"nettoyage" pc !

Le
claudinet
Bonjour a tous

merci pour le temps passé a m aider.

J en profite pour vous remercier de vos precedentes interventions.

Voici: je souhaite "nettoyer" mon pc apres une "mechante" attaque virale
.

Je decouvre ce qui suit avec : rootkit reveal: qu'en penser vous ?

--


HKLMSECURITYPolicySecretsSAC* 27/12/2003 13:37 0 bytes Key name contains
embedded nulls (*)
HKLMSECURITYPolicySecretsSAI* 27/12/2003 13:37 0 bytes Key name contains
embedded nulls (*)
HKLMSOFTWAREClassesInstallerProducts32418F9EE1126B64A90E8365B85CFCF6ProductName
17/03/2005 11:10 58 bytes Data mismatch between Windows API and raw hive
data.
HKLMSOFTWAREMicrosoftCryptographyRNGSeed 19/01/2007 9:15 80 bytes Data
mismatch between Windows API and raw hive data.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Products637957C374381304BBC97DA5FD6E1B10UsageAgent
19/01/2007 9:09 4 bytes Data mismatch between Windows API and raw hive data.
HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionProfileListS-1-5-20RefCount 19/01/2007 9:15 4 bytes Data
mismatch between Windows API and raw hive data.
HKLMSYSTEMControlSet001ControlMotorolaPSTUSBDriverVersionNumber
25/10/2005 7:46 3 bytes Data mismatch between Windows API and raw hive data.
HKLMSYSTEMControlSet003ControlMotorolaPSTUSBDriverVersionNumber
25/10/2005 7:46 3 bytes Data mismatch between Windows API and raw hive data.
HKLMSYSTEMControlSet004ControlMotorolaPSTUSBDriverVersionNumber
25/10/2005 7:46 3 bytes Data mismatch between Windows API and raw hive data.
HKLMSYSTEMControlSet004Servicesa347scsiConfig$winnt32$_test 3/11/2005
13:40 0 bytes Hidden from Windows API.
HKLMSYSTEMControlSet004Servicesa347scsiConfigjdgg40 17/03/2005 11:24 0
bytes Hidden from Windows API.
C:WINDOWSassemblyGAC_32System.EnterpriseServices2.0.0.0__b03f5f7f11d50a3aSystem.EnterpriseServices.dll
11/11/2006 9:10 252.00 KB Visible in Windows API, but not in MFT or
directory index.
C:WINDOWSassemblyGAC_32System.EnterpriseServices2.0.0.0__b03f5f7f11d50a3aSystem.EnterpriseServices.Wrapper.dll
11/11/2006 9:10 111.50 KB Visible in Windows API, but not in MFT or
directory index.


--

et aussi ceci apres passage de "kapersky on line":

--

KASPERSKY ON-LINE SCANNER REPORTKASPERSKY ON-LINE SCANNER REPORT
Monday, January 15, 2007 2:20:00 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service
Pack 2
(Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 15/01/2007
Enregistrements dans la base antivirus Kaspersky : 244033


Paramètres d'analyse
Analyser avec la base antivirus suivantestandard
Analyser les archivesvrai
Analyser les bases de messagerievrai

Cible de l'analyseZones critiques
C:WINDOWS
C:DOCUME~1SCHNEI~1LOCALS~1Temp

Statistiques de l'analyse
Total d'objets analysés35108
Nombre de virus trouvés0
Nombre d'objets infectés0 / 0
Nombre d'objets suspects0
Durée de l'analyse00:25:52

Nom de l'objet infectéNom du virusDernière action
C:WINDOWS$NtUninstallKB833330$Blastclnblastcln.exe L'objet est
verrouillé ignoré

C:WINDOWS$_hpcst$.hpc L'objet est verrouillé ignoré

C:WINDOWSDebugPASSWD.LOG L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam6620.set L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam6620p.set L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam6630.set L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam6630p.set L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam7610.set L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam7610p.set L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam7620.set L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam7620ae.set L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam7620aep.set L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam7620p.set L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam76BE.set L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam8600.set L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam8600p.set L'objet est verrouillé ignoré

C:WINDOWSSchedLgU.Txt L'objet est verrouillé ignoré

C:WINDOWSSoftwareDistributionEventCache{9124AB81-BEF7-41BB-B3F7-A314B3793113}.bin
L'objet est verrouillé ignoré

C:WINDOWSSoftwareDistributionReportingEvents.log L'objet est
verrouillé
ignoré

C:WINDOWSSti_Trace.log L'objet est verrouillé ignoré

C:WINDOWSsystem32CatRoot2edb.log L'objet est verrouillé ignoré

C:WINDOWSsystem32CatRoot2tmp.edb L'objet est verrouillé ignoré

C:WINDOWSsystem32configAppEvent.Evt L'objet est verrouillé ignoré

C:WINDOWSsystem32configdefault L'objet est verrouillé ignoré

C:WINDOWSsystem32configdefault.LOG L'objet est verrouillé ignoré

C:WINDOWSsystem32configInternet.evt L'objet est verrouillé ignoré

C:WINDOWSsystem32configSAM L'objet est verrouillé ignoré

C:WINDOWSsystem32configSAM.LOG L'objet est verrouillé ignoré

C:WINDOWSsystem32configSecEvent.Evt L'objet est verrouillé ignoré

C:WINDOWSsystem32configSECURITY L'objet est verrouillé ignoré

C:WINDOWSsystem32configSECURITY.LOG L'objet est verrouillé ignoré

C:WINDOWSsystem32configsoftware L'objet est verrouillé ignoré

C:WINDOWSsystem32configsoftware.LOG L'objet est verrouillé ignoré

C:WINDOWSsystem32configSysEvent.Evt L'objet est verrouillé ignoré

C:WINDOWSsystem32configsystem L'objet est verrouillé ignoré

C:WINDOWSsystem32configsystem.LOG L'objet est verrouillé ignoré

C:WINDOWSsystem32driversatapi.sys L'objet est verrouillé ignoré

C:WINDOWSsystem32h323log.txt L'objet est verrouillé ignoré

C:WINDOWSsystem32wbemRepositoryFSINDEX.BTR L'objet est
verrouillé
ignoré

C:WINDOWSsystem32wbemRepositoryFSINDEX.MAP L'objet est
verrouillé
ignoré

C:WINDOWSsystem32wbemRepositoryFSMAPPING.VER L'objet est
verrouillé
ignoré

C:WINDOWSsystem32wbemRepositoryFSMAPPING1.MAP L'objet est
verrouillé
ignoré

C:WINDOWSsystem32wbemRepositoryFSMAPPING2.MAP L'objet est
verrouillé
ignoré

C:WINDOWSsystem32wbemRepositoryFSOBJECTS.DATA L'objet est
verrouillé
ignoré

C:WINDOWSsystem32wbemRepositoryFSOBJECTS.MAP L'objet est
verrouillé
ignoré

C:WINDOWSwiadebug.log L'objet est verrouillé ignoré

C:WINDOWSwiaservc.log L'objet est verrouillé ignoré

C:WINDOWSWindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.


merci d'avance

claudinet
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Claude LaFrenière
Le #1047016
Bonjour *claudinet* :


Voici: je souhaite "nettoyer" mon pc apres une "mechante" attaque virale
....

Je decouvre ce qui suit avec : rootkit reveal: qu'en penser vous ?


Rien.


et aussi ceci apres passage de "kapersky on line":

KASPERSKY ON-LINE SCANNER REPORTKASPERSKY ON-LINE SCANNER REPORT

Nombre de virus trouvés0
Nombre d'objets infectés0 / 0
Nombre d'objets suspects0


Pas mal....

Durée de l'analyse00:25:52

Nom de l'objet infectéNom du virusDernière action
C:WINDOWS$NtUninstallKB833330$Blastclnblastcln.exe L'objet est
verrouillé ignoré

C:WINDOWS$_hpcst$.hpc L'objet est verrouillé ignoré

C:WINDOWSDebugPASSWD.LOG L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam6620.set L'objet est verrouillé ignoré


Les fichiers du prefecth sont verrouillés parce qu'en cours d'utilisation.
Normal...


Fait un scan avec HijackThis, ne coche rien et envoi le résultat ici.

Télécharge HJT depuis le site de l'auteur:
[HijackThis pas Starter...]
http://www.spywareinfo.com/~merijn/

Décompresse le fichier (clic droit, décompresser...)
Exécute le programme et choisi "scan and save log"
Sélectionne ce log qui apparaît dans le bloc-notes
et
fait un copié-collé de celui-ci dans ton prochain message

A+
:)



--
Claude LaFrenière

claudinet
Le #1046821
Merci pour l interet..

voici le "scan de hijackthis":

merci d'avance et j en profite pour vous feliciter du super job que vous
faite (ce n est pas de la flagornerie)

claude
--------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 17:37:55, on 19/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesWindows DefenderMsMpEng.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesTOSHIBAConfigFreeCFSvcs.exe
C:WINDOWSSystem32GEARSec.exe
C:Program FilesCAeTrust AntivirusInoRpc.exe
C:Program FilesCAeTrust AntivirusInoRT.exe
C:Program FilesCAeTrust AntivirusInoTask.exe
C:Program FilesCASharedComponentsCA_LICLogWatNT.exe
C:Program FilesSymantecNorton GhostAgentPQV2iSvc.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32svchost.exe
C:Program FilesLaunch ManagerLaunchAp.exe
C:Program FilesLaunch ManagerWbutton.exe
C:WINDOWSsystem32PRISMSTA.EXE
C:Program FilesLaunch ManagerHotkeyApp.exe
C:Program FilesSynapticsSynTPSynTPLpr.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:WINDOWSSOUNDMAN.EXE
C:PROGRA~1CAETRUST~1realmon.exe
C:Program FilesSymantecNorton GhostAgentGhostTray.exe
C:Program FilesWindows DefenderMSASCui.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE
C:Program FilesMicrosoft EncartaCollection Microsoft Encarta
2006EDICT.EXE
C:Program FilesAtomic Alarm ClockAtomicAlarmClock.exe
C:Program FilesNetAppelNetAppel.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesOutlook ExpressMsimn.exe
C:WINDOWSsystem32dwwin.exe
C:Program FilesOE-QuoteFixoequotefix.exe
C:Documents and SettingsSchneiderBureauRESERVE2HijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.be/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkIdi157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkIdT896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://go.microsoft.com/fwlink/?LinkIdT896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://go.microsoft.com/fwlink/?LinkIdi157
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page O2 - BHO: Aide pour le lien d'Adobe PDF Reader -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers
communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) -
{22BF413B-C6D2-4d91-82A9-A0F997BA588C} -
C:PROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -
C:Program FilesBitComettoolsBitCometBHO.dll
O3 - Toolbar: WebFerret - {A58686ED-FC46-44C3-95C6-4A812AB776F1} -
C:Program FilesFerretSoftWebFerretFerretBand.dll
O4 - HKLM..Run: [LaunchAp] C:Program FilesLaunch ManagerLaunchAp.exe
O4 - HKLM..Run: [Wbutton] C:Program FilesLaunch ManagerWbutton.exe
O4 - HKLM..Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM..Run: [HotkeyApp] C:Program FilesLaunch ManagerHotkeyApp.exe
O4 - HKLM..Run: [SynTPLpr] C:Program FilesSynapticsSynTPSynTPLpr.exe
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [CtrlVol] C:Program FilesLaunch ManagerCtrlVol.exe
O4 - HKLM..Run: [Realtime Monitor] C:PROGRA~1CAETRUST~1realmon.exe -s
O4 - HKLM..Run: [Norton Ghost 9.0] C:Program FilesSymantecNorton
GhostAgentGhostTray.exe
O4 - HKLM..Run: [Windows Defender] "C:Program FilesWindows
DefenderMSASCui.exe" -hide
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft
ActiveSyncWCESCOMM.EXE"
O4 - HKCU..Run: [E06FDXRC_1695484] "C:Program FilesMicrosoft
EncartaCollection Microsoft Encarta 2006EDICT.EXE" -m
O4 - HKCU..Run: [SkinClock] C:Program FilesAtomic Alarm
ClockAtomicAlarmClock.exe
O4 - Startup: Adobe Gamma.lnk = C:Program FilesFichiers
communsAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:Program
FilesAdobeReader 8.0ReaderAdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program
FilesAdobeReader 8.0Readerreader_sl.exe
O8 - Extra context menu item: Download all links using BitComet -
res://C:Program FilesBitCometBitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet -
res://C:Program FilesBitCometBitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet -
res://C:Program FilesBitCometBitComet.exe/AddLink.htm
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} -
C:WINDOWSSystem32shdocvw.dll
O9 - Extra 'Tools' menuitem: Capturer ce web -
{47055D63-DFCD-11d3-8406-00500445A7D0} - C:WINDOWSSystem32shdocvw.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} -
C:Program FilesPaltalk MessengerPaltalk.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} -
C:PROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O16 - DPF: Dexia Netbanking -
http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O16 - DPF: Yahoo! Chat -
http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -
C:Program FilesYahoo!Commonyinsthelper.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) -
http://wisup.net/_plateforme/Upload/Aurigma/AurigmaActiveX/ImageUploader4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) -
http://chat.msn.com/bin/msnchat45.cab
O17 -
HKLMSystemCCSServicesTcpip..{6B1114E0-B724-48A7-B060-33E241A4DC9B}:
NameServer = 195.238.2.21 195.238.2.22
O17 -
HKLMSystemCCSServicesTcpip..{B4116DCF-4968-4DF7-BF71-6A0851700910}:
NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -
C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:PROGRA~1FICHIE~1SkypeSKYPE4~1.DLL
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - C:WINDOWSSYSTEM32WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -
C:WINDOWSsystem32WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:Program FilesFichiers
communsAdobe Systems SharedServiceAdobelmsvc.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates -
C:Program FilesCASharedComponentsCA_LIClic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates -
C:Program FilesCASharedComponentsCA_LIClic98rmtd.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION -
C:Program FilesTOSHIBAConfigFreeCFSvcs.exe
O23 - Service: GEARSecurity - GEAR Software -
C:WINDOWSSystem32GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program
FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:Program FilesFichiers
communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates
International, Inc. - C:Program FilesCAeTrust AntivirusInoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer
Associates International, Inc. - C:Program FilesCAeTrust
AntivirusInoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates
International, Inc. - C:Program FilesCAeTrust AntivirusInoTask.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:Program
FilesCASharedComponentsCA_LICLogWatNT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:Program
FilesFichiers communsMacromedia SharedServiceMacromedia Licensing.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:Program
FilesSymantecNorton GhostAgentPQV2iSvc.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:Program
FilesFichiers communsMicrosoft SharedSource EngineOSE.EXE (file missing)
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:Program
FilesRaxcoPerfectDiskPDSched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 -
C:PROGRA~1COMMON~1X10Commonx10nets.exe

------------------------------------------------------------





Claude LaFrenière wrote:
Bonjour *claudinet* :


Voici: je souhaite "nettoyer" mon pc apres une "mechante" attaque
virale ....

Je decouvre ce qui suit avec : rootkit reveal: qu'en penser vous ?


Rien.


et aussi ceci apres passage de "kapersky on line":

KASPERSKY ON-LINE SCANNER REPORTKASPERSKY ON-LINE SCANNER REPORT

Nombre de virus trouvés0
Nombre d'objets infectés0 / 0
Nombre d'objets suspects0


Pas mal....

Durée de l'analyse00:25:52

Nom de l'objet infectéNom du virusDernière action
C:WINDOWS$NtUninstallKB833330$Blastclnblastcln.exe L'objet
est verrouillé ignoré

C:WINDOWS$_hpcst$.hpc L'objet est verrouillé ignoré

C:WINDOWSDebugPASSWD.LOG L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam6620.set L'objet est verrouillé
ignoré


Les fichiers du prefecth sont verrouillés parce qu'en cours
d'utilisation. Normal...


Fait un scan avec HijackThis, ne coche rien et envoi le résultat ici.

Télécharge HJT depuis le site de l'auteur:
[HijackThis pas Starter...]
http://www.spywareinfo.com/~merijn/

Décompresse le fichier (clic droit, décompresser...)
Exécute le programme et choisi "scan and save log"
Sélectionne ce log qui apparaît dans le bloc-notes
et
fait un copié-collé de celui-ci dans ton prochain message

A+
:)



claudinet
Le #1046820
re..

encore merci pour l interet et j en profite pour vous feliciter du super job
que vous faite (ce n est pas de la flagornerie)

amicalement

claude

ps : outlook express s'etant "planté" ceci est peut etre une redite.


------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 17:37:55, on 19/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesWindows DefenderMsMpEng.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesTOSHIBAConfigFreeCFSvcs.exe
C:WINDOWSSystem32GEARSec.exe
C:Program FilesCAeTrust AntivirusInoRpc.exe
C:Program FilesCAeTrust AntivirusInoRT.exe
C:Program FilesCAeTrust AntivirusInoTask.exe
C:Program FilesCASharedComponentsCA_LICLogWatNT.exe
C:Program FilesSymantecNorton GhostAgentPQV2iSvc.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32svchost.exe
C:Program FilesLaunch ManagerLaunchAp.exe
C:Program FilesLaunch ManagerWbutton.exe
C:WINDOWSsystem32PRISMSTA.EXE
C:Program FilesLaunch ManagerHotkeyApp.exe
C:Program FilesSynapticsSynTPSynTPLpr.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:WINDOWSSOUNDMAN.EXE
C:PROGRA~1CAETRUST~1realmon.exe
C:Program FilesSymantecNorton GhostAgentGhostTray.exe
C:Program FilesWindows DefenderMSASCui.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE
C:Program FilesMicrosoft EncartaCollection Microsoft Encarta
2006EDICT.EXE
C:Program FilesAtomic Alarm ClockAtomicAlarmClock.exe
C:Program FilesNetAppelNetAppel.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesOutlook ExpressMsimn.exe
C:WINDOWSsystem32dwwin.exe
C:Program FilesOE-QuoteFixoequotefix.exe
C:Documents and SettingsSchneiderBureauRESERVE2HijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.be/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkIdi157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkIdT896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://go.microsoft.com/fwlink/?LinkIdT896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://go.microsoft.com/fwlink/?LinkIdi157
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page O2 - BHO: Aide pour le lien d'Adobe PDF Reader -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers
communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) -
{22BF413B-C6D2-4d91-82A9-A0F997BA588C} -
C:PROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -
C:Program FilesBitComettoolsBitCometBHO.dll
O3 - Toolbar: WebFerret - {A58686ED-FC46-44C3-95C6-4A812AB776F1} -
C:Program FilesFerretSoftWebFerretFerretBand.dll
O4 - HKLM..Run: [LaunchAp] C:Program FilesLaunch ManagerLaunchAp.exe
O4 - HKLM..Run: [Wbutton] C:Program FilesLaunch ManagerWbutton.exe
O4 - HKLM..Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM..Run: [HotkeyApp] C:Program FilesLaunch ManagerHotkeyApp.exe
O4 - HKLM..Run: [SynTPLpr] C:Program FilesSynapticsSynTPSynTPLpr.exe
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [CtrlVol] C:Program FilesLaunch ManagerCtrlVol.exe
O4 - HKLM..Run: [Realtime Monitor] C:PROGRA~1CAETRUST~1realmon.exe -s
O4 - HKLM..Run: [Norton Ghost 9.0] C:Program FilesSymantecNorton
GhostAgentGhostTray.exe
O4 - HKLM..Run: [Windows Defender] "C:Program FilesWindows
DefenderMSASCui.exe" -hide
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft
ActiveSyncWCESCOMM.EXE"
O4 - HKCU..Run: [E06FDXRC_1695484] "C:Program FilesMicrosoft
EncartaCollection Microsoft Encarta 2006EDICT.EXE" -m
O4 - HKCU..Run: [SkinClock] C:Program FilesAtomic Alarm
ClockAtomicAlarmClock.exe
O4 - Startup: Adobe Gamma.lnk = C:Program FilesFichiers
communsAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:Program
FilesAdobeReader 8.0ReaderAdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program
FilesAdobeReader 8.0Readerreader_sl.exe
O8 - Extra context menu item: Download all links using BitComet -
res://C:Program FilesBitCometBitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet -
res://C:Program FilesBitCometBitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet -
res://C:Program FilesBitCometBitComet.exe/AddLink.htm
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} -
C:WINDOWSSystem32shdocvw.dll
O9 - Extra 'Tools' menuitem: Capturer ce web -
{47055D63-DFCD-11d3-8406-00500445A7D0} - C:WINDOWSSystem32shdocvw.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} -
C:Program FilesPaltalk MessengerPaltalk.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} -
C:PROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O16 - DPF: Dexia Netbanking -
http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O16 - DPF: Yahoo! Chat -
http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -
C:Program FilesYahoo!Commonyinsthelper.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) -
http://wisup.net/_plateforme/Upload/Aurigma/AurigmaActiveX/ImageUploader4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) -
http://chat.msn.com/bin/msnchat45.cab
O17 -
HKLMSystemCCSServicesTcpip..{6B1114E0-B724-48A7-B060-33E241A4DC9B}:
NameServer = 195.238.2.21 195.238.2.22
O17 -
HKLMSystemCCSServicesTcpip..{B4116DCF-4968-4DF7-BF71-6A0851700910}:
NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -
C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:PROGRA~1FICHIE~1SkypeSKYPE4~1.DLL
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - C:WINDOWSSYSTEM32WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -
C:WINDOWSsystem32WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:Program FilesFichiers
communsAdobe Systems SharedServiceAdobelmsvc.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates -
C:Program FilesCASharedComponentsCA_LIClic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates -
C:Program FilesCASharedComponentsCA_LIClic98rmtd.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION -
C:Program FilesTOSHIBAConfigFreeCFSvcs.exe
O23 - Service: GEARSecurity - GEAR Software -
C:WINDOWSSystem32GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program
FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:Program FilesFichiers
communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates
International, Inc. - C:Program FilesCAeTrust AntivirusInoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer
Associates International, Inc. - C:Program FilesCAeTrust
AntivirusInoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates
International, Inc. - C:Program FilesCAeTrust AntivirusInoTask.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:Program
FilesCASharedComponentsCA_LICLogWatNT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:Program
FilesFichiers communsMacromedia SharedServiceMacromedia Licensing.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:Program
FilesSymantecNorton GhostAgentPQV2iSvc.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:Program
FilesFichiers communsMicrosoft SharedSource EngineOSE.EXE (file missing)
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:Program
FilesRaxcoPerfectDiskPDSched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 -
C:PROGRA~1COMMON~1X10Commonx10nets.exe


----------------------------------------------------------------


























Claude LaFrenière wrote:
Bonjour *claudinet* :


Voici: je souhaite "nettoyer" mon pc apres une "mechante" attaque
virale ....

Je decouvre ce qui suit avec : rootkit reveal: qu'en penser vous ?


Rien.


et aussi ceci apres passage de "kapersky on line":

KASPERSKY ON-LINE SCANNER REPORTKASPERSKY ON-LINE SCANNER REPORT

Nombre de virus trouvés0
Nombre d'objets infectés0 / 0
Nombre d'objets suspects0


Pas mal....

Durée de l'analyse00:25:52

Nom de l'objet infectéNom du virusDernière action
C:WINDOWS$NtUninstallKB833330$Blastclnblastcln.exe L'objet
est verrouillé ignoré

C:WINDOWS$_hpcst$.hpc L'objet est verrouillé ignoré

C:WINDOWSDebugPASSWD.LOG L'objet est verrouillé ignoré

C:WINDOWSPrefetchOvtCam6620.set L'objet est verrouillé
ignoré


Les fichiers du prefecth sont verrouillés parce qu'en cours
d'utilisation. Normal...


Fait un scan avec HijackThis, ne coche rien et envoi le résultat ici.

Télécharge HJT depuis le site de l'auteur:
[HijackThis pas Starter...]
http://www.spywareinfo.com/~merijn/

Décompresse le fichier (clic droit, décompresser...)
Exécute le programme et choisi "scan and save log"
Sélectionne ce log qui apparaît dans le bloc-notes
et
fait un copié-collé de celui-ci dans ton prochain message

A+
:)



Claude LaFrenière
Le #1300960
Bonjour *claudinet* :

Merci pour l interet..

voici le "scan de hijackthis":

merci d'avance et j en profite pour vous feliciter du super job que vous
faite (ce n est pas de la flagornerie)


N'exagérons rien ! ;)

Pas de "malwares" mais trop de machins lancés au démarrage.

*[MàJ W xp : OK]*

Logfile of HijackThis v1.99.1
Scan saved at 17:37:55, on 19/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)


*[Processus]*

Le meilleur outil pour contrôler les processus est Process Explorer de Sysinternals:
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesWindows DefenderMsMpEng.exe
C:Program FilesTOSHIBAConfigFreeCFSvcs.exe
C:WINDOWSSystem32GEARSec.exe
C:Program FilesCAeTrust AntivirusInoRpc.exe
C:Program FilesCAeTrust AntivirusInoRT.exe
C:Program FilesCAeTrust AntivirusInoTask.exe
C:Program FilesCASharedComponentsCA_LICLogWatNT.exe
C:Program FilesSymantecNorton GhostAgentPQV2iSvc.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32PRISMSTA.EXE
C:Program FilesLaunch ManagerLaunchAp.exe
C:Program FilesLaunch ManagerWbutton.exe
C:Program FilesLaunch ManagerHotkeyApp.exe
C:Program FilesSynapticsSynTPSynTPLpr.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:WINDOWSSOUNDMAN.EXE
C:PROGRA~1CAETRUST~1realmon.exe
C:Program FilesSymantecNorton GhostAgentGhostTray.exe
C:Program FilesWindows DefenderMSASCui.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE
C:Program FilesMicrosoft EncartaCollection Microsoft Encarta 2006EDICT.EXE
C:Program FilesAtomic Alarm ClockAtomicAlarmClock.exe
C:Program FilesNetAppelNetAppel.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:Program FilesOutlook ExpressMsimn.exe
C:WINDOWSsystem32dwwin.exe
C:Program FilesOE-QuoteFixoequotefix.exe
C:Documents and SettingsSchneiderBureauRESERVE2HijackThis.exe


*[Démarrage]*

Quelques outils pour le démarrage:
Starter de Code Stuff:
http://codestuff.mirrorz.com/

Pour certains cas spéciaux
{désactivation de certains éléments dans des
zones non-contrôlées par les autres outils}
avec

Autoruns de Sysinternals
http://www.sysinternals.com/Utilities/Autoruns.html

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.be/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkIdi157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkIdT896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkIdT896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkIdi157
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:PROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:Program FilesBitComettoolsBitCometBHO.dll

*Suspect*
Réf.: http://www.castlecops.com/tk879-FerretBand_dll.html
O3 - Toolbar: WebFerret - {A58686ED-FC46-44C3-95C6-4A812AB776F1} - C:Program FilesFerretSoftWebFerretFerretBand.dll


Trop de machins lancés au démarrage...

Acer Launch Manager
Désactive pour voir ce que ça donne ou pas...
O4 - HKLM..Run: [LaunchAp] C:Program FilesLaunch ManagerLaunchAp.exe

Acer Launch Manager
Désactive pour voir ce que ça donne ou pas...
O4 - HKLM..Run: [Wbutton] C:Program FilesLaunch ManagerWbutton.exe

Intersil silicon
Désactive pour voir ce que ça donne ou pas...
O4 - HKLM..Run: [PRISMSTA.EXE] PRISMSTA.EXE START

Acer Launch Manager
Désactive pour voir ce que ça donne ou pas...
O4 - HKLM..Run: [HotkeyApp] C:Program FilesLaunch ManagerHotkeyApp.exe

OK
O4 - HKLM..Run: [SynTPLpr] C:Program FilesSynapticsSynTPSynTPLpr.exe

Ok
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe

Besoin de ça à chaque démarrage ???
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE

Acer Launch Manager
Désactive pour voir ce que ça donne ou pas...
O4 - HKLM..Run: [CtrlVol] C:Program FilesLaunch ManagerCtrlVol.exe

Ok
O4 - HKLM..Run: [Realtime Monitor] C:PROGRA~1CAETRUST~1realmon.exe -s

OK
O4 - HKLM..Run: [Norton Ghost 9.0] C:Program FilesSymantecNorton GhostAgentGhostTray.exe

Ok
O4 - HKLM..Run: [Windows Defender] "C:Program FilesWindows DefenderMSASCui.exe" -hide

Machin Office possiblement inutile (parfois nuisible) mais difficile à supprimer...
Voir ceci:
http://support.microsoft.com/kb/282599/fr
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe

Ok
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE"

OK (mais est-ce nécessaire de le lancer à chaque démarrage: à toi d'y voir...)
O4 - HKCU..Run: [E06FDXRC_1695484] "C:Program FilesMicrosoft EncartaCollection Microsoft Encarta 2006EDICT.EXE" -m

Inutile: désactive ou vire
O4 - HKCU..Run: [SkinClock] C:Program FilesAtomic Alarm ClockAtomicAlarmClock.exe


Ok
O4 - Startup: Adobe Gamma.lnk = C:Program FilesFichiers communsAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:Program FilesAdobeReader 8.0ReaderAdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeReader 8.0Readerreader_sl.exe

Ok
O8 - Extra context menu item: Download all links using BitComet - res://C:Program FilesBitCometBitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:Program FilesBitCometBitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:Program FilesBitCometBitComet.exe/AddLink.htm

OK
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:WINDOWSSystem32shdocvw.dll
O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:WINDOWSSystem32shdocvw.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:Program FilesPaltalk MessengerPaltalk.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:PROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL

Ok
O16 - DPF: Dexia Netbanking - http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:Program FilesYahoo!Commonyinsthelper.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://wisup.net/_plateforme/Upload/Aurigma/AurigmaActiveX/ImageUploader4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

ok
O17 - HKLMSystemCCSServicesTcpip..{6B1114E0-B724-48A7-B060-33E241A4DC9B}: NameServer = 195.238.2.21 195.238.2.22
O17 - HKLMSystemCCSServicesTcpip..{B4116DCF-4968-4DF7-BF71-6A0851700910}: NameServer = 192.168.0.1

ok
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:PROGRA~1FICHIE~1SkypeSKYPE4~1.DLL

ok
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - C:WINDOWSSYSTEM32WgaLogon.dll

OK
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:WINDOWSsystem32WPDShServiceObj.dll

*[Services]*

Outils suggérés:
Services.msc comme ceci :
Démarrer | exécuter | services.msc
ou mieux en créant une console personnalisée de services.msc avec mmc.exe...

ou

Starter de Code Stuff:
http://codestuff.mirrorz.com/

ou

ServiWin de NirSoft:
http://www.nirsoft.net/utils/serviwin.html
(prendre aussi la trad. en Fr.)

Peut être à vérifier plus tard...
O23 - Service: ....

Voilà.
:)
--
Claude LaFrenière

claudinet
Le #1300382
Bonjour claude

merci de tes bons conseils........petit souci toutefois : lorsque j essaye
d!installer : le "process browser de systems internals, il se plante et me
dit : qu'il a rencontrer une erreur et qu'il doit fermer......bizarre ! une
idée ? ................j'ai essayer sur un autre pc et la pas de
probleme

Amicalement

claude-claudinet



PS: pour d'autres problemes, le groupe m a souvent conseillé de reinstaller
windoxs xp-sp2 .....mais je n 'arrive jamais a l endroit ou il est indique
"reparer" pourtant j'ai bien compris qu'il faut installer et puis
choir "r" aussi une idée ?













Claude LaFrenière wrote:
Bonjour *claudinet* :

Merci pour l interet..

voici le "scan de hijackthis":

merci d'avance et j en profite pour vous feliciter du super job que
vous faite (ce n est pas de la flagornerie)


N'exagérons rien ! ;)

Pas de "malwares" mais trop de machins lancés au démarrage.

*[MàJ W xp : OK]*

Logfile of HijackThis v1.99.1
Scan saved at 17:37:55, on 19/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)


*[Processus]*

Le meilleur outil pour contrôler les processus est Process Explorer
de Sysinternals:
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesWindows DefenderMsMpEng.exe
C:Program FilesTOSHIBAConfigFreeCFSvcs.exe
C:WINDOWSSystem32GEARSec.exe
C:Program FilesCAeTrust AntivirusInoRpc.exe
C:Program FilesCAeTrust AntivirusInoRT.exe
C:Program FilesCAeTrust AntivirusInoTask.exe
C:Program FilesCASharedComponentsCA_LICLogWatNT.exe
C:Program FilesSymantecNorton GhostAgentPQV2iSvc.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32PRISMSTA.EXE
C:Program FilesLaunch ManagerLaunchAp.exe
C:Program FilesLaunch ManagerWbutton.exe
C:Program FilesLaunch ManagerHotkeyApp.exe
C:Program FilesSynapticsSynTPSynTPLpr.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:WINDOWSSOUNDMAN.EXE
C:PROGRA~1CAETRUST~1realmon.exe
C:Program FilesSymantecNorton GhostAgentGhostTray.exe
C:Program FilesWindows DefenderMSASCui.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE
C:Program FilesMicrosoft EncartaCollection Microsoft Encarta
2006EDICT.EXE
C:Program FilesAtomic Alarm ClockAtomicAlarmClock.exe
C:Program FilesNetAppelNetAppel.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:Program FilesOutlook ExpressMsimn.exe
C:WINDOWSsystem32dwwin.exe
C:Program FilesOE-QuoteFixoequotefix.exe
C:Documents and SettingsSchneiderBureauRESERVE2HijackThis.exe


*[Démarrage]*

Quelques outils pour le démarrage:
Starter de Code Stuff:
http://codestuff.mirrorz.com/

Pour certains cas spéciaux
{désactivation de certains éléments dans des
zones non-contrôlées par les autres outils}
avec

Autoruns de Sysinternals
http://www.sysinternals.com/Utilities/Autoruns.html

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page > http://www.google.be/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL
= http://go.microsoft.com/fwlink/?LinkIdi157
R1 - HKLMSoftwareMicrosoftInternet
ExplorerMain,Default_Search_URL > http://go.microsoft.com/fwlink/?LinkIdT896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page > http://go.microsoft.com/fwlink/?LinkIdT896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page > http://go.microsoft.com/fwlink/?LinkIdi157
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page >
O2 - BHO: Aide pour le lien d'Adobe PDF Reader -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers
communsAdobeAcrobatActiveXAcroIEHelper.dll O2 - BHO: Skype add-on
(mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} -
C:PROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O2 - BHO: BitComet ClickCapture -
{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:Program
FilesBitComettoolsBitCometBHO.dll

*Suspect*
Réf.: http://www.castlecops.com/tk879-FerretBand_dll.html
O3 - Toolbar: WebFerret - {A58686ED-FC46-44C3-95C6-4A812AB776F1} -
C:Program FilesFerretSoftWebFerretFerretBand.dll


Trop de machins lancés au démarrage...

Acer Launch Manager
Désactive pour voir ce que ça donne ou pas...
O4 - HKLM..Run: [LaunchAp] C:Program FilesLaunch
ManagerLaunchAp.exe

Acer Launch Manager
Désactive pour voir ce que ça donne ou pas...
O4 - HKLM..Run: [Wbutton] C:Program FilesLaunch
ManagerWbutton.exe

Intersil silicon
Désactive pour voir ce que ça donne ou pas...
O4 - HKLM..Run: [PRISMSTA.EXE] PRISMSTA.EXE START

Acer Launch Manager
Désactive pour voir ce que ça donne ou pas...
O4 - HKLM..Run: [HotkeyApp] C:Program FilesLaunch
ManagerHotkeyApp.exe

OK
O4 - HKLM..Run: [SynTPLpr] C:Program
FilesSynapticsSynTPSynTPLpr.exe

Ok
O4 - HKLM..Run: [SynTPEnh] C:Program
FilesSynapticsSynTPSynTPEnh.exe

Besoin de ça à chaque démarrage ???
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE

Acer Launch Manager
Désactive pour voir ce que ça donne ou pas...
O4 - HKLM..Run: [CtrlVol] C:Program FilesLaunch
ManagerCtrlVol.exe

Ok
O4 - HKLM..Run: [Realtime Monitor]
C:PROGRA~1CAETRUST~1realmon.exe -s

OK
O4 - HKLM..Run: [Norton Ghost 9.0] C:Program FilesSymantecNorton
GhostAgentGhostTray.exe

Ok
O4 - HKLM..Run: [Windows Defender] "C:Program FilesWindows
DefenderMSASCui.exe" -hide

Machin Office possiblement inutile (parfois nuisible) mais difficile
à supprimer...
Voir ceci:
http://support.microsoft.com/kb/282599/fr
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe

Ok
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft
ActiveSyncWCESCOMM.EXE"

OK (mais est-ce nécessaire de le lancer à chaque démarrage: à toi d'y
voir...)
O4 - HKCU..Run: [E06FDXRC_1695484] "C:Program FilesMicrosoft
EncartaCollection Microsoft Encarta 2006EDICT.EXE" -m

Inutile: désactive ou vire
O4 - HKCU..Run: [SkinClock] C:Program FilesAtomic Alarm
ClockAtomicAlarmClock.exe


Ok
O4 - Startup: Adobe Gamma.lnk = C:Program FilesFichiers
communsAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:Program
FilesAdobeReader 8.0ReaderAdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program
FilesAdobeReader 8.0Readerreader_sl.exe

Ok
O8 - Extra context menu item: Download all links using BitComet -
res://C:Program FilesBitCometBitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet -
res://C:Program FilesBitCometBitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet -
res://C:Program FilesBitCometBitComet.exe/AddLink.htm

OK
O9 - Extra button: Capturer ! -
{47055D63-DFCD-11d3-8406-00500445A7D0} -
C:WINDOWSSystem32shdocvw.dll
O9 - Extra 'Tools' menuitem: Capturer ce web -
{47055D63-DFCD-11d3-8406-00500445A7D0} -
C:WINDOWSSystem32shdocvw.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} -
C:Program FilesPaltalk MessengerPaltalk.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} -
C:PROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL

Ok
O16 - DPF: Dexia Netbanking -
http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O16 - DPF: Yahoo! Chat -
http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan
Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter
Class) - C:Program FilesYahoo!Commonyinsthelper.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader
Control) -
http://wisup.net/_plateforme/Upload/Aurigma/AurigmaActiveX/ImageUploader4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D}
(MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16
- DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5)
- http://chat.msn.com/bin/msnchat45.cab

ok
O17 -
HKLMSystemCCSServicesTcpip..{6B1114E0-B724-48A7-B060-33E241A4DC9B}:
NameServer = 195.238.2.21 195.238.2.22
O17 -
HKLMSystemCCSServicesTcpip..{B4116DCF-4968-4DF7-BF71-6A0851700910}:
NameServer = 192.168.0.1

ok
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -
C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:PROGRA~1FICHIE~1SkypeSKYPE4~1.DLL

ok
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - C:WINDOWSSYSTEM32WgaLogon.dll

OK
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5}
- C:WINDOWSsystem32WPDShServiceObj.dll

*[Services]*

Outils suggérés:
Services.msc comme ceci :
Démarrer | exécuter | services.msc
ou mieux en créant une console personnalisée de services.msc avec
mmc.exe...

ou

Starter de Code Stuff:
http://codestuff.mirrorz.com/

ou

ServiWin de NirSoft:
http://www.nirsoft.net/utils/serviwin.html
(prendre aussi la trad. en Fr.)

Peut être à vérifier plus tard...
O23 - Service: ....

Voilà.
:)



Claude LaFrenière
Le #1300317
Bonjour *claudinet* :

Bonjour claude

merci de tes bons conseils........petit souci toutefois : lorsque j essaye
d!installer : le "process browser de systems internals, il se plante et me
dit : qu'il a rencontrer une erreur et qu'il doit fermer......bizarre ! une
idée ? ................j'ai essayer sur un autre pc et la pas de
probleme


? sais pas. Désolé...

PS: pour d'autres problemes, le groupe m a souvent conseillé de reinstaller
windoxs xp-sp2 .....mais je n 'arrive jamais a l endroit ou il est indique
"reparer" pourtant j'ai bien compris qu'il faut installer et puis
choir "r" aussi une idée ?


Suivre scrupuleusement cette procédure:
(Ne marche qu'avec UN CD de W xp : pas les "versions" OEM avec plusieurs CDs...)

http://www.bellamyjc.org/fr/windows2000.html#repair

En résumé:

a) au démarrage appuyer sur F1 pour accéder au paramètres du bios

et mettre le lecteur CD comme "primary boot device"
et le Disque comme "secondary boot device"

b) mettre le CD de W xp dans le lecteur
et commencer l'installation *comme si* c'était la première fois...

c) *Ne pas* choisir la première option "réparer" qui se présente
mais poursuivre jusqu'à ce que le programme d'installation découvre
que W xp est déjà installé !

d) à ce moment-là choisir "réparer" et continuer la procédure
jusqu'à la fin.

e) les données ne seront pas perdues mais les Mises à jours de W xp
le seront. Il faudra les réinstaller en n'oubliant pas *avant* de
faire la connexion internet *d'activer le pare-feu!*

Tiens-nous au courant.

:)
--
Claude LaFrenière

Poster une réponse
Anonyme