[résolu]processus caché

Modérateur: Modérateurs et Modératrices

[résolu]processus caché

Messagede bedeboi » 08 Sep 2006, 01:39

:D
Bonjour à tous,
Je suis honoré de faire votre connaissance après avoir visité votre site qui me paraît très documenté. Mais comme mes connaissances sont très très limitées, mon appréciation n'a pas de quoi faire rougir les admins de ce forum!! :oops:
Alors voilà un menu problème qui m'ennuie un peu.
A chaque démarrage de Windows, la fenêtre OUTPOST "un processus caché requiert une connexion réseau" m'indique que le processus C:\Windows\SYSTEM\PROTECTOR.EXE lancé par C:\Windows\SYSTEM\SERVICES.EXE est exécuté en mode invisible et nécessite un acccès au réseau.
Ayant appris en cherchant sur le web que ce processus pouvait être dangereux, je coche à chaque fois la case "bloquer l'accès réseau pour cette instance du processus".
Mais cette manip, bien que facile, n'a aucune action de correction. Je souhaiterais donc me défaire de ce processus "PROTECTOR.EXE", sachant qu'il est invisible dans le chemin donné par Outpost.
Rien de significatif n'apparaît sur le log Hijackthis. Cependant voici quand même le scan au cas où:

Logfile of HijackThis v1.99.1
Scan saved at 02:31:04, on 08/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD VISA\ECB.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/intl/fr/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/intl/fr/access/allinone.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = +
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD VISA\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/softwa ... Plugin.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30155.www3.hp.com/ediags/hpfix/ ... gh.cab?326
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Merci de me donner un tuyau pour me débarrasser de ce processus définitivement
A très bientôt j'espère :wink:
bedeboi
 
Messages: 14
Inscription: 08 Sep 2006, 00:42

Messagede Jim Rakoto » 08 Sep 2006, 08:14

Salut

Bienvenue sur les forums d'Assiste

La présence de protector.exe en C:\Windows\SYSTEM\ me parait douteuse.
sauf erreur on devrait le retrouver en C:\Program files.

Nous allons attendre le passage de NickW, la spéblurpte de HijackThis

Mais il faudra impérativement installer le SP2 pour Windows et mettre à jour Internet Explorer.

A faire uniquement sur un système sain > donc attendre encore un peu le verdict de NickW

Continuer à bloquer avec OP

Un scan avec Spybot et l'antispyware de Outpost donne-t-il quelque chose ?

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede bedeboi » 08 Sep 2006, 22:10

Bonsoir, Jim. Tout d'abord, merci pour la promptitude de ta réponse.

Protector.exe est invisible même avec la fonction recherche incluant fichiers système et cachés.

Pour les mises à jour SP2 et IE, j'avais tenté de le faire il y a un bon moment mais , heuuu, comment dirais-je, mon système n'est pas enregistré vu qu'on m'a donné l'ordinateur avec Windows XP, hum, piraté, allez, c'est dit. J'avais pu faire quelques m à j dont SP1, mais pour le reste il fallait avoir payé Bill Gates.

Spybot et Outpost ne détectent pas de logiciels espions.

On voit dans la visionneuse de journaux Outpost que les connexions sortantes (et bloquées, donc) de Protector.exe apparaissent à peu près toutes les minutes. Plutôt actif, non?

Je continue à bloquer au démarrage en tout cas.

A bientôt
bedeboi
 
Messages: 14
Inscription: 08 Sep 2006, 00:42

Messagede Jim Rakoto » 09 Sep 2006, 07:20

Salut

Dans ce cas, il faut impérativement bloquer IE dans Outpost > Options > Applications > clic droit sur IE > toujours bloquer cette application.

Mais avant télécharger et installer la dernière version de Firefox > sécuriser FF
http://assiste.forum.free.fr/viewtopic.php?t=9959

Télécharger et installer Thunderbird

Faire passer le tout par DropMyRights pour bloquer les droits en écriture (et autoriser DMR quand OP le demandera)
http://assiste.com.free.fr/p/logitheque ... ights.html

Si problème pour installer, essayer cette méthode
clic droit sur bureau > nouveau > raccourci > parcourir

aller dans le dossier où tu as extrait DMR > sélectionner > ouvrir > une ligne apparaît dans la barre

tu marques un espace avec la barre d'espacement

clic droit sur l'icône Firefox > propriétés > à côté de cible tu vois C:\Program Files\Mozilla Firefox\firefox.exe > tu fais un clic droit > copier

Tu reviens dans le nouveau raccourci > clic droit à côté de l'espace que tu as inséré > coller > OK

Donner un nom à ton raccourci > FF save par ex. > OK

Voilà le nouveau raccourci est créé > clic pour tester

ensuite un clic droit > propriétés > changer icône > un message d'alerte > OK > choisir l'icône que tu préfères.

Ce sera déjà nettement plus sécurisé

Pour protector, pour le trouver, essayer :

Démarrer > exécuter > taper regedit
taper F3 > saisir protector

Voir s'il trouve des clés. Attention il affiche des clés une par une donc taper F3 une nouvelle fois pour donner la clé ou valeur suivante trouvée

Dans un premier temps, noter leur emplacement

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede bedeboi » 09 Sep 2006, 21:56

Jim Rakoto a écrit:Salut


Pour protector, pour le trouver, essayer :

Démarrer > exécuter > taper regedit
taper F3 > saisir protector

Voir s'il trouve des clés. Attention il affiche des clés une par une donc taper F3 une nouvelle fois pour donner la clé ou valeur suivante trouvée

Dans un premier temps, noter leur emplacement

A+


Hum, je suis un peu largué, là. J'ai donc lancé protector> suite> F3 pour afficher chaque résultat.

L'écran de l'éditeur de registre est en 2 parties: à gauche l'arborescence de la clé (c'est çà?) à droite le nom type et données (souvent une arborescence) d'un fichier.

Dès fois le nom de la clef contient protector, exemple:HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\current version\internet settings\zonemap\domains\netspyprotector

D'autres fois, on trouve protector dans les données, exemple:C\Documents and settings\Benoit\Mes Documents\antivirus\protector.bmp

Dans quelle partie faut il regarder pour trouver protector.exe?

Désolé, je suis un peu faible en informatique.... Mais bon je cherche en attendant un peu d'éclaircissement de vos conseils zavizés

A+ merci
bedeboi
 
Messages: 14
Inscription: 08 Sep 2006, 00:42

Messagede Jim Rakoto » 09 Sep 2006, 22:18

Salut

attendre le passage de NickW pour le nettoyage

bingo : netspyprotector

http://assiste.com.free.fr/assiste.com. ... tector.php

Pour le registre c'est exact : arborescence avec les clés à gauche et valeurs dans colonne de droite

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede bedeboi » 09 Sep 2006, 23:32

Ok Patientons alors Merci

Jim Rakoto a écrit:Dans ce cas, il faut impérativement bloquer IE dans Outpost > Options > Applications > clic droit sur IE > toujours bloquer cette application.

Mais avant télécharger et installer la dernière version de Firefox > sécuriser FF
http://assiste.forum.free.fr/viewtopic.php?t=9959

Télécharger et installer Thunderbird


A+

Tu me conseilles donc d'installer Firefox et Thunderbird. Ce que j'accepte.
Une question: vais-je pouvoir récupérer mes favoris sur Firefox et mes messages et BAL sur thunderbird?

A+
bedeboi
 
Messages: 14
Inscription: 08 Sep 2006, 00:42

Messagede nickW » 10 Sep 2006, 00:16

Bonsoir,

Le log HijackThis ne montre rien de particulier (hormis une ligne), donc procédure de recherches diverses:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 5).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".


Étape 1: Recherche
Démarrer---->Rechercher---->Cliquer sur "Des fichiers ou des dossiers..."
Taper elit* dans la zone de saisie "Une partie ou l'ensemble du nom de fichier:"
Vérifier (en dépliant la liste déroulante) que la zone "Rechercher dans:" est bien positionnée sur "Disque local (C: )"
Cliquer sur "Options avancées"
Cocher les cases situées devant "Rechercher dans les dossiers système", "Rechercher dans les fichiers et les dossiers cachés" et "Rechercher dans les sous-dossiers"
Cliquer sur le bouton "Rechercher"


Étape 2: RegSearch
Télécharger RegSearch (de Bobbi Flekman) (clic droit sur le lien ci-dessous, enregistrer le fichier sur le bureau):
http://www.bleepingcomputer.com/files/m ... Search.zip
Décompresser cette archive dans un dossier qui lui sera réservé (par exemple, C:\Program Files\RegSearch).

Lancer RegSearch par un double clic sur RegSearch.exe (dans le dossier C:\Program Files\RegSearch).
Dans la zone "Enter search strings (case independent) and click OK"
saisir services.exe sur la 1ère ligne
saisir protector sur la 2ème ligne

ne rien saisir dans la zone "Enter string to exclude from results (optional)"

puis cliquer sur le bouton OK

Le programme recherche dans le Registre les éléments demandés.
Attendre, sans rien faire d'autre (durée: jusqu'à 5 minutes, ce qui semble bien long.....).
Il y a ensuite ouverture d'une fenêtre du Bloc-notes, enregistrer ce fichier (Menu Fichier ---->Enregistrer sous..., donner le nom RegSearch1.txt).


Étape 3: Blacklight
Télécharger Blacklight (de F-Secure) depuis la page:
https://europe.f-secure.com/blacklight/try.shtml
(clic sur le bouton bleu "I accept", puis sur "Download Blacklight Beta graphical user interface version")
Enregistrer le fichier sur le bureau.

Double-cliquer sur le fichier blbeta.exe et accepter la licence (cocher le bouton devant "I accept the agreement").
Cliquer sur Next puis sur Scan
Attendre (jusqu'à 10 mn).
Pendant le scan, il y a affichage de la liste des dossiers balayés.

En fin d'exécution, le résultat s'affiche.
Cliquer sur Close
NE PAS choisir l'option 2 "Cleaning/Rename" maintenant: il faut analyser le rapport!


Étape 4: ewido anti-spyware
Télécharger la version d'essai de ewido anti-spyware depuis http://www.ewido.net/en/download/
L'installer.
Lancer ewido anti-spyware.
Cliquer sur le menu Update.
Si nécessaire, dans la colonne Settings (à droite), saisir les paramètres du proxy.
Dans le paragraphe Manual Update, cliquer sur le bouton Start update.
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 5: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 6: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" (ou "Scanner seulement" en vf)
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items" (ou "Proteger les objets avt de fixer" en vf), puis cliquer sur le bouton "Back" (ou "Ret" en vf).
Cocher la case située devant la ligne ci-dessous, puis cliquer sur Fix checked (ou Fixer objet en vf):
(si cette ligne est absente, le signaler en réponse, après la fin de l'ensemble des étapes).

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = +


Étape 7: ewido anti-spyware
Lancer ewido anti-spyware et cliquer sur le menu Scanner.
Cliquer sur l'onglet Settings.
Dans How to act?, cliquer sur Recommended actions et choisir Quarantine.
Dans How to scan?, vérifier que toutes les cases sont cochées.
Dans Possibly unwanted software, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Automatically generate report after scan est coché.
Dans l'onglet Scan, cliquer sur Complete System Scan.
A la fin du scan, cliquer sur Apply all actions
Puis Sauver le rapport (Save Scan Report).


Étape 8: Résultats
Redémarrer en mode normal.
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- le résultat de la recherche de elit*
*- le rapport de RegSearch (contenu du fichier RegSearch1.txt)
*- le rapport de Blacklight (contenu du fichier nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres) situé sur le Bureau)
*- le rapport d'ewido (dans le dossier Reports, lui-même sous-dossier du dossier d'installation d'ewido)
*- le nouveau log HijackThis

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede bedeboi » 10 Sep 2006, 21:03

Voili voilaaa, voici enfin les résultats (désolé pour le retard, j'ai eu des pbs pour atteindre votre forum cet aprèm, alors que le site fonctionnait):

BON APPETIT POUR CE QUI SUIT!

1/ recherche de Elit*:Aucun fichier n'a été trouvé

2/ Regsearch

REGEDIT4

; Registry Search by Bobbi Flekman © 2005
; Version: 1.0.2.4

; Results at 10/09/2006 18:41:28 for strings:
; 'services.exe'
; 'protector'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com\www]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc\www]

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com]

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com\www]

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc]

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc\www]

[HKEY_USERS\S-1-5-21-776561741-1965331169-682003330-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"002"="protector"

[HKEY_USERS\S-1-5-21-776561741-1965331169-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List]
"File1"="C:\\Documents and Settings\\Benoit\\Mes documents\\antivirus\\protector.bmp"

[HKEY_USERS\S-1-5-21-776561741-1965331169-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
"LastKey"="Poste de travail\\HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\Domains\\netspyprotector.com"

[HKEY_USERS\S-1-5-21-776561741-1965331169-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"c"="C:\\Documents and Settings\\Benoit\\Mes documents\\antivirus\\protector.bmp"

[HKEY_USERS\S-1-5-21-776561741-1965331169-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\bmp]
"h"="C:\\Documents and Settings\\Benoit\\Mes documents\\antivirus\\protector.bmp"

[HKEY_USERS\S-1-5-21-776561741-1965331169-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com]

[HKEY_USERS\S-1-5-21-776561741-1965331169-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com\www]

[HKEY_USERS\S-1-5-21-776561741-1965331169-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc]

[HKEY_USERS\S-1-5-21-776561741-1965331169-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc\www]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com\www]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc\www]

; End Of The Log...


3/ Blacklight

09/10/06 18:55:34 [Info]: BlackLight Engine 1.0.46 initialized
09/10/06 18:55:34 [Info]: OS: 5.1 build 2600 ()
09/10/06 18:55:34 [Note]: 7019 4
09/10/06 18:55:34 [Note]: 7005 0
09/10/06 18:55:40 [Note]: 7006 0
09/10/06 18:55:40 [Note]: 7011 1116
09/10/06 18:55:42 [Note]: 7026 0
09/10/06 18:55:43 [Note]: 7026 0
09/10/06 18:55:43 [Note]: 7024 3
09/10/06 18:55:43 [Info]: Hidden process: C:\WINDOWS\system32\protector.exe
09/10/06 18:55:43 [Note]: FSRAW library version 1.7.1019
09/10/06 18:55:51 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\NTIO256.SYS
09/10/06 18:55:51 [Note]: 7002 0
09/10/06 18:55:51 [Note]: 7003 1
09/10/06 18:55:51 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\PROTEC~1.EXE
09/10/06 18:56:38 [Note]: 7002 0
09/10/06 18:56:38 [Note]: 7003 1
09/10/06 18:57:33 [Note]: 7007 0

Comme convenu, je n'ai pas fait nettoyer.


4,5,6/Hijackthis en mode sans echec. La ligne décrite a été fixée


7/ ewido

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 20:33:58 10/09/2006

+ Scan result:



HKLM\SOFTWARE\Microsoft\Webext -> Adware.Ezula : Cleaned with backup (quarantined).
C:\Documents and Settings\Benoit\Mes documents\Dossier antivirus\hijackthis.zip/backups/backup-20050920-021743-847.dll -> Dialer.CDUpdater.g : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\vyuhrdlh.exe -> Downloader.Small.bwk : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\ismon.0xe -> Downloader.Zlob.aau : Cleaned with backup (quarantined).
C:\Program Files\Windows Media Player\wmplayer.exe.tmp -> Hijacker.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\protector.exe -> Proxy.Wopla.ac : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\ntio256.sys -> Rootkit.Agent.cf : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\NOTEPAD.0XE -> Trojan.Agent.dw : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\MSIEHelper.dll -> Trojan.Agent.fd : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024 -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld1294.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld25AF.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld2BF8.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld31B5.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld333B.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld4387.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld45CA.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld48B9.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld4B57.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld5990.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld5F9B.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld640F.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld7219.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld799B.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld7D35.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld8B9C.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld8D23.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld934D.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ld93A1.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ldA9C9.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ldAA30.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ldAF86.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ldC242.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ldC89B.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ldDC23.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ldE192.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ldECC.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ldF558.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\1024\ldFA4A.tmp -> Trojan.Small : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\kernels8.exe -> Trojan.Small : Cleaned with backup (quarantined).


::Report end

Eh ben, je ne m'attendais pas à tout ce monde!


8/ Redémarrage en mode normal, Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 21:15:14, on 10/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD VISA\ECB.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/intl/fr/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/intl/fr/access/allinone.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = +
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD VISA\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/softwa ... Plugin.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30155.www3.hp.com/ediags/hpfix/ ... gh.cab?326
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Remarque: J'ai fait évaluer le log par le lien ci-dessous

http://www.hijackthis.de/#anl

La ligne R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp
semble être dangereuse et à supprimer par Hijackthis, dit-il. Est ce un bon lien de diagnostic?
Mais je n'ai rien fait, j'attends votre avis.

Hélas la fenêtre OUTPOST me signalant un processus caché est encore apparue, mais plus tard en visitant le site de Flymeubles.


A très bientôt .
bedeboi
 
Messages: 14
Inscription: 08 Sep 2006, 00:42

Messagede nickW » 10 Sep 2006, 23:32

Bonsoir,

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 4).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".


Étape 1: BFU (de Merijn)
Télécharger Brute Force Uninstaller (BFU).
http://www.merijn.org/files/bfu.zip
Décompresser l'archive dans un dossier qui lui sera réservé, par exemple C:\Program Files\bfu


Étape 2: Création du fichier Wopla.bfu
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad) et enregistrer le fichier dans le dossier C:\Program Files\bfu sous le nom de Wopla.bfu
Attention: l'extension doit être .bfu , choisir Tous les fichiers dans la liste déroulante de Type lors du Enregistrer sous..
Si l'extension est .bfu.txt, renommer le fichier en .bfu
Code: Tout sélectionner
FileDelete %SYSDIR%\protector.exe
FileDelete %SYSDIR%\ntio256.sys

SystemEmptyTempFolder
SystemEmptyRecycleBin




Étape 3: Création du fichier listeruns.bat
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad) et enregistrer le fichier sur le Bureau sous le nom de listeruns.bat
Attention: l'extension doit être .bat , choisir Tous les fichiers dans la liste déroulante de Type lors du Enregistrer sous..
Si l'extension est .bat.txt, renommer le fichier en .bat
Code: Tout sélectionner
regedit /e liu1.txt "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
regedit /e liu2.txt "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce"
regedit /e liu3.txt "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunonceEx"
regedit /e liu4.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices"
regedit /e liu5.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"
regedit /e liu6.txt "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run"
regedit /e lim1.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
regedit /e lim2.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce"
regedit /e lim3.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunonceEx"
regedit /e lim4.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices"
regedit /e lim5.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce"
regedit /e lim6.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run"
copy liu1.txt + liu2.txt + liu3.txt + liu4.txt + liu5.txt + liu6.txt + lim1.txt + lim2.txt + lim3.txt + lim4.txt + lim5.txt + lim6.txt  listeruns.txt
del liu1.txt
del liu2.txt
del liu3.txt
del liu4.txt
del liu5.txt
del liu6.txt
del lim1.txt
del lim2.txt
del lim3.txt
del lim4.txt
del lim5.txt
del lim6.txt
notepad.exe listeruns.txt



Étape 4: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 5: BFU, Wopla
Lancer Brute Force Uninstaller par un double clic sur BFU.exe
A droite de la zone "Scriptfile to execute" cliquer sur l'icône jaune représentant un dossier ouvert.
Dans la fenêtre qui s'ouvre, faire un double clic sur Wopla.bfu
Cocher la case située devant "Show log after script ends"
Cliquer sur Execute.
Attendre que Complete script execution apparaîsse et cliquer sur OK.
Cliquer sur Exit pour fermer le programme.


Étape 6: ewido anti-spyware
Lancer ewido anti-spyware et cliquer sur le menu Scanner.
Cliquer sur l'onglet Settings.
Dans How to act?, cliquer sur Recommended actions et choisir Quarantine.
Dans How to scan?, vérifier que toutes les cases sont cochées.
Dans Possibly unwanted software, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Automatically generate report after scan est coché.
Dans l'onglet Scan, cliquer sur Complete System Scan.
A la fin du scan, cliquer sur Apply all actions
Puis Sauver le rapport (Save Scan Report).


Étape 7: Redémarrage
Redémarrer en mode normal.


Étape 8: Blacklight
Double-cliquer sur le fichier blbeta.exe et accepter la licence (cocher le bouton devant "I accept the agreement").
Cliquer sur Next puis sur Scan
Attendre (jusqu'à 10 mn).
Pendant le scan, il y a affichage de la liste des dossiers balayés.

En fin d'exécution, le résultat s'affiche.
Cliquer sur Close
NE PAS choisir l'option 2 "Cleaning/Rename" maintenant: il faut analyser le rapport!


Étape 9: Utilisation du fichier listeruns.bat
Faire un double clic sur listeruns.bat
Une fenêtre du Bloc-notes (Notepad) s'ouvre.
Enregistrer le fichier sous le nom listeruns.txt


Étape 10: Résultats
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport d'ewido (dans le dossier Reports, lui-même sous-dossier du dossier d'installation d'ewido)
*- le nouveau rapport de Blacklight (contenu du nouveau fichier fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres) créé sur le Bureau).
*- le rapport de listeruns (contenu du fichier listeruns.txt)


Après avoir envoyé ces résultats, faire l'étape suivante:

Étape 11: DiagHelp (de malekal)
Télécharger DiagHelp.zip depuis http://www.malekal.com/download/DiagHelp.zip
Enregistrer le fichier sur le Bureau.
Décompresser la totalité de l'archive.
Ouvrir le nouveau dossier DiagHelp créé sur le Bureau.
Faire un double clic sur go.cmd
Dans la fenêtre qui s'est ouverte, taper 1 et faire Entrée.
Attendre la fin de l'analyse (jusqu'à 5 minutes), sans rien faire d'autre.
En fin d'exécution, sur l'affichage du message "Appuyer sur une touche pour continuer...", faire Entrée.
Une fenêtre du Bloc-notes s'ouvre.
En copier la totalité du contenu en réponse (dans un ou deux messages, si le fichier est très long).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers OutPost Firewall

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités