid puis création d'une page vide impossible
 
Et depuis le virrus que j'ai virré, le hack que j'ai stoppé, ces installations qui provoquent des erreurs... Le PC est devenu instable sur la gestion de la mémoire et IE plante de temps a autres


Message édité par tintin34 le 05-07-2010 à 14:13:19
Reply

Marsh Posté le 05-07-2010 à 18:38:54    

Bonjour, tout d'abord le autoexec9.dll est vraiment bizarre, je pense fortement que c'est les restes d'un virus car Google ne trouve rien et puis l'attribut TWAREZ confirme encore plus ce que je pense ! Peut-être le virus a été mal supprimé... Ensuite concernant le log il ya certaines lignes qui peuvent être cochées et ensuite résolues en cliquant sur "Fix Checked" (A faire en mode sans echec de préférence):
-"O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe " (Ctfmon peut être désactivé et cela ne posera normalement aucun problème...)
-"O14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/ " (planetis.com renvoie sur une page qui indique que le domaine est a vendre donc dans tous les cas elle peut être supprimée)
-"O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://monsite.com:82/activex/AMC.cab " (Ne renvoi rien)
-"O23 - Service: ACC - Unknown owner - C:\DOCUME~1\tintin34\LOCALS~1\Temp\ACC.exe (file missing) " (HijackThis indique que le fichier n'existe pas...)
 
Donc voila, commence par ca puis si tu disposes d'un cd de Windows XP tu pourrais éventuellement essayer de faire un scan des fichiers système Windows (Ici).
 
Quand tu auras fini, postes un log HijackThis en ayant fermé toutes les fenetres avant pour avoir un peu moins de bordel dans le log.
 
En esperant que ca va changer un petit quelquechose au moins :D
 
Lucas' :jap:

Reply

Marsh Posté le 06-07-2010 à 11:13:52    

OK Lucas' je fais mais je te donne quelques précisions sur les lignes que tu as relevées
 
le ctfmon je sais qu'on peut le desactiver mais il revient toujours, meme en supprimant la clé de registre (elle se reconstruit), j'espère qu'avec HijackThis ca va etre mieux
 
Pour l'activX Axis, je vais pas le supprimer vu que j'en ai besoin pour visualiser les caméras de surveillance qui sont derrière
 
Comme je te l'ai dit le PC etait en préinstallé et j'ai que des masterCD ceux sont eux qui install l'url Planetis car d'origine correspondant à l'entreprise qui a vendu le PC
 
Le Autoexec9.dll je l'ai viré car je sais plus si un scan de virus l'a proposé ou si le fichier m'avait aussi parru louche, c'est pour ca que le rundll32 ne se termine pas vu qu'il trouve pas le fichier qu'il cherche, par contre j'ai peur que le processus qui le lance soit un processus sain sur lequel s'etait greffé le virus, dans la meme idée j'ai un doute sur l'intégrité de IE7
 
le Dossier Temp etait louche aussi lors de l'infection donc j'ai tout viré pour ca qu'il trouve pas le ACC.exe, Ca me surprend un peu que CCleaner ne répare pas la ligne en question
 
Sinon J'ai bien aussi un CD avec licence complete de XP Home je pense que ca doit pouvoir le faire pour vérifier l'intégrité des fichiers systeme avec le lien que tu proposes à l'exception peut etre de ceux modifiés par les mises à jour Microsoft je te tiens au courant et te reposte le nouveau rapport effectué en mode sans echec dès que je peux
 
mais faut pas s'attendre trop à de grands boulversements avec les precisions que je viens de te donner sur les lignes relevées, du rapport


Message édité par tintin34 le 06-07-2010 à 11:19:10
Reply

Marsh Posté le 06-07-2010 à 11:30:30    

Ce tutoriel explique comment savoir quel service se cache derrière svchost. Juste avant de commencer ce tutoriel, note le pid du svchost qui pose problème.
 
Lucas' :jap:

Reply

Marsh Posté le 06-07-2010 à 15:08:26    

j'ai effectué le fix en mode sans echec et relancé le nouveau rapport ci-dessous en mode normal
 
je regarde le tutorial que tu me dis et tente de faire une verification des fichiers systèmes toute fois j'ai déjà vu que en tuant le svchost qui lance le rundll32 (d'apres processus monitor) ce la tue aussi le service associé à l'antivirus donc on va voir ce que je peux debroussailler avec les url que tu m'indiques
 
voila le nouveau rapport:
 
-------------------------------------------------------------
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:33:53, on 06/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\OpenVPN\bin\openvpn-gui.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\alg.exe
D:\Secu\Antivirus\HijackThis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ccleaner.com/update/?v=2.11.636&l=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Program Files\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Program Files\Systran\4_0\Premium\IEPlugIn.dll
O4 - HKLM\..\Run: [openvpn-gui] C:\Program Files\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted IP range: http://192.168.5.1
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/re [...] oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 3600500982
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://monsite.com:82/activex/AMC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{183507BD-8114-43E9-9D72-9A217BD7EFA7}: NameServer = 192.168.1.1,212.27.40.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{97B8BCC8-A41C-4AA6-B858-CAA9F96075B7}: NameServer = 192.168.1.1,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{183507BD-8114-43E9-9D72-9A217BD7EFA7}: NameServer = 192.168.1.1,212.27.40.240
O17 - HKLM\System\CS2\Services\Tcpip\..\{183507BD-8114-43E9-9D72-9A217BD7EFA7}: NameServer = 192.168.1.1,212.27.40.240
O17 - HKLM\System\CS3\Services\Tcpip\..\{183507BD-8114-43E9-9D72-9A217BD7EFA7}: NameServer = 192.168.1.1,212.27.40.240
O17 - HKLM\System\CS4\Services\Tcpip\..\{183507BD-8114-43E9-9D72-9A217BD7EFA7}: NameServer = 192.168.1.1,212.27.40.240
O17 - HKLM\System\CS5\Services\Tcpip\..\{183507BD-8114-43E9-9D72-9A217BD7EFA7}: NameServer = 192.168.1.1,212.27.40.240
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Créateur de rapports d'état Sophos Anti-Virus (SAVAdminService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
 
--
End of file - 7895 bytes

Reply

Marsh Posté le 06-07-2010 à 15:08:26   

Reply

Marsh Posté le 06-07-2010 à 19:30:11    

Je pense que la solution se trouve dans le lien que je t'ai passé...

Reply

Marsh Posté le 06-07-2010 à 22:31:58    

la commande sfc /scannow n'a révélé aucune anomalie
 
l'autre lien vers la commande tasklist révèle ceci:
 
Microsoft Windows XP [version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
 
C:\Documents and Settings\tintin34>tasklist /svc /fi "imagename eq svchost.exe"
 
Image Name                   PID Services
========================= ====== =============================================
svchost.exe                  796 DcomLaunch, TermService
svchost.exe                  864 RpcSs
svchost.exe                  928 AudioSrv, Browser, CryptSvc, Dhcp,
                                 EventSystem, FastUserSwitchingCompatibility,
                                 HidServ, Irmon, lanmanserver,
                                 lanmanworkstation, Netman, Nla, RasMan,
                                 Schedule, seclogon, SENS, SharedAccess,
                                 ShellHWDetection, srservice, TapiSrv,
                                 Themes, TrkWks, W32Time, winmgmt, wuauserv,
                                 WZCSVC
svchost.exe                 1268 Dnscache
svchost.exe                 1368 LmHosts, SSDPSRV
svchost.exe                  420 WebClient
 
à Mon avis ca donne pas plus de résultat probant???


Message édité par tintin34 le 06-07-2010 à 23:47:19
Reply

Marsh Posté le 06-07-2010 à 23:44:21    

voici un extrait de ce que propose l'outil process tree de Process Monitor
 
ldle(0)
   System(4)
        smss.exe(496)
              crss.exe(556)
              winlogon.exe(580)
                     services.exe(624)
                          svchost.exe(796)
                          svchost.exe(864)
                          svchost.exe(928)
                               rundll32.exe(1544)
 
....
 
 
Quant à Webclient je croyais l'avoir supprimé, je vois qu'il se lance :(


Message édité par tintin34 le 06-07-2010 à 23:48:52
Reply

Marsh Posté le 07-07-2010 à 11:15:45    

Tu peux aussi aller voir tous les services qui ne proviennent pas de Windows et qui se lancent grâce à msconfig (Executer et tape "msconfig" ). Dans l'onglet Services tu coches "Masquer tous les services Windows" et tu vois ceux qui n'appartiennent pas à Windows et avec ca tu peux chercher quel service pose problème en désactivant un service a la fois jusqu'à trouver le bon.
 
Lucas' :jap:

Reply

Marsh Posté le 07-07-2010 à 12:49:40    

En faisant ce que tu dis avec msconfig et en masquant les services Microsoft  
 
déjà pour commencer juste en consultant l'état existant on trouve deux catégories
 
1) des services arretés

  • FLEXnet Licensing Service
  • Windows CardSpace
  • OpenVPN Service
  • Remote Packet Capture Protocol v.0 (experimental)
  • Service Partage réseau du lecteur Windows Media


2) des services en cours d'exécution

  • Browser Defender Update Service
  • Java Quick Starter
  • Kerio Personnal Firewall
  • Créateur de rapports d'états Sophos Anti-Virus
  • Sophos Anti-Virus
  • PC Tools Auxiliary Service
  • PC Tools Security Service
  • Sophos AutoUpdate Service


Puis en les désactivant tous:
 
le rundll32 continue de se pointer (et ctfmon aussi, au passage, malgré le fix HijackThis et mes tentatives précédantes)
 
Toujours la même arborescence dans process monitor (les PID sont légèrement différents mais c'est normal)
 
voila ce qu'indique cet outil en terme de path, de command et de user

  • pour le svchost.exe parent

path: C:\WINDOWS\System32\svchost.exe
Command: C:\WINDOWS\System32\svchost.exe -k netsvcs
User: AUTORITE NT\SYSTEM
 

  • pour le rundll32.exe orphelin

path: C:\WINDOWS\system32\rundll32.exe
Command: C:\WINDOWS\system32\rundll32.exe  "C:\WINDOWS\system32\AUTOEXEC9.dll",TWAREZEEE
User: AUTORITE NT\SYSTEM
 
c'est plus le cas depuis le fix me semble t'il mais il est arrivé avant que le svchost parent lance un autre processus fils (à priori qui était légitime), avant le rundll32
 
Par ailleurs si tu regardes ce que m'a renvoyé la commande tasklist sur svchost que tu m'avais demandé un peu avant de faire
 
les services associés au svchost parent de PID 928 l'autre jour
aucun ne se retrouve dans la liste de msconfig et certains ont des noms plutot atypiques
 
Puis dans le dernier rapport de HijackThis, il y a d'autres lignes que je trouvais currieuses que tu m'as pas citées
 
par exemple une en O2

Reply

Marsh Posté le 07-07-2010 à 13:46:19    

Tu parles de la ligne O2 ou il y a no name et no file ?

Reply

Marsh Posté le 08-07-2010 à 00:39:13    

oui

Reply

Marsh Posté le 08-07-2010 à 17:58:35    

Ben apparemment d'autres personnes ont eu cette ligne et je pense que tu peux la supprimer.
Et pour le fait que les noms soient atypiques c'est parce que tu n'as pas du faire l'étape avec le regedit pour connaitre le nom apparent des services.


Message édité par Profil supprimé le 08-07-2010 à 18:01:26
Reply

Marsh Posté le 09-07-2010 à 11:17:48    

:hello:  
ok je vais la fixer
 
j'ai éteind, puis désactivé ou mis en manuel un certain nombres de services, hier dans services.msc et au redémarrage (plus rapide du reste) plus de rundll32, remplacé par wmiprvse et wmiapsrv (il me semble que depuis la recente ré-install ces processus étaient bien là et qu'ils ont du disparaitre au moment du virus et du Hack
 
j'ai relancé tasklist sur svchost et regardé dans regedit
 
les services encore là proposés par tasklist:
 
 
AudioSrv,  Audio Windows
Browser,  Explorateur d'oridinateur
CryptSvc,  Services de Cryptographie
Dnscache        Client DNS
DcomLaunch Lanceur deprocessus Serveur DCOM
EventSystem, Systeme d'évènements de COM+
HidServ,  HID Input Service
lanmanserver,  Serveur
lanmanworkstation,Station de travail
LmHosts, Assistance TCP/IP NetBIOS
Netman,  Connexions Réseau
Nla,   Network Location Awareness  
RasMan,  gestionnaire de connexions d'acces distant
RpcSs  Appel de procédure distante (RPC)  
SENS,   Notification d'évènement système
SharedAccess, Pare-Feu /partage de connexion Internet
ShellHWDetection, Detection matériel noyau
srservice,  Service de restauration système
SSDPSRV  Service de découvertes SSDP
TapiSrv, Téléphonie
Themes,  Thèmes
TrkWks,  Client de suivi de lien distribué
W32Time, Horloge Windows  
winmgmt,  Infrastructure de gestion Windows
wuauserv Mises à jour automatiques
 
 
et ceux qui n'y sont plus depuis la dernière fois
 
 
 
Dhcp,  Client DHCP  
FastUserSwitchingCompatibility, Compatibilité avec le changement rapide d'utilisateur
Irmon,   Moniteur Infrarouge
Schedule,  Planificateur de taches
seclogon,  connexion secondaire
TermService  Service terminal server
WZCSVC   configuration automatique sans fil
WebClient  webclient
 
Au passage j'ai trouvé dans regedit une clé pour le service ACC que j'ai supprimée (et qui mentionnait entre autre le fichier qu'on avait fixé l'autre jour dans Utilisateur/temp)
 
j'ai refait ensuite un petit scan avec l'antivirus, mais aussi avec AVG Spybot CCleaner ainsi qu'avec le kaspersky online, comme dès le début de ce post, aucune annomalie
 
Comment voir si il y a pas à droite à gauche encore quelques traces orphelines du virus?
 
Sinon que penser de ces lignes

tintin34 a écrit :


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank


 
y a t'il un moyen de juste charger une page blanche au lancement de IE et ne plus avoir ces tentatives de connexions vers microsoft, ou la recherche sur msn, qui ralentissent l'ouverture de IE et en plus pour ne pas me servir?
 
 
 

tintin34 a écrit :


O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000


 
elle sert à quoi cette ligne, surtout qu'il n'y a pas d'excel à priori dans les menus contextuels?
 
 

tintin34 a écrit :


O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe


 
sur un autre forum j'ai vu que quelqu'un s'interrogeait sur ces lignes et on lui répondait que si les deux fichiers sont présents on laisse tel quel sinon on les fixe, pour ma part ils sont bien là, mais sont ils vraiement bien interressants?
 
 

tintin34 a écrit :


O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe


 
et ce service il est arreté et je ne sais pas d'où il sort?
 
 
Sinon que penser du DOssier OEMCUST qui contient plein d'executables a ne pas mettre dans de mauvaises mains, il pourait tres bien venir de la préinstall ou d'une autre application que j'ai volontairement installée mais cela pourrait aussi provenir du virus ou du Hack
 
comment je pourrais faire pour le bloquer et voir si une de mes utilisations me le demande un jour ou jamais?
 
 
bon en tout cas IE reste encore instable de temps à autres avec des plantages mémoires à premiere vue
mais les choses s'arrengent  
 
merci Lucas'
 :jap:

Reply

Marsh Posté le 09-07-2010 à 19:28:04    

Pour les lignes en R0 et R1 j'ai longuement hésité car je ne savais pas si tu voulais de msn en page d'accueil ou pas... Sinon oui tu peux tout à fait supprimer la deuxième R0 si ce n'est déjà fait. Pour la O8 et les O9 tu peux les supprimer si tu veux mais elles ne sont pas néfastes... Et pour la O23 je pense que tu peux la supprimer. Pour les traces orphelines s'il y'en a elles doivent êtres dans le registre donc tu peux rechercher divers mots-clés comme "twarez" "autoexec9" et supprimer les clés trouvées en faisant attention à ne pas faire de bêtise, c'est si vite arrivé dans regedit...
 
Et de rien :)
Lucas' :jap:

Reply

Marsh Posté le 09-07-2010 à 22:28:37    

oui je sais c'est ce qui a provoqué la proche  ré-installation suite à une "si vite arrivée dans regedit" sur toute la partie réseau et ce malgré une sauvegarde avant qui n'a pas fonctionnée au moment de la restauration de la ruche
 
oui non je veux rien qu'une page blanche au démarrage (c'est du reste comme ca que sont paramétrés Netscape et firefox, je me sers des 3 pour valider des modifications sur site web ;) )  
 
Et R1 je peux aussi fixer?
 
la nouvelle mini- barre de recherche de IE7 que j'ai mis par defaut sur google au lieu des msn, microsoft and co. ne me sert pas si j'avais un moyen de la virer je le ferrais car ca tente des connexions tcp au démarrage pour rien
 
pour le ctfmon c'est plus complexe qu'une simple décoche mais j'ai réussi à l'empecher de redémarrer ;).
Malgré l'imposition qu'impose entre autre l'informatique sur l'anglais, j'arrive toujours pas à m'y faire et j'ai en plus une certaine aversion pour cette langue alors un truc innutile qui sert uniquement pour ceux qui ont besoin de gérer plusieurs langues dont certaines complexes, de plus recalcitrant aux outils classiques, c'est cool il part enfin à la poubelle avec son occupation de ressources systèmes avec :)
 
J'ai pas bien retenu les virus qui étaient là, il y avait un hack avec porte dérobée, vundo plus un autre dont je me souviens qu'il générait à droite à gauche des executables avec des lettres et des chiffres aléatoires que ce soit dans systeme32 ou dans documents and settings, difficile donc de remettre la main sur des fichiers sains mais innutils car propre aux virus, ce que je me rappelle avoir lu c'est que IE pouvait etre atteind, de meme que le FW ou son antivirus entre autre ou des process systemes
 
 
 
et depuis je trouve relativement instable IE (donc c'est pour ca que je me demandais si il y a pas du résidus, sans trop savoir si je peux tranquille réinstallé IE7 avec ces patch qui reviendront d'eux meme)
 
Serait il judicieux, ou innutile de faire une ré-install de ces applications?


Message édité par tintin34 le 09-07-2010 à 23:35:41
Reply

Marsh Posté le 11-07-2010 à 10:56:14    

Pour R1 tu peux supprimer et je n'y avais pas pensé mais c'est vrai qu'une réinstallation peut faire du bien (j'ai trouvé ce lien pour IE).
 
Lucas' :jap:

Reply

Marsh Posté le 12-07-2010 à 23:29:18    

Salut tintin34,
 
Impressionnant ce thread  :ouch:, y'a à boire et à manger .... je te propose mon aide si tu le souhaites, on va essayer d'y voir plus claire.
 
 
Utilise ce logiciel de diagnostic :
 
    • Télécharge ZHPDiag
    • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
La charte du forum interdisant de poster des rapports directement sur le forum d'entraide, n'oublies pas d'héberger le rapport sur ci-joint que je puisse le lire.
 
Etant en vacances loin de chez moi et ayant besoin de la connexion d'amis, je ne te garantie pas un suivi régulier.
 
A bientôt je l'espère !

Reply

Marsh Posté le 13-07-2010 à 14:55:56    

merci malwarebleach
 
voila le lien pour le rapport dans lequel je vois qu'il y reste des traces de choses que j'ai voulues erradiquer ou des programmes que j'ai désinstallés
 
http://www.cijoint.fr/cjlink.php?f [...] 0LR4rS.txt
 
par exemple ce fichier qui était lié à un des virus: byslyzqtkp.job

Reply

Marsh Posté le 13-07-2010 à 20:43:18    

malwarebleach, merci de vouloir aussi m'aider
 
j'ai fait ce que tu as dit et placé le rapport mais je suis pas certain qu'il y reste une éternitée, si tu veux je peux te le poster en mail Privé ou autre solution
 
Cela dit je vois bien qu'il y a plus de choses que dans celui de HijackThis et en particulier sur un certain nombres de lignes concernant des désinstallations ou des suppréssions qui apparraissent encore et en particulier sur un job lié à un ancien virus
 
Donc il doit bien rester des traces
 
les outils de Lucas' ont pas permi de réparer IE ni de le réinstaller, cela provoque erreurs sur erreurs (quelques erreurs dont une liée au regserv32 que tu verras lancé dans le rapport et que j'avais ps fermé avant de lancer ton outil)
 
a+
 
Encore merci à tous ceux qui veulent venir m'aider
:jap:


Message édité par tintin34 le 13-07-2010 à 20:46:49
Reply

Marsh Posté le 13-07-2010 à 21:07:37    

Salut tintin,
 
1- En termes d'infection, peu de problème, quelques traces que tu vas fixer à l'aide de ZHPFix, l'icône est présente sur ton bureau :
 

  • Lance ZHPFix en fonction de ton système d'exploitation
  • Copie toutes les lignes en gras ci-dessous:


[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified  
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\byslyzqtkp.job
O69 - SBI: SearchScopes ${searchCLSID}- (@ieframe.dll,-12512) - http://search.live.com/results.asp [...] r:source?}
 

 

  • Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)

=>tu ne dois voir que les lignes précédemment copiées

  • valide par OK
  • Clique sur « Tous », puis sur « Nettoyer »
  • héberge ensuite la totalité du  rapport obtenu sur cijoint.fr et poste moi le lien dans ta prochaine réponse.


2-  Ensuite mets à jour malwarebytes et lances un examen en mode rapide, envoies moi aussi le lien ci-joint de ce rapport.
 
3- Pour IE, tente de passer à la version 8 en passant par ce lien de téléchargement => http://www.microsoft.com/france/wi [...] r-ie8.aspx
 
4- Pour les traces des programmes qui sont mal désinstallés, donnes moi une liste stp
 
5- je te conseille de désinstaller spybot et spyware doctor, malwarebytes et largement suffisant.
Tu as aussi des traces de AVG 9, pour t'en débarrasser, utilises ce programmes => http://download.avg.com/filedir/ut [...] emover.exe
 
6- une fois toutes ces opérationes effectuées, fais un nouveau rapport avec ZHPDiag et envoies moi le lien ci-joint stp.
 
 
J'attends donc :
le rapport de ZHPFix
le rapport de malwarebytes
la liste des traces de programmes à supprimer
le nouveau rapport ZHPDiag
 

Reply

Marsh Posté le 15-07-2010 à 09:57:38    

Salut malwarebleach
 
J'ai fait 1)
 
voila le rapport du fix: http://www.cijoint.fr/cjlink.php?f [...] Er2FrG.txt
 
J'ai essayé de faire 2) mais malwarebytes pour une raison inconnue veut plus se lancer
 
voilà le message d'erreur: http://www.cijoint.fr/cjlink.php?f [...] x8NNda.jpg
 
Pour 3) je préférais rester en IE7, IE8, risque de me consommer d'avantage de ressources
Par contre, il me semble que lors d'une précédante install j'avais eu un soucis - Je vérifie qu'il s'agit bien du même mais je crois qu'une fois en SP3 IE7, ne peut plus s'installer à oins de suivre une procédure particulière que j'avais notée à l'époque, donc je vérifie et je tiens au courrant si je m'en suis sorti ou non
 
Pour 4)
 
je t'ai mis dans un même fichier les produits supprimés dont je vois des traces, celles qui m'interpellent ne sachant pas trop d'où elles sortent et donc si elles sont ou non légitimes et des commentaires sur un extrait du log de l'autre jour
 
http://www.cijoint.fr/cjlink.php?f [...] e1txyk.txt
 
Pour le 5) je fais le necessaire aujourd'hui
 
Pour le 6) je pense qu'il vaut mieux attendre que j'ai pu faire 5 et 2 si on sait réparrer
 
a+

Reply

Marsh Posté le 16-07-2010 à 01:02:13    

Pour Malwarebytes j'ai désinstallé et réinstallé puis mis à jour
 
voila le rapport:
http://www.cijoint.fr/cjlink.php?f [...] JU13mh.txt
 
Spybot et spyware doctor ont été désinstallés
pour AVG j'ai utilisé ton outil qui semble pas avoir tout désinstallé
 
Pour IE7 c'est bien ce que je me souvenais, il y a un problème pour l'installer après être passé en SP3, j'ai retrouvé mes notes il faut dévérouiller une clé (je ferai ca apres)
 
voila le dernier rapport ZHPDiag après toutes les manipulations evoquées:
http://www.cijoint.fr/cjlink.php?f [...] JfHm4l.txt
 
A+ :hello:

Reply

Marsh Posté le 16-07-2010 à 10:53:31    

j'ai trouvé aussi une trace de ce fichier catchme.sys
 
où la clé de registre pointrait sur un dossier temporaire de l'utilisateur
dont j'avais effacé la totalité du contenu corrompu en de multiples fichiers, suite à l'infection
 
voila le nom de la clé
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme
 
il y a une sous clé enum
 
sinon il y a 4 valeurs en plus de celle (par defaut)
 
ErroControl REG_DWORD 0x00000001(1)
Group        REG_EXPEND_SZ Base
ImagePath  REG_EXPEND_SZ \\?\\C:\\DOCUME~1\\Tintin34\\LOCALS~1\\Temp\\catchme.sys
Start         REG_DWORD 0x00000003 (3)
Type         REG_DWORD 0x00000001 (1)
 
Pour IE7 qui refuse de s'installer ce n'est pas le même soucis que celui que je connaissais, en fait au moment de décompresser l'archive de l'install (récupérée sur le site microsoft) une erreure se produit en précisant que le fichier mshtml.dll est endommagé
 
si il s'agit d'un fichier système ca peut indiquer que des traces du Virus sont encore présentes et les plantages que je rencontre depuis un certain temps sur IE et Word


Message édité par tintin34 le 16-07-2010 à 11:10:16
Reply

Marsh Posté le 22-07-2010 à 22:33:14    

Pour malwarebleach
 
je sais que tu profites bien de tes vacances
 
sur ci-joint ils gardent que 48h je crois les fichiers que tu m'as demandés, je sais pas si tu as pu les lire depuis si c'est pas le cas dis moi je tacherai de les remettre
 
Pour IE ca a pas ete simple mais je crois que j'ai reussi finalement a trouver une solution pour tout detruire et le remettre
 
A+
en core bonnes vacances
:hello:

Reply

Marsh Posté le 06-08-2010 à 13:21:57    

:hello:   de retour de vacances, malwarebleach?    :sol:


Message édité par tintin34 le 06-08-2010 à 13:23:03
Reply

Marsh Posté le 20-08-2010 à 10:51:38    

toujours pas rentré de vacances, malwarebleach?

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed