[résolu]processus caché

Modérateur: Modérateurs et Modératrices

Messagede bedeboi » 11 Sep 2006, 09:27

Bonjour Nick,

Je m'aperçois que j'ai fait une bêtise: apparemment, je n'étais pas en session administrateur. Je m'en suis aperçu quand j'ai démarré l'ordinateur en mode sans échec Il m'a donné le choix au démarrage de Windows alors qu'en mode normal il ouvre directement la session nommée "Benoît". J'essaie de faire la suite en administrateur, sinon je te le signalerai.
A bientôt.
bedeboi
 
Messages: 14
Inscription: 08 Sep 2006, 00:42

Messagede bedeboi » 11 Sep 2006, 09:40

Désolé, annulation du message précédent.

Le panneau de configuration m'indique que "Benoit" est bien l'administrateur. Donc je continue en ouvrant "Benoit" même en mode sans échec, OK?

A+
bedeboi
 
Messages: 14
Inscription: 08 Sep 2006, 00:42

Messagede nickW » 11 Sep 2006, 10:32

Bonjour,

Voui! :wink:

Au revoir,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede bedeboi » 11 Sep 2006, 11:44

Rebonjour
Le début des résultats

Logfile of HijackThis v1.99.1
Scan saved at 12:27:46, on 11/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD VISA\ECB.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/intl/fr/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/intl/fr/access/allinone.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = +
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD VISA\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/softwa ... Plugin.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30155.www3.hp.com/ediags/hpfix/ ... gh.cab?326
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 11:48:35 11/09/2006

+ Scan result:



C:\Documents and Settings\Benoit\Cookies\benoit@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Cleaned with backup (quarantined).


::Report end


Je n'ai pas trouvé de rapport Blacklight sur le bureau, en fait il n'avait rien trouvé ce coup ci, c'en est peut-être la raison



Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunonceEx]

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SystemTray"="SysTray.Exe"
"eCarteBleue-LPV-P1"="\"C:\\Program Files\\e-Carte Bleue\\LA BANQUE POSTALE\\CVD VISA\\ECB.exe\" /dontopenmycards"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Outpost Firewall"="C:\\Program Files\\Agnitum\\Outpost Firewall\\outpost.exe /waitservice"
"OutpostFeedBack"="C:\\Program Files\\Agnitum\\Outpost Firewall\\feedback.exe /dump:os_startup"
"!ewido"="\"C:\\Program Files\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunonceEx]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"wininet.dll"=""



Pour la suite il faudra attendre un peu, car je vais bosser et je sens que je vais être à la bourre!!


A+ encore Merci
bedeboi
 
Messages: 14
Inscription: 08 Sep 2006, 00:42

Messagede bedeboi » 11 Sep 2006, 21:47

Voilà. Ma journée se termine.

Je te joins le fichier Diaghelp et hélas t'annonce que le message de Outpost est encore sorti en ouvrant le PC ce soir. Pour info, le PC a été utilisé vers 21h avec connection internet, donc entre le message précédent et cet enregistrement DiagHelp.

A suivre?

C:\WINDOWS\System32\vcmgcd32.dl_ -->11/09/2006

22:22:30
C:\WINDOWS\System32\vcmgcd32.dll -->11/09/2006

22:17:14
C:\WINDOWS\System32\CONFIG.NT -->11/09/2006

10:05:04
C:\WINDOWS\System32\Uninstall.ico -->08/09/2006

00:52:00
C:\WINDOWS\System32\Help.ico -->08/09/2006

00:52:00
C:\WINDOWS\System32\pavas.ico -->08/09/2006

00:52:00
C:\WINDOWS\System32\wpa.dbl -->05/09/2006

17:36:40
C:\WINDOWS\System32\ROXECDC6Inst.log

-->29/08/2006 22:14:00
C:\WINDOWS\System32\filter.drv -->12/08/2006

05:08:24
C:\WINDOWS\System32\aswBoot.exe -->08/08/2006

18:53:28
C:\WINDOWS\System32\AVASTSS.scr -->05/08/2006

08:18:08
C:\WINDOWS\System32\i32.0ll -->22/07/2006

03:01:10
C:\WINDOWS\System32\WebPlayerInstaller.log

-->09/07/2006 01:11:08
C:\WINDOWS\System32\vxblock.dll -->16/05/2006

22:23:56
C:\WINDOWS\System32\pxwave.dll -->16/05/2006

22:23:56
C:\WINDOWS\System32\pxcpya64.exe -->16/05/2006

22:23:54
C:\WINDOWS\System32\pxinsa64.exe -->16/05/2006

22:23:54
C:\WINDOWS\System32\pxhpinst.exe -->16/05/2006

22:23:54
C:\WINDOWS\System32\pxsfs.dll -->16/05/2006

22:23:54
C:\WINDOWS\System32\pxdrv.dll -->16/05/2006

22:23:54
C:\WINDOWS\System32\pxmas.dll -->16/05/2006

22:23:54
C:\WINDOWS\System32\px.dll -->16/05/2006

22:23:54
C:\WINDOWS\System32\FNTCACHE.DAT -->15/05/2006

17:24:42
C:\WINDOWS\System32\xposer.cfg -->03/04/2006

10:59:54
C:\WINDOWS\System32\asinst.cfg -->03/04/2006

10:59:16

C:\WINDOWS\0.log -->11/09/2006 22:18:12
C:\WINDOWS\ODBC.INI -->11/09/2006 22:17:20
C:\WINDOWS\wiadebug.log -->11/09/2006 22:17:04
C:\WINDOWS\transp.gif -->11/09/2006 22:17:04
C:\WINDOWS\bootstat.dat -->11/09/2006 22:16:32
C:\WINDOWS\WindowsUpdate.log -->11/09/2006

21:14:58
C:\WINDOWS\SchedLog.Txt -->11/09/2006 21:14:58
C:\WINDOWS\wiaservc.log -->11/09/2006 21:14:56
C:\WINDOWS\system.ini -->11/09/2006 20:24:44
C:\WINDOWS\win.ini -->11/09/2006 11:51:14
C:\WINDOWS\wmsetup.log -->10/09/2006 22:13:48
C:\WINDOWS\setupapi.log -->10/09/2006 00:55:34
C:\WINDOWS\QTFont.qfn -->05/09/2006 22:20:32
C:\WINDOWS\QTFont.for -->03/09/2006 23:07:42
C:\WINDOWS\setuplog.txt -->31/08/2006 11:15:48

C:\WINDOWS\UninstallWSST.exe |19/09/2005

14:49:06
C:\WINDOWS\SETVER.EXE |01/01/1980 00:00:00
C:\WINDOWS\OptChecker.exe |25/09/2005

19:01:51
C:\WINDOWS\system.exe |12/08/2006 04:48:44
C:\WINDOWS\system32\append.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\debug.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\dosx.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\dvdplay.exe |23/08/2001

17:47:34
C:\WINDOWS\system32\edlin.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\exe2bin.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\fastopen.exe

|28/08/2001 10:00:00
C:\WINDOWS\system32\mem.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\mscdexnt.exe

|28/08/2001 10:00:00
C:\WINDOWS\system32\nlsfunc.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\redir.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\setver.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\share.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\DivXsm.exe |23/11/2005

05:00:00
C:\WINDOWS\system32\aswBoot.exe |12/08/2006

22:30:49
C:\WINDOWS\system32\ICMFILTER.DLL

|01/01/1980 00:00:00
C:\WINDOWS\system32\MEMBG.DLL |01/01/1980

00:00:00
C:\WINDOWS\system32\msdmo.dll |22/08/2006

18:51:55
C:\WINDOWS\system32\qt-dx331.dll

|12/08/2005 22:57:09
C:\WINDOWS\system32\compatUI.dll

|28/08/2001 10:00:00
C:\WINDOWS\system32\amstream.dll

|22/08/2006 18:51:53
C:\WINDOWS\system32\ir32_32.dll |28/08/2001

10:00:00
C:\WINDOWS\system32\qedwipes.dll

|22/08/2006 18:51:55
C:\WINDOWS\system32\tsd32.dll |28/08/2001

10:00:00
C:\WINDOWS\system32\win87em.dll |28/08/2001

10:00:00
C:\WINDOWS\system32\paqsp.dll |23/08/2001

17:47:16
C:\WINDOWS\system32\WLANUTL.dll |10/08/2005

15:25:11
C:\WINDOWS\system32\hpotscl.dll |09/03/2003

06:31:04
C:\WINDOWS\system32\coclassfast.dll

|21/06/2006 17:47:57
C:\WINDOWS\system32\vcmgcd32.dll

|12/08/2006 01:04:34
C:\WINDOWS\system32\msencode.dll

|30/08/2002 18:24:06
C:\WINDOWS\system32\mciqtz32.dll

|22/08/2006 18:51:54
C:\WINDOWS\system32\psisdecd.dll

|22/08/2006 18:51:57
C:\WINDOWS\SETVER.EXE |01/01/1980 00:00:00
C:\WINDOWS\OptChecker.exe |25/09/2005

19:01:51
C:\WINDOWS\system.exe |12/08/2006 04:48:44
C:\WINDOWS\system32\append.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\debug.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\dosx.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\edlin.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\exe2bin.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\fastopen.exe

|28/08/2001 10:00:00
C:\WINDOWS\system32\mem.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\mscdexnt.exe

|28/08/2001 10:00:00
C:\WINDOWS\system32\nlsfunc.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\redir.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\setver.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\share.exe |28/08/2001

10:00:00
C:\WINDOWS\system32\DivXsm.exe |23/11/2005

05:00:00
C:\WINDOWS\system32\MEMBG.DLL |01/01/1980

00:00:00
C:\WINDOWS\system32\msdmo.dll |22/08/2006

18:51:55
C:\WINDOWS\system32\qt-dx331.dll

|12/08/2005 22:57:09
C:\WINDOWS\system32\amstream.dll

|22/08/2006 18:51:53
C:\WINDOWS\system32\ir32_32.dll |28/08/2001

10:00:00
C:\WINDOWS\system32\qedwipes.dll

|22/08/2006 18:51:55
C:\WINDOWS\system32\tsd32.dll |28/08/2001

10:00:00
C:\WINDOWS\system32\win87em.dll |28/08/2001

10:00:00
C:\WINDOWS\system32\coclassfast.dll

|21/06/2006 17:47:57
C:\WINDOWS\system32\vcmgcd32.dll

|12/08/2006 01:04:34
C:\WINDOWS\system32\msencode.dll

|30/08/2002 18:24:06
C:\WINDOWS\system32\mciqtz32.dll

|22/08/2006 18:51:54
C:\WINDOWS\system32\psisdecd.dll

|22/08/2006 18:51:57

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0F48-09FF

Répertoire de C:\WINDOWS\system

18/01/1995 23:04 4 128

QTNOTIFY.EXE
1 fichier(s) 4 128

octets
0 Rép(s) 2 276 409 344 octets

libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0F48-09FF

Répertoire de C:\WINDOWS\system32

28/08/2001 10:00 4 096 csrss.exe
1 fichier(s) 4 096

octets
0 Rép(s) 2 276 409 344 octets

libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0F48-09FF

Répertoire de C:\WINDOWS\Downloaded Program

Files

21/12/2005 11:02 <REP> .
21/12/2005 11:02 <REP> ..
23/12/2005 00:26 65 desktop.ini
29/06/2005 17:17 227 opuc.inf
14/03/2005 13:38 126 live.ini
14/03/2005 13:58 7 073

scanoptions.tsi
16/03/2005 11:34 7 407 lang.ini
01/03/2005 14:08 53 248 ipsupd.dll
01/03/2005 14:08 118 784 bdupd.dll
07/12/2004 16:07 32 libfn.dll
07/12/2004 16:07 32 bdcore.dll
16/03/2005 11:31 475 136 oscan8.ocx
01/03/2005 11:15 1 246 oscan8.inf
08/12/2005 15:29 652 736 fscax.dll
25/11/2005 12:35 63 056

MusicManagerUnInstaller.exe
27/03/2006 13:00 5 019 swflash.inf
25/08/2005 15:37 3 833 856

NPSibelius.dll
25/08/2005 15:26 297 setup.inf
20/08/2002 20:48 172 664 xenroll.dll
20/08/2002 20:52 289 xenroll.inf
30/11/2004 14:17 728 qdiagh.inf
11/04/2006 17:10 135 168 asinst.dll
03/04/2006 11:00 537 asinst.inf
21 fichier(s) 5 527 726

octets

Total des fichiers listés :
21 fichier(s) 5 527 726

octets
2 Rép(s) 2 276 409 344 octets

libres

Liste des programmes installes

123 Free Solitaire for Children
Adobe Photoshop 7.0.1
Adobe Reader 7.0.8
Adventuria 1.1
Agnitum Outpost Firewall Pro
AutoUpdate
avast! Antivirus
ColorEggs
Correctif Windows XP - Article Base de

Connaissances 834707
Correctif Windows XP - KB823559
Correctif Windows XP - KB828741
Correctif Windows XP - KB835732
Correctif Windows XP - KB842773
Disque de souvenirs HP
DivX
DivX Player
e-Carte Bleue Visa La Banque Postale
ewido anti-spyware 4.0
HIJACKTHIS 1.99.01
HijackThis 1.99.1
hp psc 1200 series
Internet Explorer Q832894
Lecteur Windows Media 10
Livebox
Macromedia Flash Player 8
Microsoft Internet Explorer 6 SP1
Microsoft Office XP Professional avec FrontPage
Music Manager
Package du correctif Windows XP [voir Q329115

pour plus de détails]
Photo et imagerie HP 2.0 - All-in-One
Photo et imagerie HP 2.0 - All-in-One Pilote
Photo et imagerie HP 2.0 - hp psc 1200 series
QuickTime
Spybot - Search & Destroy 1.4
WebFldrs XP
Winamp (remove only)
Windows Media Format Runtime
Windows XP Hotfix (SP1) [See Q329048 for more

information]
Windows XP Hotfix (SP1) [See Q329390 for more

information]
Windows XP Hotfix (SP1) [See Q329441 for more

information]
Windows XP Hotfix (SP1) [See Q329834 for more

information]
Windows XP Hotfix (SP1) Q329170
Windows XP Hotfix (SP1) Q810577
Windows XP Hotfix (SP1) Q810833
Windows XP Hotfix (SP1) Q817606
WinRAR Archiveur



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0F48-09FF

Répertoire de C:\Program Files

12/05/2005 02:44 <REP> .
12/05/2005 02:44 <REP> ..
12/05/2005 02:44 <REP> NetMeeting
12/05/2005 02:44 <REP> PLUS!
12/05/2005 02:46 <REP> FRX
12/05/2005 03:29 <REP> WinRAR
12/05/2005 02:44 <REP> Accessoires
12/05/2005 02:44 <REP> Fichiers

communs
12/05/2005 02:44 <REP> Internet

Explorer
12/05/2005 02:44 <REP> FrontPage

Express
12/05/2005 02:44 <REP> Outlook

Express
12/05/2005 02:46 <REP> Services en

ligne
12/05/2005 03:26 <REP> Uninstall

Information
12/05/2005 03:31 <REP> PowerQuest
12/05/2005 04:13 <REP> Windows NT
12/05/2005 04:13 <REP> MSN Gaming

Zone
12/05/2005 04:13 <REP> MSN
12/05/2005 04:13 <REP> Messenger
12/05/2005 04:15 <REP> ComPlus

Applications
12/05/2005 04:15 <REP> Windows

Media Player
12/05/2005 04:16 <REP> Movie Maker
12/05/2005 04:19 <REP> microsoft

frontpage
12/05/2005 04:19 <REP> xerox
12/05/2005 04:38 <REP> Microsoft

Office
12/05/2005 05:22 <REP> Adobe
26/07/2005 08:28 <REP> 123 Free

Solitaire for Children
26/07/2005 08:29 <REP> Adventuria
26/07/2005 08:51 <REP> Alawar
23/08/2005 19:07 <REP>

Hewlett-Packard
29/08/2005 20:46 <REP> QuickTime
29/08/2005 20:59 <REP> iTunes
14/09/2005 17:29 <REP> filesubmit
22/09/2005 21:51 <REP> MSN Games
07/10/2005 09:35 <REP> directx
14/10/2005 18:55 <REP> Player

Metaboli
21/10/2005 22:49 <REP> Real
26/11/2005 17:17 <REP> Disney

Interactive
03/12/2005 11:36 <REP> Music

Manager
22/12/2005 22:24 <REP> HIJACKTHIS

VF
22/12/2005 23:21 <REP> Spybot -

Search & Destroy
28/12/2005 02:47 <REP>

OfficeUpdate11
03/01/2006 02:15 <REP> DivX
03/01/2006 02:15 <REP> Google
16/03/2006 21:03 <REP> eChanblard
21/04/2006 22:20 <REP> Lavasoft(2)
21/04/2006 22:37 <REP> Lavasoft
10/06/2006 19:03 <REP> Common

Files
21/06/2006 17:47 <REP> SAGEM
08/07/2006 14:35 <REP> e-Carte

Bleue
09/07/2006 01:11 <REP> Virtools

Web Player 3.0
10/07/2006 22:34 <REP> VideoLAN
24/07/2006 01:27 <REP> Alwil

Software
13/08/2006 02:45 <REP> Agnitum
27/08/2006 22:26 <REP> Winamp
10/09/2006 02:19 <REP> RegSearch
10/09/2006 18:31 <REP> ewido

anti-spyware 4.0
11/09/2006 10:53 <REP> BFU
0 fichier(s) 0

octets
57 Rép(s) 2 276 401 152 octets

libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0F48-09FF

Répertoire de C:\Program Files\fichiers

communs

12/05/2005 02:44 <REP> .
12/05/2005 02:44 <REP> ..
12/05/2005 02:45 <REP> SYSTEM
12/05/2005 02:47 <REP> SERVICES
12/05/2005 02:44 <REP> Microsoft

Shared
12/05/2005 04:08 <REP>

SpeechEngines
12/05/2005 04:08 <REP> ODBC
12/05/2005 04:15 <REP> MSSoap
12/05/2005 04:39 <REP> Designer
12/05/2005 05:22 <REP> Adobe
12/05/2005 05:23 <REP> Vbox
13/08/2005 01:14 <REP>

InstallShield
23/08/2005 19:09 <REP>

Hewlett-Packard
13/09/2005 01:25 <REP> Totem

Shared
07/10/2005 09:32 <REP> Roxio

Shared
21/10/2005 22:49 <REP> Real
13/08/2006 02:45 <REP> Agnitum

Shared
0 fichier(s) 0

octets
17 Rép(s) 2 276 401 152 octets

libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0F48-09FF

Répertoire de C:\Program Files\common files

10/06/2006 19:03 <REP> .
10/06/2006 19:03 <REP> ..
10/06/2006 19:03 <REP> System
0 fichier(s) 0

octets
3 Rép(s) 2 276 401 152 octets

libres
c:\Documents and Settings\Benoit\Mes

documents\BTMAGIC\_ISDEL.EXE
c:\Documents and Settings\Benoit\Mes

documents\BTMAGIC\PARTINFO.EXE
c:\Documents and Settings\Benoit\Mes

documents\BTMAGIC\SETUP.EXE
c:\Documents and Settings\Benoit\Mes

documents\BTMAGIC\SNUTIL.EXE
c:\Documents and Settings\Benoit\Mes

documents\BTMAGIC\IMAGES\FLOPPY.EXE
c:\Documents and Settings\Benoit\Mes

documents\BTMAGIC\IMAGES\FLOPPY95.EXE
c:\Documents and Settings\Benoit\Mes

documents\BTMAGIC\IMAGES\FLOPPYCA.EXE
c:\Documents and Settings\Benoit\Mes

documents\BTMAGIC\IMAGES\FLOPPYME.EXE
c:\Documents and Settings\Benoit\Mes

documents\BTMAGIC\OS2DOS\PARTINFO.EXE
c:\Documents and Settings\Benoit\Mes

documents\BTMAGIC\OS2DOS\PQBOOT.EXE
c:\Documents and Settings\Benoit\Mes

documents\BTMAGIC\OS2DOS\WRPROG.EXE
c:\Documents and Settings\Benoit\Mes

documents\BTMAGIC\OS2DOS\PATCH\PATCH.EXE
c:\Documents and Settings\Benoit\Mes

documents\WINDOWS\RESCUEME\_ISDel.exe
c:\Documents and Settings\Benoit\Mes

documents\WINDOWS\RESCUEME\Setup.exe
c:\Documents and Settings\Benoit\Mes

documents\WINDOWS\RESCUEME\OS2DOS\CHKDSK.EXE
c:\Documents and Settings\Benoit\Mes

documents\WINDOWS\RESCUEME\OS2DOS\EMM386.EXE
c:\Documents and Settings\Benoit\Mes

documents\WINDOWS\RESCUEME\OS2DOS\FLOPPY.EXE
c:\Documents and Settings\Benoit\Mes

documents\WINDOWS\RESCUEME\OS2DOS\FLOPPY95.EXE
c:\Documents and Settings\Benoit\Mes

documents\WINDOWS\RESCUEME\OS2DOS\FLOPPYCA.EXE
c:\Documents and Settings\Benoit\Mes

documents\WINDOWS\RESCUEME\OS2DOS\FLOPPYME.EXE
c:\Documents and Settings\Benoit\Mes

documents\WINDOWS\RESCUEME\OS2DOS\NWCDEX.EXE
c:\Documents and Settings\Benoit\Mes

documents\WINDOWS\RESCUEME\OS2DOS\PTEDIT32.EXE
c:\Documents and Settings\Benoit\Mes

documents\WINDOWS\SETUP\_ISDel.exe
c:\Documents and Settings\Benoit\Mes

documents\WINDOWS\SETUP\Setup.exe
c:\Documents and Settings\Benoit\Mes

documents\Dossier antivirus\AD

awarepersonal.exe
c:\Documents and Settings\Benoit\Mes

documents\Dossier

antivirus\ewido-setup_4.0.0.172c.exe
c:\Documents and Settings\Benoit\Mes

documents\Dossier antivirus\qttask.exe
c:\Documents and Settings\Benoit\Mes

documents\Dossier antivirus\Avast\setupfre.exe
c:\Documents and Settings\Benoit\Mes

documents\Dossier

antivirus\Sécuritoo\install_avfw410_or.exe
c:\Documents and Settings\Benoit\Mes

documents\Dossier

antivirus\Sécuritoo\securitoo_avfw_v3.exe
c:\Documents and Settings\Benoit\Mes

documents\Programmes

d'installation\QuickTimeInstaller.exe
c:\Documents and Settings\Benoit\Mes

documents\Programmes

d'installation\winamp524_full.exe
c:\Documents and Settings\Benoit\Mes

documents\Benoît\eMule0.46c-Installer.exe
c:\Documents and Settings\Benoit\Mes

documents\Benoît\PC\Q832894mise à jour IE

SP1.exe
c:\Documents and Settings\Benoit\Mes

documents\adobe reader\AdbeRdr70_enu_full.exe
c:\Documents and Settings\Benoit\Mes

documents\adobe reader\psa2011se_us.exe
c:\Documents and Settings\Benoit\Mes

documents\adobe reader\ytb01_efgsip.exe
c:\Documents and Settings\Benoit\Mes

documents\Mega Drive\gens.exe
c:\Documents and

Settings\Benoit\Bureau\diaghelp\FilesInfoCmd.ex

e
c:\Documents and

Settings\Benoit\Bureau\diaghelp\Fport.exe
c:\Documents and

Settings\Benoit\Bureau\diaghelp\grep.exe
c:\Documents and

Settings\Benoit\Bureau\diaghelp\LFiles.exe
c:\Documents and

Settings\Benoit\Bureau\diaghelp\LISTDLLS.exe
c:\Documents and

Settings\Benoit\Bureau\diaghelp\pslist.exe
c:\Documents and

Settings\Benoit\Bureau\diaghelp\streams.exe
c:\Documents and Settings\Benoit\Bureau\pour

rapport assiste 10-09-2006 22h\blbeta.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\Alouette III.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\BowlingG.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\BUONNA~1.EXE
c:\Documents and

Settings\Benoit\Bureau\Jeux\canadair.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\CyberMind.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\diner_dash-setup.ex

e
c:\Documents and

Settings\Benoit\Bureau\Jeux\luxor-setup.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\pacman3.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\PENDU.EXE
c:\Documents and

Settings\Benoit\Bureau\Jeux\PETANQUE.EXE
c:\Documents and

Settings\Benoit\Bureau\Jeux\rally.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\rock'n roll.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\smackman.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\Stress_Relief_Paint

ball.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\Tetriss.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\the amazing patate

drive.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\the amazing patate

show.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\DAMES\DAMES_.EXE
c:\Documents and

Settings\Benoit\Bureau\Jeux\Revolver\revolver.e

xe
c:\Documents and

Settings\Benoit\Bureau\Jeux\shareware\FlipFlop.

exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\shareware\BoundArou

nd_Demo\BoundAround_Demo.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\shareware\BoundArou

nd_Demo\unins000.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\shareware\emergency

\emgdemo.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\shareware\emergency

\uninstal.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\Microsoft

Games\Motocross Madness Trial\mcm.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\Microsoft

Games\Motocross Madness Trial\UNINSTAL.EXE
c:\Documents and

Settings\Benoit\Bureau\Jeux\Microsoft

Games\Monster Truck Madness 2

Trial\Monsterx.EXE
c:\Documents and

Settings\Benoit\Bureau\Jeux\Microsoft

Games\Monster Truck Madness 2

Trial\UNINSTAL.EXE
c:\Documents and

Settings\Benoit\Bureau\Jeux\Microsoft

Games\CART Precision Racing Trial\CARTX.EXE
c:\Documents and

Settings\Benoit\Bureau\Jeux\Microsoft

Games\CART Precision Racing Trial\UNINSTAL.EXE
c:\Documents and

Settings\Benoit\Bureau\Jeux\Microsoft Games\Age

of Empires Expansion Trial\empiresx.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\Microsoft Games\Age

of Empires Expansion Trial\uninstx.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\Microsoft

Games\Pinball Arcade Trial\Hhouse.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\Microsoft

Games\Pinball Arcade Trial\Launcher.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\Microsoft

Games\Pinball Arcade Trial\uninstal.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\Master

Backgammon\MasterBackgammon.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\Master

Backgammon\Unwise.exe
c:\Documents and

Settings\Benoit\Bureau\Jeux\Mah-Jong\MAH-JONG.E

XE
c:\Documents and Settings\All Users\Application

Data\Microsoft\IdentityCRL\ppcrlconfig.dll


Avec çà, tu sais tout ou presque sur mon ordinateur....

A+
bedeboi
 
Messages: 14
Inscription: 08 Sep 2006, 00:42

Messagede bedeboi » 11 Sep 2006, 22:05

1/ :?: Juste une question :?:

Cette ligne du Log Hijackthis te paraît elle toujours correcte?
:(
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp


2/ Je me suis aperçu que tu ne m'avais pas demandé le rapport BFU et pourtant quelque chose m'avait paru louche. J'ai re-exécuté le Wopla en Mode Sans Echec ce soir et sauvegardé le log que voici:

BFU v1.00.9
Windows XP (WinNT 5.01.2600 )
Script started at 23:21:00, on 11/09/2006

Failed: FileDelete C:\DOCUME~1\Benoit\LOCALS~1\Temp\~DFA7A3.tmp (operation failed)
Script completed.

Pas sûr que çà ait marché, on dirait... :(
A+
bedeboi
 
Messages: 14
Inscription: 08 Sep 2006, 00:42

Messagede bedeboi » 13 Sep 2006, 09:27

:cry:

Protector.exe cherche toujours à se connecter. Je suppose que l'on ne m'a pas oublié, hein?

Allez,A+
bedeboi
 
Messages: 14
Inscription: 08 Sep 2006, 00:42

Messagede nickW » 13 Sep 2006, 17:02

Bonjour,

A propos de l'analyse par le robot:
Assiste a écrit:Les robots d'analyse cités sont des analyseurs en ligne de journaux HijackThis. Ils doivent être réservés, en exclusivité, aux utilisateurs très avancés et aux conseillers (helpers). En aucun cas un utilisateur "normal" ne doit prendre les conseils donnés par ces outils au pied de la lettre. Il faut être extrêmement circonspect avec leur usage et considérer qu'ils donnent, au mieux, des indications et des pistes de recherches, mais surtout AUCUNE CERTITUDE. Pire, ils donnent beaucoup de fausses informations dont de très malheureux conseils de corriger (fix) des lignes tout à fait légitimes. L'existence de ces outils n'aurait jamais du être portée à la connaissance du plus grand nombre.

La ligne qui t'est signalée est parfaitement légitime (j'ai fabriqué un log de plusieurs lignes pour lequel toutes les réponses du robot sont fausses!)


Peux-tu me dire depuis quelle date tu reçois ces demandes de sortie de protector.exe?


Tu vas lancer de nouvelles recherches:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 5).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".


Étape 1: Recherche
Démarrer---->Rechercher---->Cliquer sur "Des fichiers ou des dossiers..."
Taper ntio* dans la zone de saisie "Une partie ou l'ensemble du nom de fichier:"
Vérifier (en dépliant la liste déroulante) que la zone "Rechercher dans:" est bien positionnée sur "Disque local (C: )"
Cliquer sur "Options avancées"
Cocher les cases situées devant "Rechercher dans les dossiers système", "Rechercher dans les fichiers et les dossiers cachés" et "Rechercher dans les sous-dossiers"
Cliquer sur le bouton "Rechercher"


Étape 2: RegSearch
Lancer RegSearch par un double clic sur RegSearch.exe (dans le dossier C:\Program Files\RegSearch).
Dans la zone "Enter search strings (case independent) and click OK"
saisir services.exe sur la 1ère ligne
saisir protector sur la 2ème ligne
saisir ntio256.sys sur la 3ème ligne

ne rien saisir dans la zone "Enter string to exclude from results (optional)"

puis cliquer sur le bouton OK

Le programme recherche dans le Registre les éléments demandés.
Attendre, sans rien faire d'autre (durée: jusqu'à 5 minutes, ce qui semble bien long.....).
Il y a ensuite ouverture d'une fenêtre du Bloc-notes, enregistrer ce fichier (Menu Fichier ---->Enregistrer sous..., donner le nom RegSearch2.txt).


Étape 3: Blacklight
Double-cliquer sur le fichier blbeta.exe et accepter la licence (cocher le bouton devant "I accept the agreement").
Cliquer sur Next puis sur Scan
Attendre (jusqu'à 10 mn).
Pendant le scan, il y a affichage de la liste des dossiers balayés.

En fin d'exécution, le résultat s'affiche.
Cliquer sur Close
NE PAS choisir l'option 2 "Cleaning/Rename" maintenant: il faut analyser le rapport!


Étape 4: ewido anti-spyware
Lancer ewido anti-spyware.
Cliquer sur le menu Update.
Si nécessaire, dans la colonne Settings (à droite), saisir les paramètres du proxy.
Dans le paragraphe Manual Update, cliquer sur le bouton Start update.
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 5: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 6: ewido anti-spyware
Lancer ewido anti-spyware et cliquer sur le menu Scanner.
Cliquer sur l'onglet Settings.
Dans How to act?, cliquer sur Recommended actions et choisir Quarantine.
Dans How to scan?, vérifier que toutes les cases sont cochées.
Dans Possibly unwanted software, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Automatically generate report after scan est coché.
Dans l'onglet Scan, cliquer sur Complete System Scan.
A la fin du scan, cliquer sur Apply all actions
Puis Sauver le rapport (Save Scan Report).


Étape 7: Résultats
Redémarrer en mode normal.
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- le résultat de la recherche de ntio*
*- le rapport de RegSearch (contenu du fichier RegSearch2.txt)
*- le rapport de Blacklight (contenu du fichier nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres) situé sur le Bureau)
*- le rapport d'ewido (dans le dossier Reports, lui-même sous-dossier du dossier d'installation d'ewido)
*- le nouveau log HijackThis

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede bedeboi » 13 Sep 2006, 22:15

Zut, je suis désolé, je suis confronté à un autre problème: ma version d'essai de Outpost (en Français) se termine en principe aujourd'hui.
Que va t-il se passer? Outpost va t'il devenir totalement inactif demain ou bien se limitera t-il à une version proche de celle qui est gratuite?

Sinon, j'ai aussi la possibilité de réinstaller le pack Anti-virus Firewall d'Orange ( évolution de Securitoo: une compil de logiciels de chez F-secure mais lesquels, çà..) auquel je suis abonné mais qui me semblait un peu "passoire" car l'antivirus s'était désactivé sans doute à cause d'un malware (!!!). (Je l'ai donc remplacé depuis 1 mois pour essai par Outpost + Avast, dans le but de faire un gros nettoyage, et les réactions de chacun ont été vives)

Que me conseilles tu?
Outpost gratuit (en Anglais, donc....)? Pour l'instant je ne souhaite pas réinvestir tout de suite car je suis encore abonné à Orange.
Merci de me donner ton avis.....
Excuse le boulet. :?

Bon, en attendant, j'attaque les nouvelles recherches. Merci!!!!!
bedeboi
 
Messages: 14
Inscription: 08 Sep 2006, 00:42

Messagede bedeboi » 14 Sep 2006, 01:25

Salut,

Désolé pour le robot d'analyse Hijack, j'ai pas encore assez lu le site d'assiste. Je pensais avoir trouvé cet outil dans un site que j'estimais de confiance à l'époque (tout comme assiste aujourd'hui) et il m'a d'ailleurs sorti des ronces plusieurs fois. De la chance, sans doute?

D'autre part, c'est aussi un autre site "d'assistance" qui a qualifié protector.exe de dangereux. Mais l'est-il vraiment? Peut-être que je te fais chercher un gentil fantôme....

La date d'expiration de Outpost est expirée, n'ai je plus de Pare-Feu actif? En tout cas le blocage des publicités semble toujours possible. Par contre , je ne peux plus dire si le processus caché tente toujours de sortir.
Que fais-je ? Y a t-il urgence d'installer Outpost version gratuite, si c'est possible?

Voici les dernières nouvelles, les outils parlent:

Recherche ntio:

Nom-----------Dans le dossier---------------------------------------------------------------------------------------date de modif
ntio.sys------C:\WINDOWS\SYSTEM32----------------------------------------------------------------------------28/8/2001
ntio404.sys--C:\WINDOWS\SYSTEM32----------------------------------------------------------------------------28/8/2001
ntio411.sys--C:\WINDOWS\SYSTEM32----------------------------------------------------------------------------28/8/2001
ntio412.sys--C:\WINDOWS\SYSTEM32----------------------------------------------------------------------------28/8/2001
ntio804.sys--C:\WINDOWS\SYSTEM32----------------------------------------------------------------------------28/8/2001
ntio411.sys--C:\WINDOWS\Software distribution\Download\70ccc3de7e94865059fbcf2f809c03b1---04/8/2004
ntio412.sys--C:\WINDOWS\Software distribution\Download\70ccc3de7e94865059fbcf2f809c03b1---04/8/2004
ntio404.sys--C:\WINDOWS\Software distribution\Download\70ccc3de7e94865059fbcf2f809c03b1---04/8/2004
ntio804.sys--C:\WINDOWS\Software distribution\Download\70ccc3de7e94865059fbcf2f809c03b1---04/8/2004
ntio.sys------C:\WINDOWS\Software distribution\Download\70ccc3de7e94865059fbcf2f809c03b1---04/8/2004

Research

REGEDIT4

; Registry Search by Bobbi Flekman © 2005
; Version: 1.0.2.4

; Results at 13/09/2006 23:37:36 for strings:
; 'services.exe'
; 'protector'
; 'ntio256.sys'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com\www]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc\www]

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com]

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com\www]

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc]

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc\www]

[HKEY_USERS\S-1-5-21-776561741-1965331169-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
"LastKey"="Poste de travail\\HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\Domains\\netspyprotector.com"

[HKEY_USERS\S-1-5-21-776561741-1965331169-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com]

[HKEY_USERS\S-1-5-21-776561741-1965331169-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com\www]

[HKEY_USERS\S-1-5-21-776561741-1965331169-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc]

[HKEY_USERS\S-1-5-21-776561741-1965331169-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc\www]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\netspyprotector.com\www]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pcadprotector.cc\www]

; End Of The Log...


Blacklight

09/13/06 23:51:44 [Info]: BlackLight Engine 1.0.46 initialized
09/13/06 23:51:44 [Info]: OS: 5.1 build 2600 ()
09/13/06 23:51:44 [Note]: 7019 4
09/13/06 23:51:44 [Note]: 7005 0
09/13/06 23:51:49 [Note]: 7006 0
09/13/06 23:51:49 [Note]: 7011 1136
09/13/06 23:51:51 [Note]: 7026 0
09/13/06 23:51:51 [Note]: 7026 0
09/13/06 23:51:51 [Note]: 7024 3
09/13/06 23:51:51 [Info]: Hidden process: C:\WINDOWS\system32\protector.exe
09/13/06 23:51:51 [Note]: FSRAW library version 1.7.1019
09/13/06 23:51:57 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\NTIO256.SYS
09/13/06 23:51:57 [Note]: 7002 0
09/13/06 23:51:57 [Note]: 7003 1
09/13/06 23:51:58 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\PROTEC~1.EXE
09/13/06 23:52:27 [Info]: Hidden file: c:\Documents and Settings\Benoit\Local Settings\Temporary Internet Files\Content.IE5\S
09/13/06 23:52:43 [Note]: 7002 0
09/13/06 23:52:43 [Note]: 7003 1
09/13/06 23:53:59 [Note]: 7007 0

Ewido

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 00:45:45 14/09/2006

+ Scan result:



C:\WINDOWS\SYSTEM32\protector.exe -> Proxy.Wopla.ac : Cleaned with backup (quarantined).
C:\WINDOWS\SYSTEM32\ntio256.sys -> Rootkit.Agent.cf : Cleaned with backup (quarantined).
C:\Documents and Settings\Benoit\Cookies\benoit@weborama[1].txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).


::Report end

Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 00:54:27, on 14/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD VISA\ECB.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/intl/fr/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/intl/fr/access/allinone.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = +
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD VISA\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/softwa ... Plugin.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30155.www3.hp.com/ediags/hpfix/ ... gh.cab?326
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Bonne nuit et à demain
bedeboi
 
Messages: 14
Inscription: 08 Sep 2006, 00:42

PrécédenteSuivante

Retourner vers OutPost Firewall

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités