Demande analyse de log Dorothée

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Demande analyse de log Dorothée

Messagede Dorothée » 16 Juil 2006, 15:34

Bonjour,

mon petit problème un peu génant tout de même: une page d'Internet Explorer s'ouvre toute seule toute les 20 à 30 minutes environ. l'adresse: http:///
ceci est une page: "serveur introuvable - Orange"
C'est un peu génant surtout lorsque vous jouez ou regardez un film, car la page passe devant tout le reste, ainsi votre jeu ou film et derrière et vous devez fermer cette page étrange pour revenir à ce que vous étiez en train de faire...

voici mon log après avoir effectué la Mini Manip (qui n'a pas résolu le problème):

Logfile of HijackThis v1.99.1
Scan saved at 11:42:39, on 16/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Lexmark 5200 series\lxbtbmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Dorothee\Mes documents\Temp\svchost.exe
C:\Documents and Settings\Dorothee\Mes documents\Temp\winlogin.exe
C:\Program Files\Lexmark 5200 series\lxbtbmon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\eMule\eMule.exe
C:\WINDOWS\system32\lxbtcoms.exe
C:\Documents and Settings\Dorothee\Bureau\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LyraHD2TrayApp] "C:\Program Files\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe"
O4 - HKLM\..\Run: [MMTray] C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Program Files\Lexmark 5200 series\lxbtbmgr.exe"
O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Winlogin] C:\Documents and Settings\Dorothee\Mes documents\Temp\svchost.exe
O4 - HKCU\..\Run: [Winlogon] C:\Documents and Settings\Dorothee\Mes documents\Temp\winlogin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe


Merci d'avance si vous trouvez la solution!
Dorothée
 
Messages: 11
Inscription: 16 Juil 2006, 10:48
Localisation: Quimper

Messagede nickW » 16 Juil 2006, 21:26

Bonsoir,


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML, ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 5).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".

Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/an ... aximum.php


Étape 3: Ccleaner
Télécharger et installer Ccleaner Basic dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/downloadbuilds.asp

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers, Vieilles données du Prefetch
*- Dans l'onglet Options-Avancé, décocher:
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 4: ewido anti-spyware
Télécharger la version d'essai de ewido anti-spyware depuis http://www.ewido.net/en/download/
L'installer.
Lancer ewido anti-spyware.
Cliquer sur le menu Update.
Si nécessaire, dans la colonne Settings (à droite), saisir les paramètres du proxy.
Dans le paragraphe Manual Update, cliquer sur le bouton Start update.
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 5: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 6: Services
Arrêter un service:

Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à France Telecom Routing Table Service
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINDOWS\System32\FTRTSVC.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK


Étape 7: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" (ou "Scanner seulement" en vf)
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items" (ou "Proteger les objets avt de fixer" en vf), puis cliquer sur le bouton "Back" (ou "Ret" en vf).
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked (ou Fixer objet en vf):
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O4 - HKCU\..\Run: [Winlogin] C:\Documents and Settings\Dorothee\Mes documents\Temp\svchost.exe--->Ajouté par Downloader-AWC
O4 - HKCU\..\Run: [Winlogon] C:\Documents and Settings\Dorothee\Mes documents\Temp\winlogin.exe--->Ajouté par Downloader-AWC


Étape 8: ewido anti-spyware
Lancer ewido anti-spyware et cliquer sur le menu Scanner.
Cliquer sur l'onglet Settings.
Dans How to act?, cliquer sur Recommended actions et choisir Quarantine.
Dans How to scan?, vérifier que toutes les cases sont cochées.
Dans Possibly unwanted software, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Automatically generate report after scan est coché.
Dans l'onglet Scan, cliquer sur Complete System Scan.
A la fin du scan, cliquer sur Apply all actions
Puis Sauver le rapport (Save Scan Report).


Étape 9: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse, après la fin de l'ensemble des étapes
Renommer (clic droit sur le nom du dossier) le dossier ci-dessous en ajoutant .non derrière son nom:

C:\Documents and Settings\Dorothee\Mes documents\Temp (à renommer en Temp.non)


Étape 10: Nettoyage
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage".
Exécuter l'antivirus, réglé au maximum (si l'antivirus ne démarre pas en mode sans échec, le signaler en réponse, après la fin de l'ensemble des étapes).
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur le bouton "Lancer le nettoyage".


Étape 11: Redémarrage
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport d'ewido (dans le dossier Reports, lui-même sous-dossier du dossier d'installation d'ewido)

en précisant si le problème est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suite demande analyse log Dorothée

Messagede Dorothée » 21 Juil 2006, 13:37

Bonjour,

tout d'abord je tiens à m'excuser du temps que j'ai mis à vous envoyer les rapports demandés suite au manip que vous m'aviez donné à faire. Cette semaine le travail était trés abondant...

J'ai donc bien effectué toute les étapes, sans interruption et dans l'ordre exact indiqué.

Pour l'étape 2: réglage antivirus, j'ai AVG et je n'ai pas trouvé comment le régler au maximum, mais j'ai tout de même continué la manip.

Pour l'étape 7: HijackThis: je n'avez pas les lignes indiquées, soit:
04 - HKCU\..\Run: [Winlogin] C:\Documents and Settings\Dorothee\Mes documents\Temp\svchost.exe
04 - HKCU\..\Run: [Winlogon] C:\Documents and Settings\Dorothee\Mes documents\Temp\winlogin.exe

Pour l'étape 9: Renommage: Le fichier Temp était absent donc je n'ai pas pu le renommer en Temp.non (c:\Documents and Settings\Dorothee\Mes documents\Temp)

Sinon pas de problème pour excécuter toute la manip.

[u]voici le nouveau log HijackThis:[/u]

Logfile of HijackThis v1.99.1
Scan saved at 14:15:25, on 21/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Lexmark 5200 series\lxbtbmgr.exe
C:\Program Files\Lexmark 5200 series\lxbtbmon.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Dorothee\Bureau\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LyraHD2TrayApp] "C:\Program Files\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe"
O4 - HKLM\..\Run: [MMTray] C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Program Files\Lexmark 5200 series\lxbtbmgr.exe"
O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Winlogin] C:\Documents and Settings\Dorothee\Mes documents\Temp\svchost.exe
O4 - HKCU\..\Run: [Winlogon] C:\Documents and Settings\Dorothee\Mes documents\Temp\winlogin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe

voici le rapport d'ewido:

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 12:27:48 21/07/2006

+ Scan result:



C:\Documents and Settings\Dorothee\Bureau\Bren\Everest Poker.exe -> Adware.Casino : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Bureau\Jeux PC crackés à essayer\Crack no cd\Desperados v1.0 No CD Crack.exe -> Backdoor.Theef.111 : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Bureau\Jeux PC crackés à essayer\Crack no cd\NoCD_Crack_Desperados_1.0.zip/Desperados v1.0 No CD Crack.exe -> Backdoor.Theef.111 : Cleaned with backup (quarantined).
C:\Program Files\Infogrames\Desperados\Desperados v1.0 No CD Crack.exe -> Backdoor.Theef.111 : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Bureau\Jeux PC crackés à essayer\Crack langage\CRACK ALEXANDRA LEDERMAN 6 (MULTILANGUAGE VERSION)(RUN).rar/CRACK ALEXANDRA LEDERMAN 6 (MULTILANGUAGE VERSION)(RUN)\Deutsch\trembler.exe/trembler.exe -> Not-A-Virus.BadJoke.Win32.Trembler : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Bureau\Jeux PC crackés à essayer\Crack langage\CRACK ALEXANDRA LEDERMAN 6 (MULTILANGUAGE VERSION)(RUN).rar/CRACK ALEXANDRA LEDERMAN 6 (MULTILANGUAGE VERSION)(RUN)\English\trembler.exe/trembler.exe -> Not-A-Virus.BadJoke.Win32.Trembler : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Bureau\Jeux PC crackés à essayer\Crack langage\CRACK ALEXANDRA LEDERMAN 6 (MULTILANGUAGE VERSION)(RUN).rar/CRACK ALEXANDRA LEDERMAN 6 (MULTILANGUAGE VERSION)(RUN)\Espa¤ol\trembler.exe/trembler.exe -> Not-A-Virus.BadJoke.Win32.Trembler : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Bureau\Jeux PC crackés à essayer\Crack langage\CRACK ALEXANDRA LEDERMAN 6 (MULTILANGUAGE VERSION)(RUN).rar/CRACK ALEXANDRA LEDERMAN 6 (MULTILANGUAGE VERSION)(RUN)\Fran‡ais\trembler.exe/trembler.exe -> Not-A-Virus.BadJoke.Win32.Trembler : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Bureau\Jeux PC crackés à essayer\Crack langage\CRACK ALEXANDRA LEDERMAN 6 (MULTILANGUAGE VERSION)(RUN).rar/CRACK ALEXANDRA LEDERMAN 6 (MULTILANGUAGE VERSION)(RUN)\Italiano\trembler.exe/trembler.exe -> Not-A-Virus.BadJoke.Win32.Trembler : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Bureau\Jeux PC crackés à essayer\Crack langage\CRACK ALEXANDRA LEDERMAN 6 (MULTILANGUAGE VERSION)(RUN).rar/CRACK ALEXANDRA LEDERMAN 6 (MULTILANGUAGE VERSION)(RUN)\Nederlands\trembler.exe/trembler.exe -> Not-A-Virus.BadJoke.Win32.Trembler : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Bureau\Jeux PC crackés à essayer\Crack langage\CRACK ALEXANDRA LEDERMAN 6 (MULTILANGUAGE VERSION)(RUN).rar/CRACK ALEXANDRA LEDERMAN 6 (MULTILANGUAGE VERSION)(RUN)\Portugeses\trembler.exe/trembler.exe -> Not-A-Virus.BadJoke.Win32.Trembler : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Mes documents\Dorothée DE WILDE\ErrorSafeScannerInstall_fr.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Bureau\Dorothée\WinAntiVirusPro2006FreeInstall_fr.exe -> Not-A-Virus.Downloader.Win32.WinFixer.i : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Bureau\Dorothée\cd gilles\Logiciels\mmx_upg.rar/MMX_UPG.EXE -> Not-A-Virus.Hoax.DOS.MMX_Upgrade : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Bureau\Jeux PC crackés à essayer\Crack no cd\Crack Kingpin 2\Kingpin_patch_1.21+no-cd_crack.rar/kingpin121 no-cd.zip/kp121cr.exe -> Trojan.Proxcrak.A : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Bureau\Jeux PC crackés à essayer\Crack no cd\Crack Kingpin 2\kingpin121 no-cd.zip/kp121cr.exe -> Trojan.Proxcrak.A : Cleaned with backup (quarantined).
C:\Documents and Settings\Dorothee\Bureau\Jeux PC crackés à essayer\Crack no cd\Crack Kingpin 2\kp121cr.exe -> Trojan.Proxcrak.A : Cleaned with backup (quarantined).


::Report end

Je n'ai pas eu de page internet (problème de départ) qui s'est ouvert toute seule. En tout cas pour l'instant.
Je ne manque pas de vous le signaler dans l'après-midi si cela arrive.


J'espère que le problème est bien réglé et vous remercie mille fois de votre aide!
Je n'y serait jamais arrivé seule! et.. j'ai bien vu avec Ccleaner d'où venait certains virus... notamment les crack de jeux. c'était évident, ils n'avaient même pas l'icône des jeux que je cherchais... Je vais être plus prudente à l'avenir... sinon je recommencerai cette trés longue manipulation...

Biensûr tous vos conseil sont les bienvenus.

Cordialement.
Dorothée
 
Messages: 11
Inscription: 16 Juil 2006, 10:48
Localisation: Quimper

Messagede nickW » 21 Juil 2006, 23:58

Bonsoir,

A mon avis, tu devrais supprimer tout ce que contient le dossier "Jeux PC crackés à essayer" :wink:

Les deux clés du Registre créées par "Downloader-AWC" n'ont pas été supprimées.

Je vais donc te demander de lancer un programme pour les rechercher:

RegSearch
Télécharger RegSearch (de Bobbi Flekman) (clic droit sur le lien ci-dessous, enregistrer le fichier sur le bureau):
http://www.bleepingcomputer.com/files/m ... Search.zip
Décompresser cette archive dans un dossier qui lui sera réservé (par exemple, C:\Program Files\RegSearch).

Lancer RegSearch par un double clic sur RegSearch.exe (dans le dossier C:\Program Files\RegSearch).
Dans la zone "Enter search strings (case independent) and click OK"
saisir winlogin sur la 1ère ligne

ne rien saisir dans la zone "Enter string to exclude from results (optional)"

puis cliquer sur le bouton OK

Le programme recherche dans le Registre les éléments demandés.
Attendre, sans rien faire d'autre (durée: jusqu'à 5 minutes, ce qui semble bien long.....).
Il y a ensuite ouverture d'une fenêtre du Bloc-notes, enregistrer ce fichier (Menu Fichier ---->Enregistrer sous..., donner le nom rech-winlogin.txt).
En copier le contenu en réponse.

Fermer RegSearch en cliquant sur le bouton "Cancel"


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suite Dorothée

Messagede Dorothée » 22 Juil 2006, 13:25

Bonjour,

pour le dossier "Jeux PC crackés à essayer", j'ai effacer ce qu'il fallait. :roll:

Sinon voici la recherche de Winlogin:

REGEDIT4

; Registry Search by Bobbi Flekman © 2005
; Version: 1.0.2.4

; Results at 22/07/2006 14:14:13 for strings:
; 'winlogin'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Winlogin"="C:\\Documents and Settings\\Dorothee\\Mes documents\\Temp\\svchost.exe"

[HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Winlogon"="C:\\Documents and Settings\\Dorothee\\Mes documents\\Temp\\winlogin.exe"

[HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Documents and Settings\\Dorothee\\Mes documents\\Temp\\winlogin.exe"="winlogin"

; End Of The Log...


Il y avait encore des choses critiques à nettoyer de mon PC?
Sinon je confirme, le problème de départ (ouverture d'une page internet vierge toute seule) a disparu.

Cordialement.
Dorothée
 
Messages: 11
Inscription: 16 Juil 2006, 10:48
Localisation: Quimper

re suite Dorothée

Messagede Dorothée » 22 Juil 2006, 13:30

Je viens de trouver ce bloc note sur mon bureau et je ne crois pas que vous en ayez eu connaissance:


#
# An unexpected error has been detected by HotSpot Virtual Machine:
#
# EXCEPTION_ACCESS_VIOLATION (0xc0000005) at pc=0x7c9110f3, pid=1992, tid=2392
#
# Java VM: Java HotSpot(TM) Client VM (1.5.0_07-b03 mixed mode, sharing)
# Problematic frame:
# C [ntdll.dll+0x10f3]
#

--------------- T H R E A D ---------------

Current thread (0x08588c68): JavaThread "thread applet-fr.wanadoo.view.Chat.class" [_thread_in_native, id=2392]

siginfo: ExceptionCode=0xc0000005, writing address 0x090e6e44

Registers:
EAX=0x00000000, EBX=0x2b347258, ECX=0x0991f8b4, EDX=0x090e6e3c
ESP=0x0991f8c4, EBP=0x0991f8fc, ESI=0x090e6e28, EDI=0x090e6e3c
EIP=0x7c9110f3, EFLAGS=0x00010246

Top of Stack: (sp=0x0991f8c4)
0x0991f8c4: 6d0d7d08 090e6e3c 08588c68 08588d28
0x0991f8d4: 6d0c8093 08588c68 2aaf2cf8 2b347258
0x0991f8e4: 20aa8320 00000000 0991f8d8 0991fbe4
0x0991f8f4: 6d0f34d0 00000000 0991f930 05ca899c
0x0991f904: 08588d28 0991f940 00000001 20aa8320
0x0991f914: 0991f90c 00000000 0991f940 2b3481c8
0x0991f924: 00000000 2b347258 0991f940 0991f960
0x0991f934: 05ca2923 00000000 05ca6449 20aa8320

Instructions: (pc=0x7c9110f3)
0x7c9110e3: 24 00 00 00 00 90 90 90 90 90 8b 54 24 04 33 c0
0x7c9110f3: ff 4a 08 75 26 89 42 0c f0 ff 4a 04 7d 03 c2 04


Stack: [0x09820000,0x09920000), sp=0x0991f8c4, free space=1022k
Native frames: (J=compiled Java code, j=interpreted, Vv=VM code, C=native code)
C [ntdll.dll+0x10f3]
j sun.awt.windows.WComponentPeer._dispose()V+0
j sun.awt.windows.WComponentPeer.disposeImpl()V+23
j sun.awt.windows.WObjectPeer.dispose()V+42
j java.awt.Component.removeNotify()V+211
j java.awt.Container.removeNotify()V+38
j java.awt.Container.remove(I)V+43
j java.awt.Container.remove(Ljava/awt/Component;)V+45
j sun.applet.AppletPanel.run()V+552
j java.lang.Thread.run()V+11
v ~StubRoutines::call_stub
V [jvm.dll+0x86401]
V [jvm.dll+0xdb172]
V [jvm.dll+0x862d2]
V [jvm.dll+0x8602f]
V [jvm.dll+0xa0bcb]
V [jvm.dll+0x10bdad]
V [jvm.dll+0x10bd7b]
C [msvcrt.dll+0x2a3b0]
C [kernel32.dll+0xb50b]

Java frames: (J=compiled Java code, j=interpreted, Vv=VM code)
j sun.awt.windows.WComponentPeer._dispose()V+0
j sun.awt.windows.WComponentPeer.disposeImpl()V+23
j sun.awt.windows.WObjectPeer.dispose()V+42
j java.awt.Component.removeNotify()V+211
j java.awt.Container.removeNotify()V+38
j java.awt.Container.remove(I)V+43
j java.awt.Container.remove(Ljava/awt/Component;)V+45
j sun.applet.AppletPanel.run()V+552
j java.lang.Thread.run()V+11
v ~StubRoutines::call_stub

--------------- P R O C E S S ---------------

Java Threads: ( => current thread )
0x086fa7f0 JavaThread "Thread-23" [_thread_blocked, id=3216]
0x0340aed8 JavaThread "AWT-EventQueue-5" [_thread_blocked, id=3676]
0x08588e70 JavaThread "Keep-Alive-Timer" daemon [_thread_blocked, id=488]
0x03402a30 JavaThread "Thread-21" [_thread_blocked, id=3248]
=>0x08588c68 JavaThread "thread applet-fr.wanadoo.view.Chat.class" [_thread_in_native, id=2392]
0x0858a070 JavaThread "AWT-EventQueue-0" [_thread_blocked, id=372]
0x09080858 JavaThread "AWT-Shutdown" [_thread_blocked, id=2748]
0x085664b8 JavaThread "Thread-19" [_thread_blocked, id=744]
0x0856ab20 JavaThread "traceMsgQueueThread" daemon [_thread_blocked, id=3128]
0x08566920 JavaThread "AWT-Windows" daemon [_thread_in_native, id=3656]
0x085652e0 JavaThread "Java2D Disposer" daemon [_thread_blocked, id=3916]
0x034f8348 JavaThread "Low Memory Detector" daemon [_thread_blocked, id=3704]
0x034f6dd8 JavaThread "CompilerThread0" daemon [_thread_blocked, id=3032]
0x034f6180 JavaThread "Signal Dispatcher" daemon [_thread_blocked, id=2428]
0x034cb348 JavaThread "Finalizer" daemon [_thread_blocked, id=2572]
0x034ca670 JavaThread "Reference Handler" daemon [_thread_blocked, id=1024]

Other Threads:
0x034c7d78 VMThread [id=2840]
0x034f9560 WatcherThread [id=3540]

VM state:not at safepoint (normal execution)

VM Mutex/Monitor currently owned by a thread: None

Heap
def new generation total 576K, used 403K [0x20a70000, 0x20b10000, 0x211d0000)
eden space 512K, 66% used [0x20a70000, 0x20ac4d00, 0x20af0000)
from space 64K, 100% used [0x20b00000, 0x20b10000, 0x20b10000)
to space 64K, 0% used [0x20af0000, 0x20af0000, 0x20b00000)
tenured generation total 1408K, used 738K [0x211d0000, 0x21330000, 0x26a70000)
the space 1408K, 52% used [0x211d0000, 0x21288a48, 0x21288c00, 0x21330000)
compacting perm gen total 8192K, used 1514K [0x26a70000, 0x27270000, 0x2aa70000)
the space 8192K, 18% used [0x26a70000, 0x26bea850, 0x26beaa00, 0x27270000)
ro space 8192K, 63% used [0x2aa70000, 0x2af7ccc8, 0x2af7ce00, 0x2b270000)
rw space 12288K, 46% used [0x2b270000, 0x2b80b738, 0x2b80b800, 0x2be70000)

Dynamic libraries:
0x00400000 - 0x00419000 C:\Program Files\Internet Explorer\iexplore.exe
0x7c910000 - 0x7c9c7000 C:\WINDOWS\system32\ntdll.dll
0x7c800000 - 0x7c904000 C:\WINDOWS\system32\kernel32.dll
0x77be0000 - 0x77c38000 C:\WINDOWS\system32\msvcrt.dll
0x77d10000 - 0x77da0000 C:\WINDOWS\system32\USER32.dll
0x77ef0000 - 0x77f37000 C:\WINDOWS\system32\GDI32.dll
0x77f40000 - 0x77fb6000 C:\WINDOWS\system32\SHLWAPI.dll
0x77da0000 - 0x77e4c000 C:\WINDOWS\system32\ADVAPI32.dll
0x77e50000 - 0x77ee1000 C:\WINDOWS\system32\RPCRT4.dll
0x77720000 - 0x7788f000 C:\WINDOWS\system32\SHDOCVW.dll
0x779e0000 - 0x77a76000 C:\WINDOWS\system32\CRYPT32.dll
0x77a80000 - 0x77a92000 C:\WINDOWS\system32\MSASN1.dll
0x76610000 - 0x76694000 C:\WINDOWS\system32\CRYPTUI.dll
0x76be0000 - 0x76c0e000 C:\WINDOWS\system32\WINTRUST.dll
0x76c40000 - 0x76c68000 C:\WINDOWS\system32\IMAGEHLP.dll
0x770e0000 - 0x7716c000 C:\WINDOWS\system32\OLEAUT32.dll
0x774a0000 - 0x775dd000 C:\WINDOWS\system32\ole32.dll
0x6fee0000 - 0x6ff34000 C:\WINDOWS\system32\NETAPI32.dll
0x77aa0000 - 0x77b47000 C:\WINDOWS\system32\WININET.dll
0x76f10000 - 0x76f3d000 C:\WINDOWS\system32\WLDAP32.dll
0x77bd0000 - 0x77bd8000 C:\WINDOWS\system32\VERSION.dll
0x77390000 - 0x77492000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
0x7c9d0000 - 0x7d1f3000 C:\WINDOWS\system32\SHELL32.dll
0x58b50000 - 0x58be7000 C:\WINDOWS\system32\comctl32.dll
0x5b090000 - 0x5b0c8000 C:\WINDOWS\system32\uxtheme.dll
0x74690000 - 0x746db000 C:\WINDOWS\system32\MSCTF.dll
0x10000000 - 0x10007000 C:\Program Files\Macrogaming\SweetIM\mgAdaptersProxy.dll
0x75f10000 - 0x7600d000 C:\WINDOWS\system32\BROWSEUI.dll
0x20000000 - 0x20013000 C:\WINDOWS\system32\browselc.dll
0x77b50000 - 0x77b72000 C:\WINDOWS\system32\appHelp.dll
0x76f80000 - 0x76fff000 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 - 0x770d4000 C:\WINDOWS\system32\COMRes.dll
0x77170000 - 0x77210000 C:\WINDOWS\system32\urlmon.dll
0x77fc0000 - 0x77fd1000 C:\WINDOWS\system32\Secur32.dll
0x765b0000 - 0x76606000 C:\WINDOWS\System32\cscui.dll
0x76590000 - 0x765ad000 C:\WINDOWS\System32\CSCDLL.dll
0x778e0000 - 0x779d8000 C:\WINDOWS\system32\SETUPAPI.dll
0x01770000 - 0x0189a000 c:\program files\google\googletoolbar2.dll
0x71a10000 - 0x71a1a000 C:\WINDOWS\system32\WSOCK32.dll
0x719f0000 - 0x71a07000 C:\WINDOWS\system32\WS2_32.dll
0x719e0000 - 0x719e8000 C:\WINDOWS\system32\WS2HELP.dll
0x76ae0000 - 0x76b0f000 C:\WINDOWS\system32\WINMM.dll
0x76310000 - 0x76315000 C:\WINDOWS\system32\MSIMG32.dll
0x5d3f0000 - 0x5d491000 C:\WINDOWS\system32\DBGHELP.DLL
0x76e90000 - 0x76ecc000 C:\WINDOWS\system32\RASAPI32.DLL
0x76e40000 - 0x76e52000 C:\WINDOWS\system32\rasman.dll
0x76e60000 - 0x76e8f000 C:\WINDOWS\system32\TAPI32.dll
0x76e30000 - 0x76e3e000 C:\WINDOWS\system32\rtutils.dll
0x77c40000 - 0x77c63000 C:\WINDOWS\system32\msv1_0.dll
0x76d10000 - 0x76d29000 C:\WINDOWS\system32\iphlpapi.dll
0x72220000 - 0x72225000 C:\WINDOWS\system32\sensapi.dll
0x76960000 - 0x76a15000 C:\WINDOWS\system32\USERENV.dll
0x0ffd0000 - 0x0fff8000 C:\WINDOWS\system32\rsaenh.dll
0x01ae0000 - 0x01aec000 C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
0x01b00000 - 0x01b73000 C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
0x01c70000 - 0x01d45000 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
0x5f140000 - 0x5f157000 C:\WINDOWS\system32\olepro32.dll
0x6d610000 - 0x6d67a000 C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
0x77210000 - 0x772c1000 C:\WINDOWS\system32\SXS.DLL
0x01e90000 - 0x01f1e000 C:\WINDOWS\system32\shdoclc.dll
0x01f20000 - 0x021fa000 C:\WINDOWS\system32\xpsp2res.dll
0x75d30000 - 0x75dc1000 C:\WINDOWS\system32\mlang.dll
0x71990000 - 0x719d0000 C:\WINDOWS\system32\mswsock.dll
0x62e40000 - 0x62e99000 C:\WINDOWS\system32\hnetcfg.dll
0x719d0000 - 0x719d8000 C:\WINDOWS\System32\wshtcpip.dll
0x602c0000 - 0x602c6000 C:\Program Files\Musicmatch\Musicmatch Jukebox\KeyboardHookDll.dll
0x7c000000 - 0x7c055000 C:\Program Files\Musicmatch\Musicmatch Jukebox\MMVCR70.dll
0x028a0000 - 0x02b66000 C:\WINDOWS\system32\msi.dll
0x02220000 - 0x02227000 C:\PROGRA~1\Wanadoo\Inactivity.dll
0x58ff0000 - 0x58ff7000 C:\WINDOWS\System32\wship6.dll
0x76ed0000 - 0x76ef7000 C:\WINDOWS\system32\DNSAPI.dll
0x76f70000 - 0x76f76000 C:\WINDOWS\system32\rasadhlp.dll
0x7dbf0000 - 0x7dee4000 C:\WINDOWS\System32\mshtml.dll
0x74630000 - 0x74657000 C:\WINDOWS\System32\msls31.dll
0x76ba0000 - 0x76bab000 C:\WINDOWS\System32\PSAPI.DLL
0x74660000 - 0x7468a000 C:\WINDOWS\System32\msimtf.dll
0x76320000 - 0x7633d000 C:\WINDOWS\system32\IMM32.DLL
0x32520000 - 0x32532000 C:\Program Files\Microsoft Office\Office10\msohev.dll
0x75be0000 - 0x75c4e000 C:\WINDOWS\System32\jscript.dll
0x672b0000 - 0x672f0000 C:\WINDOWS\System32\iepeers.dll
0x72f50000 - 0x72f76000 C:\WINDOWS\System32\WINSPOOL.DRV
0x761c0000 - 0x76231000 C:\WINDOWS\System32\mshtmled.dll
0x72c70000 - 0x72c79000 C:\WINDOWS\system32\wdmaud.drv
0x72c60000 - 0x72c68000 C:\WINDOWS\system32\msacm32.drv
0x77bb0000 - 0x77bc5000 C:\WINDOWS\system32\MSACM32.dll
0x77ba0000 - 0x77ba7000 C:\WINDOWS\system32\midimap.dll
0x73250000 - 0x732b7000 C:\WINDOWS\System32\vbscript.dll
0x73d20000 - 0x73e1e000 C:\WINDOWS\System32\MFC42.DLL
0x61d70000 - 0x61d7e000 C:\WINDOWS\system32\MFC42LOC.DLL
0x30000000 - 0x30222000 C:\WINDOWS\system32\Macromed\Flash\Flash8.ocx
0x76340000 - 0x7638a000 C:\WINDOWS\system32\comdlg32.dll
0x6d8f0000 - 0x6d8fa000 C:\WINDOWS\System32\ddrawex.dll
0x736b0000 - 0x736f9000 C:\WINDOWS\System32\DDRAW.dll
0x73b10000 - 0x73b16000 C:\WINDOWS\System32\DCIMAN32.dll
0x71ca0000 - 0x71cbc000 C:\WINDOWS\system32\ACTXPRXY.DLL
0x6d590000 - 0x6d5a2000 C:\Program Files\Java\jre1.5.0_07\bin\npjpi150_07.dll
0x6d400000 - 0x6d417000 C:\Program Files\Java\jre1.5.0_07\bin\jpiexp32.dll
0x76f60000 - 0x76f68000 C:\WINDOWS\System32\winrnr.dll
0x6d450000 - 0x6d468000 C:\Program Files\Java\jre1.5.0_07\bin\jpishare.dll
0x6d6c0000 - 0x6d857000 C:\PROGRA~1\Java\JRE15~1.0_0\bin\client\jvm.dll
0x6d280000 - 0x6d288000 C:\PROGRA~1\Java\JRE15~1.0_0\bin\hpi.dll
0x6d690000 - 0x6d69c000 C:\PROGRA~1\Java\JRE15~1.0_0\bin\verify.dll
0x6d300000 - 0x6d31d000 C:\PROGRA~1\Java\JRE15~1.0_0\bin\java.dll
0x6d6b0000 - 0x6d6bf000 C:\PROGRA~1\Java\JRE15~1.0_0\bin\zip.dll
0x6d000000 - 0x6d167000 C:\Program Files\Java\jre1.5.0_07\bin\awt.dll
0x73890000 - 0x73960000 C:\WINDOWS\system32\D3DIM700.DLL
0x6d240000 - 0x6d27f000 C:\Program Files\Java\jre1.5.0_07\bin\fontmanager.dll
0x6d1f0000 - 0x6d203000 C:\Program Files\Java\jre1.5.0_07\bin\deploy.dll
0x6d5d0000 - 0x6d5f2000 C:\Program Files\Java\jre1.5.0_07\bin\RegUtils.dll
0x6d3e0000 - 0x6d3f5000 C:\Program Files\Java\jre1.5.0_07\bin\jpicom32.dll
0x08d20000 - 0x08d28000 C:\WINDOWS\system32\xpsp3res.dll
0x6d4c0000 - 0x6d4d3000 C:\Program Files\Java\jre1.5.0_07\bin\net.dll

VM Arguments:
jvm_args: -Xbootclasspath/a:C:\PROGRA~1\Java\JRE15~1.0_0\lib\deploy.jar;C:\PROGRA~1\Java\JRE15~1.0_0\lib\plugin.jar -Xmx96m -Djavaplugin.maxHeapSize=96m -Xverify:remote -Djavaplugin.version=1.5.0_07 -Djavaplugin.nodotversion=150_07 -Dbrowser=sun.plugin -DtrustProxy=true -Dapplication.home=C:\PROGRA~1\Java\JRE15~1.0_0 -Djava.protocol.handler.pkgs=sun.plugin.net.protocol -Djavaplugin.vm.options=-Djava.class.path=C:\PROGRA~1\Java\JRE15~1.0_0\classes -Xbootclasspath/a:C:\PROGRA~1\Java\JRE15~1.0_0\lib\deploy.jar;C:\PROGRA~1\Java\JRE15~1.0_0\lib\plugin.jar -Xmx96m -Djavaplugin.maxHeapSize=96m -Xverify:remote -Djavaplugin.version=1.5.0_07 -Djavaplugin.nodotversion=150_07 -Dbrowser=sun.plugin -DtrustProxy=true -Dapplication.home=C:\PROGRA~1\Java\JRE15~1.0_0 -Djava.protocol.handler.pkgs=sun.plugin.net.protocol vfprintf
java_command: <unknown>
Launcher Type: generic

Environment Variables:
PATH=C:\PROGRA~1\Java\JRE15~1.0_0\bin;C:\Program Files\Internet Explorer;;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\ATI Technologies\ATI Control Panel;C:\PROGRA~1\FICHIE~1\MGISHA~1\Video;.
USERNAME=Dorothee
OS=Windows_NT
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD



--------------- S Y S T E M ---------------

OS: Windows XP Build 2600 Service Pack 2

CPU:total 1 family 6, cmov, cx8, fxsr, mmx, sse

Memory: 4k page, physical 523760k(127096k free), swap 1279924k(780352k free)

vm_info: Java HotSpot(TM) Client VM (1.5.0_07-b03) for windows-x86, built on May 3 2006 01:04:38 by "java_re" with MS VC++ 6.0



Je ne le trouve pas trés rassurant.... c'est grave docteur?
Dorothée
 
Messages: 11
Inscription: 16 Juil 2006, 10:48
Localisation: Quimper

Messagede nickW » 22 Juil 2006, 22:41

Bonsoir,

Il faut finir le nettoyage avant d'envisager la suite:


Étape 1: Création du fichier tuer-Winlogin.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans un éditeur de texte (Bloc-notes, Notepad, Wordpad par exemple) et enregistrer le fichier sous le nom de tuer-Winlogin.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir Tous les fichiers dans la liste déroulante de Type lors du Enregistrer sous..
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Winlogin"=-

[HKEY_USERS\S-1-5-21-854245398-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Winlogon"=-





Étape 2: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 3: Utilisation du fichier tuer-Winlogin.reg
Faire un clic droit sur tuer-Winlogin.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le registre.


Étape 4: Redémarrage
Redémarrer en mode normal.
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis

Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


Quant au fichier texte trouvé sur le Bureau, il correspond, à mon avis, au "plantage" d'une applet Java (cf: "thread applet-fr.wanadoo.view.Chat.class").
Que faire? Compresser ce fichier dans une archive (zip), puis le garder un certain temps (en espérant que cela ne se reproduise pas :wink: ).


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 34 invités

cron