[ok] demande précision sur un log

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[ok] demande précision sur un log

Messagede qoqoro » 08 Juil 2005, 00:22

bonjour,
Dans une optique préventive j'ai fait la fameuse "manip" et apparemment rien de grave à signaler (ouf).
Toutefois spybot m'a signalé un contôle active X hostile appelé RDXIE class
dans le log hijackthis ça donne la ligne :
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0243444a871 ... 601_fr.cab
Or, en faisant une recherche, je suis tombé sur un forum où ils me conseillent de "fixer cette ligne.
Qu'en pensez-vous?
Autrement j'ai constaté que dans le fichier host qu'il y avait l'adresse IP de www.DCSresearch.com ce qui donne dans le log hijackthis la ligne :
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
or dans ce même forum ils conseillent également de "fixer" cette ligne.
A votre avis, est-ce que je dois suivre ces conseils?
autrement voici mon log complet peut être qu'il vous aidera ou que vous détecterez un autres problème


Logfile of HijackThis v1.99.1
Scan saved at 00:29:24, on 08/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\AVPersonal\AVGUARD.EXE
F:\Program Files\AVPersonal\AVWUPSRV.EXE
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\QuickTime\qttask.exe
F:\WINDOWS\System\Ma72Pan.Exe
F:\Program Files\AVPersonal\AVSCHED32.EXE
F:\Program Files\D-Tools\daemon.exe
F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
F:\Program Files\AVPersonal\AVGNT.EXE
F:\Program Files\Winamp\winampa.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\Documents and Settings\Administrateur\Local Settings\Temp\Répertoire temporaire 3 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,setup32.exe
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ma72Pan] Ma72Pan.Exe
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [MSPY2002] F:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [AVSCHED32] F:\Program Files\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AVGCtrl] "F:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoftz turn Control] read.pif
O4 - HKLM\..\Run: [WinampAgent] F:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [USB Hardware8 Monitoring] USBhardware8.exe
O4 - HKLM\..\Run: [MS taskbar] taskbars.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [Microsoftf DDEs ContrDL] runm.pif
O4 - HKLM\..\Run: [Zone Labs Client] F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\RunServices: [Microsoftz turn Control] read.pif
O4 - HKLM\..\RunServices: [USB Hardware8 Monitoring] USBhardware8.exe
O4 - HKLM\..\RunServices: [MS taskbar] taskbars.exe
O4 - HKLM\..\RunServices: [Microsoftf DDEs ContrDL] runm.pif
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [USB Hardware8 Monitoring] USBhardware8.exe
O4 - HKCU\..\Run: [MS taskbar] taskbars.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = F:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0243444a871 ... 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0491133842
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63DFAC0E-8481-4F8B-A60F-E22B9D69F86F}: NameServer = 194.117.200.10 194.117.200.15
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - F:\Program Files\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - F:\Program Files\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - F:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe


merci d'avance pour votre aide
qoqoro
 
Messages: 5
Inscription: 07 Juil 2005, 23:42
Localisation: west france

Messagede pierre » 08 Juil 2005, 07:56

Bonjour

Analyse en cours - retour dans 1h environ
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27027
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 08 Juil 2005, 09:36

Bonsoir,

Attention :
F:\Documents and Settings\Administrateur\Local Settings\Temp\Répertoire temporaire 3 pour hijackthis.zip\HijackThis.exe
- HijackThis s'exécute actuellement dans un répertoire temporaire : bien exécuter le point 14 ci-dessous.

Je suis surpris de voir que vous avez utilisé plusieurs très bons antivirus en ligne et qu'il reste plusieurs vers en place (probablement à cause des points de restauration).

A propos de la ligne, dans hosts
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
Celui qui vous a proposé de fixer cette ligne c'est trompé et n'a pas effectué les recherches nécessaires préalables à l'apport d'une réponse lors d'une analyse d'un log HijackThis (il est vrai qu'il était facile d'être induit en erreur par cette inscription).
www.dcsresearch.com est un ancien domaine de la société DiamondCS (éditeur de TDS-3).
Dans TDS-3, l'appui sur la touche de fonction F5 vous envoi sur le domaine www.dcsresearch.com, vers leur forum privé. Ceci est codé "en dur" dans TDS-3.
L'adresse ayant changé, hosts est utilisé pour vous rediriger vers le nouveau serveur, à 64.91.255.87, donc toute ligne 64.91.255.87 www.dcsresearch.com dans hosts est parfaitement légitime et est inscrite lors de l'installation ou de l'update de TDS-3 pour contourner l'erreur du binaire qui n'était pas mis à jour (je n'ai pas vérifié s'il l'est actuellement).
Par contre, toute ligne dans hosts qui contiendrait le domaine www.dcsresearch.com mais redirigé vers une autre adresse IP est à effacer car il s'agirait d'un hijack.

Whois de 64.91.255.87
64.91.255.87 = [ diamondcs.com.au ]
network: Class-Name: network
network: ID: NETBLK-LIQUIDWEB.64.91.224.0/19
network: Auth-Area: 64.91.224.0/19
network: Network-Name: LIQUIDWEB-64.91.224.0
network: IP-Network: 64.91.224.0/19
network: IP-Network-Block: 64.91.224.0 - 64.91.255.255
network: Organization;I: LIQUIDWEB
network: Org-Name: Liquid Web Inc.
network: Street-Address: 4210 Creyts Rd.
network: City: Lansing
network: State: MI
network: Postal-Code: 48917
network: Country-Code: US
network: Tech-Contact;I: admin@liquidweb.com


- Lisez une première fois tout ce qui suit et téléchargez les utilitaires qui vont être utilisés.

Phase préparatoire
Commencez par télécharger et installer les outils dont vous allez avoir besoin.


Protocole préalable
Avant de faire les actions personnalisées indiquées sous le point "Décontamination", commencez par faire ceci :
(1 ou 2 opérations peuvent vous sembler inutiles dans votre cas particulier - ce n'est pas à vous d'en juger - exécutez l'intégralité de ce préalable).
  1. Si ce n'est déjà fait, désactivez les points de restauration du système
    Uniquement si votre système supporte cette fonctionnalité, c'est à dire si vous êtes sous Windows me ou XP.
    http://assiste.com.free.fr/p/comment/ac ... ration.php
  2. Si ce n'est déjà fait, réglez votre antivirus et votre anti-trojans au maximum
    http://assiste.com.free.fr/p/comment/an ... aximum.php
  3. Si ce n'est déjà fait, exécutez CWShredder
    http://assiste.com.free.fr/p/internet_u ... redder.php
  4. Si ce n'est déjà fait, faites en sorte de tout voir
  5. Si ce n'est déjà fait, videz complètement tous les caches et fichiers temporaires.
    Le plus simple : utilisez CCleaner

    Si son utilisation est impossible actuellement, videz (effacez tout le contenu) à la main, en les localisant avec l'explorateur de Windows, les répertoires
    C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temporary Internet Files\
    C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temporary Internet Files\
    C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temp\
    C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temp\

    Videz les répertoires temporaires
    • Si vous êtes sous Windows 95/98/Me/XP, videz
      C:\Windows\Temp\
    • Si vous êtes sous Windows NT/2000, videz
      C:\Winnt\Temp\
  6. Si ce n'est déjà fait, détruisez tous les cookies inconnus ou inutiles
    Utilisez SpyBot Search & Destroy (gratuit)
  7. Si ce n'est déjà fait, videz la corbeille (y compris si elle est protégée par Norton)
    Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
  8. Redémarrez en mode "Sans échec" et n'ouvrez aucune fenêtre
    Comment faire :
    http://assiste.com.free.fr/p/comment/de ... _echec.php

    Fermez toutes les fenêtres, dont toutes les instances d'Internet Explorer et toutes les instances de l'explorateur de Windows, toutes les instances du bloc-note de Windows (NotePad) etc. ...
    Pour bien faire, vous devriez imprimer ceci et fermer cette instance de votre navigateur que vous êtes en train d'utiliser pour me lire. Ceci ne s'applique que si vous utilisez Internet Explorer - si vous lisez ceci avec Mozilla Suite ou Mozilla Firefox ou Opera, vous pourrez réouvrir votre navigateur après le point 10.
  9. Suspendre les protections temps réel de la base de registre
    • Vous ne devez pas avoir le processus TeaTimer de SpyBot-S&D actif. S'il l'est, lancez Spybot-S&D > Mode > Mode avancé > Oui > Outils > Résident > Décocher la case devant "TeaTimer".
    • Vous ne devez pas avoir le processus Protection en Temps Réel (Real-Time Protection) de Microsoft AntiSpyware. Clic droit sur l'icône Microsoft AntiSpyware dans le "system tray" (les petits icônes près de l'horloge) > Security Agents status (Enabled) > Desable Real-Time Protection.
    • Vous ne devez pas avoir le processus SpywareGuard actif. Tuez-le. Comment tuer un processus ?
      http://assiste.com.free.fr/p/comment/tuer_processus.php
    • Vous ne devez pas avoir de processus de type contrôleurs d'intégrité actifs.
    • Etc. ...
  10. Exécutez votre antivirus, réglé au maximum
    Vous avez bien désactivé les points de restauration, vous êtes bien en mode sans échec, et vous avez bien poussé les réglages de l'antivirus au maximum : tous les types de fichiers sont analysés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Analysez et détruisez tous les fichiers contaminés trouvés. Les antivirus ne sont pas des anti-spywares (anti-trojans).
  11. Exécutez votre anti-spyware (anti-trojans), réglé au maximum.
    Vous avez bien désactivé les points de restauration, vous êtes bien en mode sans échec, et vous avez bien poussé les réglages de l'anti-trojan au maximum.
    Voir, si besoin est, le mode d'emploi de PestPatrol en français à
    http://assiste.com.free.fr/p/internet_u ... rol_v4.php
  12. Videz à nouveau la corbeille (y compris si elle est protégée par Norton)
    Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
    Pour prévenir le cas ou votre antivirus (ou votre anti-trojans) aurait mis quelque chose à la poubelle.
  13. Faites une sauvegarde de la base de registre
    http://assiste.com.free.fr/p/comment/sa ... gistre.php
  14. Si ce n'est déjà fait, installer HijackThis dans son répertoire
    http://assiste.com.free.fr/p/internet_u ... ckthis.php
    Par défaut, HijackThis va s'installer et s'exécuter depuis un dossier temporaire. Vous devez installer HijackThis dans un répertoire non temporaire et qui lui est réservé, hors des répertoires système. Pourquoi ? Parce que nous allons demander à HijackThis de faire des sauvegardes de nos manipulations. Si ces sauvegardes se trouvent dans un dossier temporaire, elles seront effacées.
  15. Paramétrez HijackThis
    Cliquez sur le bouton "Do a system scan only" (Faire un scan uniquement)
    Cliquez sur le bouton "Config..." (Configurer)
    Cocher la case "Make backups before fixing items"" (Faire des sauvegardes avant de corriger)
    Cliquez sur le bouton "Back" (retour arrière)

Décontamination - Vous êtes toujours en mode sans échec :
  1. Fixer, avec HijackThis, les lignes suivants (si elles existent encore)

    La tâche active
    F:\WINDOWS\System\Ma72Pan.Exe
    est lancée par
    O4 - HKLM\..\Run: [Ma72Pan] Ma72Pan.Exe
    Ce truc est totalement inconnu à travers tout le Net. Fixer. Renommer
    F:\WINDOWS\System\Ma72Pan.Exe
    en
    F:\WINDOWS\System\Ma72Pan.Exe_
    Tester avec :
    Ces 18 antivirus http://assiste.com.free.fr/p/antivirus_ ... ivirus.php
    Ces 12 antivirus http://assiste.com.free.fr/p/antivirus_ ... usscan.php

    F2 - REG:system.ini: UserInit=userinit.exe,setup32.exe
    Editer system.ini
    Retirer l'appel à setup32.exe
    Localiser ce setup32.exe, le renommer en setup32.exe_
    Tester avec :
    Ces 18 antivirus http://assiste.com.free.fr/p/antivirus_ ... ivirus.php
    Ces 12 antivirus http://assiste.com.free.fr/p/antivirus_ ... usscan.php

    O4 - HKLM\..\Run: [Microsoftz turn Control] read.pif
    Microsoftz turn Control
    X
    read.pif
    Ajouté par le ver W32/Rbot-AFS. Voir http://www.sophos.com/virusinfo/analyse ... otafs.html

    O4 - HKLM\..\Run: [USB Hardware8 Monitoring] USBhardware8.exe
    Totalement inconnu. Fixer

    O4 - HKLM\..\Run: [MS taskbar] taskbars.exe
    Fixer !

    O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
    Fixer !
    Voir http://assiste.com.free.fr/p/liste_de_d ... 5-unmt_exe
    Renommer C:\UNMT.EXE en C:\UNMT.EXE_

    O4 - HKLM\..\Run: [Microsoftf DDEs ContrDL] runm.pif
    Fixer
    Microsoftf DDEs ContrDL
    runm.pif
    X
    Ajouté par le ver W32/Rbot-AFQ - Voir http://www.sophos.com/virusinfo/analyse ... otafq.html

    O4 - HKLM\..\RunServices: [Microsoftz turn Control] read.pif
    Fixer (déjà évoqué plus haut)

    O4 - HKLM\..\RunServices: [USB Hardware8 Monitoring] USBhardware8.exe
    Fixer (déjà évoqué plus haut)

    O4 - HKLM\..\RunServices: [MS taskbar] taskbars.exe
    Fixer

    O4 - HKLM\..\RunServices: [Microsoftf DDEs ContrDL] runm.pif
    Fixer

    O4 - HKCU\..\Run: [USB Hardware8 Monitoring] USBhardware8.exe

    O4 - HKCU\..\Run: [MS taskbar] taskbars.exe

    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0243444a871 ... 601_fr.cab
    RdxIE601_fr.cab est à fixer
    Toutefois, j'aimerais connaître les noms donnés par les divers anti-virus à ce parasite.
    Renommez RdxIE601_fr.cab en RdxIE601_fr.cab_
    Tester avec :
    Ces 18 antivirus http://assiste.com.free.fr/p/antivirus_ ... ivirus.php
    Ces 12 antivirus http://assiste.com.free.fr/p/antivirus_ ... usscan.php
    Faites une copie des résultats à la suite de ce fil
    SpyBot le signale sous la forme:
    {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class)
    DPF name:
    CLSID name: RdxIE Class
    Installer:
    Codebase: http://207.188.7.150/20a39419bbfe44ffac ... 601_fr.cab
    description: Netster
    classification: Confirmed as malware
    known filename:
    info link:
    info source:
    Path: C:\WINDOWS\Downloaded Program Files\
    Long name: RdxIE.dll


    O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - F:\Program Files\AVPersonal\AVGUARD.EXE (file missing)

    O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - F:\Program Files\AVPersonal\AVWUPSRV.EXE (file missing)




    Fixer également ces lignes, inutiles :

    O4 - HKLM\..\Run: [IMJPMIG8.1] F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [MSPY2002] F:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
    Vous utilisez des caractères asiatiques dans Microsoft Office ? Si oui, n'y touchez pas, si non, fixer ces lignes puis, avec le cd-rom d'Office, désinstallez ces options.

    O4 - HKLM\..\Run: [SoundMan] soundman.exe
    Vous pouvez y accéder par le panneau de configuration. Inutile de laisser ce truc traîner en mémoire.

    O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    Désactiver les rapports d'erreur. Voir
    http://assiste.com.free.fr/p/internet_a ... g_tool.php

    O4 - HKLM\..\Run: [WinampAgent] F:\Program Files\Winamp\winampa.exe
    Voir http://assiste.com.free.fr/p/liste_de_d ... pa_exe.php

    O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
    Vérifiez les mises à jour de JAVA 1 fois par trimestre environ (ou en suivant l'actualité) en y accédant par le panneau de configuration au lieu de laisser traîner ce truc en mémoire.

    O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
    Est-ce utile dans votre cas ?
    Voir la PacMan - http://assiste.com/p/liste_de_demarrage ... ndexes.php
    CTFMon est impliqué dans les services d'entrée de language/alternative dans Office XP. CTFMON.exe va continuer à se remettre lui-même dans MSConfig lorsque vous lancez des applications Office XP tant que les applets Services Texte et Voix dans le Panneau de configuration sont activées. Non nécessaire si vous n'avez pas besoin de ces fonctions. Pour plus d'informations sur ctfmon voir http://support.microsoft.com/default.as ... ;fr;282599


    O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office\OSA9.EXE
    Est-ce utile dans votre cas ?
    Voir la PacMan - http://assiste.com/p/liste_de_demarrage ... ndexes.php
    Application qui lance des composants usuels de MS Office pour aider à accélérer le lancement des programmes Office. C'est en quelque sorte un dévoreur de ressources, et certains utilisateurs prétendent qu'il n'y a pas de différence avec ou sans, mais d'habitude elle n'est pas nécessaire. Note - si vous utilisez la barre de raccourcis de Microsoft Office en dehors d'un programme Office, cette application aura besoin d'être activée pour qu'elle soit affichée

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    Inutile s'il s'agit de votre ordinateur et que vous êtes le seul à l'utiliser. C'est alors plus gênant qu'autre chose. Probablement positionné avec SpyBot.
  2. Renommer les fichiers suivants
    - ... Rien à faire
  3. Editer la base de registre
    - ... Rien à faire
  4. Remarque
    - ... Néant
  5. Fichier hosts
    - ... Rien à faire
  6. Domaines dans la zone de confiance d'IE
    - ... Rien à faire
  7. Redémarrer en mode normal
    Pour l'instant, ne pas restaurer ce qui a été inhibé (surveillance temps réel de la base de registre, contrôleurs d'intégrité, points de restauration du système...). Nous restaurerons tout cela lorsque tout sera clean.
  8. Répertoire(s) à détruire
    - ... Aucun
  9. Fichier(s) à détruire
    Localiser et détruire taskbars.exe (probablement dans program files ou system32
    Localiser et détruire Ma72Pan.Exe (que nous avons renommé en Ma72Pan.Exe_)
    Détruire C:\UNMT.EXE (que nous avons renommé en C:\UNMT.EXE_)
  10. Nettoyage final
    Repassez un coup de CCleaner (déjà vu au point 5)
    http://assiste.com.free.fr/p/internet_u ... leaner.php
  11. Windows Update
    Faire un Windows Update et installer tous les correctifs de failles de sécurité.
  12. Redémarrer en mode normal
  13. Nouveau log HijackThis
    Refaire un log HijackThis et le poster à la suite (sans ouvrir un nouveau fil de discussion) afin que nous puissions effectuer une vérification.
Fin de la décontamination - phase de sécurisation
  1. Utiliser Zeb Protect afin de fermer totalement certains ports critiques maintenus ouverts par des services de Windows
    http://assiste.com.free.fr/p/internet_u ... rotect.php
  2. MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Le niveau de patch (mises à jour de sécurité) de Windows est très insuffisant. Faire un Windows Update, après la décontamination, et installez toutes les mises à jour de sécurité. Les niveaux de mises à jour actuels sont :
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

A l'avenir, suivre les recommandations d' http://assiste.com : en particulier, ne jamais utiliser Internet Explorer (lire http://assiste.com.free.fr/p/internet_a ... plorer.php ), interdire les contrôles activex (lire http://assiste.com.free.fr/p/internet_a ... ctivex.php ), naviguer (bien mieux) avec Mozilla Firefox (lire http://assiste.com.free.fr/p/internet_u ... irefox.php ), tenir à jour les patchs de sécurité (deuxième mercredi de chaque mois - lire http://assiste.com.free.fr/p/carnets_de ... chwork.php ) etc. ...

Cordialement[/quote]
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27027
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 08 Juil 2005, 09:37

Durée de l'analyse : 1h40
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27027
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

résultat de la décontamination

Messagede qoqoro » 08 Juil 2005, 21:27

bonsoir

merci de m'avoir répondu si vite et d'avoir pris tout ce temps.
j'ai essayé autant que possible de suivre le plus scrupuleusement possible la méthode donnée dans le post,
mais il m'est arrivé quelques petites déconvenues:

- tout d'abord je n'ai pas réussi à sauvegarder la base registre :au début de la manip' un message s'affichait comme quoi
le service n'avait pas pu se connecter au service stockage inamovible. Puis, en fin de manip', j'ai eu un message d'échec
disant que la sauvegarde était abandonnée suite à une erreur survenue lors de la création du cliché instantané du volume.

-lors de la décontamination:

-pas de problème pour fixer ma72pan.exe mais j'ai oublier de scanner le fichier avec les antivirus. le fichier ma72pan.exe
avait le logo de ma carte son une maya 7.1 d'audiotrak

- je n'ai pas réussi à localiser setup32.exe et donc à le renommer (peut être que je m'y prend mal pour chercher un fichier)
quant à system.ini je n'y ai pas trouver de mentions de setup32.exe (qu'est ce que ça signifie retire l'appel à setup32.exe) j'ai tout de même fixé la ligne.

-je n'ai pas réussi à trouver C:\UNMT.exe. il faut dire que j'ai formaté mon disque C et que je n'ai pas réussi à finir la réinstallation de windows ( j'aurai un problème de CD rom le message d'erreur failed :F\1386\asms.error s'affiche)

- enfin j'ai supprimé toutes les lignes conseillées dans le post.

-je n'ai pu détruire que Ma72Pan.exe n'ayant pu trouvé ni C:\ UNMT.EXE ni taskbars.exe (je le répete: peut être que je m'y prend mal pour trouver les fichiers)

Après avoir fait toute la manip' j'ai pu constater que j'avais des problèmes avec internet :je n'arrive pas à afficher le panneau de contrôle de mon firewall (zone lab free) et celui-ci semble être inactif. IL m'a en plus afficher deux fois un message lockup server.
EN effet internet à été bloquer plusieurs fois depuis et j'ai du redémarrer pas mal de fois pour pouvoir avoir une connection. Je n'ai pas réussi à faire l'update.
voilà c'est à peu près tout ..
voici le log que je viens de faire


Logfile of HijackThis v1.99.1
Scan saved at 21:20:35, on 08/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\D-Tools\daemon.exe
F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\outils sécu\AVPersonal\AVGNT.EXE
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
F:\WINDOWS\System32\wuauclt.exe
F:\WINDOWS\System 32\wuauclt.exe
F:\outils sécu\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] F:\Program Files\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Zone Labs Client] F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] F:\outils sécu\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = F:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0243444a871 ... 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0491133842
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - F:\Program Files\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - F:\Program Files\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - F:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - F:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)

Qu'en pensez-vous? Que me conseillez -vous?

Merci d'avance pour toute les réponses que vous pourrez me faire
qoqoro
 
Messages: 5
Inscription: 07 Juil 2005, 23:42
Localisation: west france

Messagede pierre » 09 Juil 2005, 00:26

Bonsoir,

Base de registre
La sauvegarde de la base de registre est une opération de précaution que nous vous demandons d'exécuter mais est sans effet sur la décontamination.

ma72pan.exe
J'ai effectué une recherche Google "ma72pan.exe maya" - rien
Dito avec "ma72pan.exe audiotrak" - rien
ma72pan.exe n'est pas lié à maya ni à audiotrack
Pire, une seule référence existe sur Google, simplement pour dire que ce truc est inconnu. Donc pas d'hésitation.

setup32.exe
L'appel à ce fichier se fait dans le fichier %windows%\system.ini (normalement c:\windows\system.ini).
C'est un fichier comportant un certain nombre de directives données pour l'initialisation de Windows. Ce fichier (un bête fichier texte) s'ouvre avec Notepad. En voici un exemple: ce qui est après un ";" est un commentaire, ce qui est entre crochets est un nom de section, le reste est constitué de directives (dll à charger, à utiliser etc. ...)
; for 16-bit app support

[drivers]
wave=mmdrv.dll
timer=timer.drv

[mci]
[driver32]
[386enh]
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON

Il doit y avoir, dans ce fichier, une ligne comportant "setup32.exe". Il faut supprimer ce "setup32.exe".

Rechercher "setup32.exe"
Démarrer > Tous les programmes > Accessoires > Explorateur Windows > Clic sur "Rechercher" > Tous les fichiers et tous les dossiers > Dans "Une partie ou l'ensemble du nom de fichier", saisir setup32.exe > Dans "Rechercher dans" sélectionner "Poste de Travail" > Clic sur le bouton "Rechercher"
Si vous le trouvez, renommez-le en setup32.exe_
Testez-le, avant de le détruire, histoire de me dire ce qu'il a dans le ventre, avec :
Ces 18 antivirus http://assiste.com.free.fr/p/antivirus_ ... ivirus.php
Ces 12 antivirus http://assiste.com.free.fr/p/antivirus_ ... usscan.php

ZoneAlarm qui ne fonctionne plus.
Il faut le réinstaller car il manque le service appelé TrueVector. On voit cela à la ligne suivante qui nous dit "file missing" (fichier manquant). Je ne sais pas pourquoi il est désormais manquant alors qu'il était là lors du premier log.
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - F:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)

Nouvelle analyse (en diagonale car mes yeux se ferme - je suis crevé)

F:\WINDOWS\System 32\wuauclt.exe
Qu'est-ce que c'est que cette bibliothèque system 32 (avec un espace entre system et 32). Wuauclt.exe est lancé légitimement lorsqu'il tourne depuis F:\WINDOWS\System32\wuauclt.exe (juste la ligne au-dessus) mais là, tuer cette tâche et me dire tout ce qui se trouve dans ce répertoire. A mon avis tout ce qui s'y trouve est suspect et doit être renommé en attendant que l'on décide de tout virer.

Fixer les lignes suivantes

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0243444a871 ... 601_fr.cab

O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - F:\Program Files\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - F:\Program Files\AVPersonal\AVWUPSRV.EXE (file missing)
Fixer ces 2 lignes qui ne servent à rien puisque vous avez ré-installé Antivir dans un autre répertoire

O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - F:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)
Fixer cette ligne qui ne sert à rien puis ré-installer ZoneAlarm.

Faire un nouveau log HijackThis

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27027
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede qoqoro » 09 Juil 2005, 03:07

re-bonsoir

voici les dernières nouvelles:

-toujours pas de trace de setup32.exe. pas de résultat avec l'assistant de recherche, quant au fichier
system.ini il ne le mentionne pas
je joins d'ailleurs le contenu de ce fichier

; for 16-bit app support

[drivers]
wave=mmdrv.dll
timer=timer.drv

[mci]
[driver32]
[386enh]
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON


en ce qui concerne system 32, il s'agit d'une fausse alerte.Mon log original ne mentionne que des system32. il semblerait
que l'écart entre system et 32 ait été introduit par inadvertance alors que je copiais le log dans mon post.

autrement mes petits problèmes d'internet se sont résolus depuis que j'ai réinstallé zonealarm.

voici enfin le résultat de mon dernier log (sans faute normalement, je vais vérifier ...).J'ai un
problème avec
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - F:\Program Files\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - F:\Program Files\AVPersonal\AVWUPSRV.EXE (file missing)
que je n'arrive pas à fixer

comment faire?


Logfile of HijackThis v1.99.1
Scan saved at 03:57:45, on 09/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\D-Tools\daemon.exe
F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
F:\outils sécu\AVPersonal\AVGNT.EXE
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
F:\outils sécu\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] F:\Program Files\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AVGCtrl] F:\outils sécu\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = F:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0491133842
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - F:\Program Files\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - F:\Program Files\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - F:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe



merci de me dire si il y a encore des choses à fixer
qoqoro
 
Messages: 5
Inscription: 07 Juil 2005, 23:42
Localisation: west france

Messagede pierre » 09 Juil 2005, 07:04

Bonjour,

Pour fixer ces lignes,
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - F:\Program Files\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - F:\Program Files\AVPersonal\AVWUPSRV.EXE (file missing)
démarre en mode sans échec pour empêcher Windows de tenter de les faire monter en mémoire puis fait un log hjt et fixe-les.

Analyse du dernier scan

MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Faire un Windows Update

C'est tout. Tout le reste me semble désormais propre. On peut peaufiner avec :

O4 - HKLM\..\Run: [TkBellExe] \"F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe\" -osboot
Complètement inutile - voir http://assiste.com.free.fr/p/liste_de_d ... lsched_exe
Planificateur d'application installé en même temps que RealOne Player. Tourne indépendamment de RealOne Player, pour rappeler à AutoUpdate et Message Center d'exécuter leurs tâches à des intervalles prédéfinis. Si vous ne pouvez pas le désactiver, essayez de supprimer ou de renommer realsched.exe puis supprimez la ligne dans le Registre

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
Icône de la SysBarre utilisée pour modifier les réglages de l'affichage, modifier la fréquence de l'horloge et la vitesse mémoire pour des cartes graphiques basées sur nVidia. Non nécessaire car vous pouvez facilement configurer ces paramètres comme vous le voulez dans les Propriétés de l'Affichage et ne plus jamais avoir à y toucher. Désactivez aussi "NVIDIA Driver Helper Service" s'il est activé car il peut entraîner la réactivation de cet élément lors du redémarrage (notez que ce service peut aussi provoquer d'énormes retards lors de l'arrêt de l'ordinateur s'il est activé

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27027
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

fin

Messagede qoqoro » 09 Juil 2005, 16:48

bonjour


pour supprimer les lignes je m'y suis repris par deux fois en mode sans échecs et avec la restauration
désactivée mais rien n'y fait : elles réapparaissent toujours dans le log hijackthis.

bon ben tant pis, puisqu'elles sont justes inutiles et qu'elles ne présentent pas de danger je renonce à les supprimer.

Merci encore une fois Pierre pour ton aide et ton site précieux
qoqoro
 
Messages: 5
Inscription: 07 Juil 2005, 23:42
Localisation: west france


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 16 invités