Vista de demarre plus et bloque sur explorer.exe [RESOLU]

SilverArrow · le 12 Juil 2008 09:48

Bonjour
depuis que j'ai installé ULead video et un plugin de karaoke sur mon pc, plus moyen de le demarrer. Il bloque sur une fenetre explorer et je dois utiliser le gestionnaire de taches pour tuer le process explorer.exe en cours et en lancer un autre.

Voici le rapport HiJack this.
Si quelqu'un pouvait m'aider....
Merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:40:44, on 12/07/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:Windowssystem32 askeng.exe
C:Windowssystem32Dwm.exe
C:Windowsexplorer.exe
C:Windowsscvhost.exe
C:Program FilesNod32
od32kui.exe
C:WindowsSystem32 undll32.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:WindowsSystem32 undll32.exe
C:Program FilesWindows Sidebarsidebar.exe
C:Program FilesWindows LiveMessengermsnmsgr.exe
C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
C:WindowsSystem32 undll32.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesWindows Sidebarsidebar.exe
C:Windowssystem32SearchFilterHost.exe
C:UsersphilippeDownloadsHiJackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.google.fr
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.google.fr
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.google.fr
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.google.fr/ie
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Vista Ultimate Edition
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:Windowsscvhost.exe
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:Program FilesIEProiepro.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_05inssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [nod32kui] "C:Program FilesNod32
od32kui.exe" /WAITSERVICE
O4 - HKLM..Run: [NVHotkey] rundll32.exe C:Windowssystem32
vHotkey.dll,Start
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [NvSvc] RUNDLL32.EXE C:Windowssystem32
vsvc.dll,nvsvcStart
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:Windowssystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:Windowssystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [Windows Update] C:Windowsscvhost.exe
O4 - HKLM..Run: [msconfig] C:Windowsscvhost.exe
O4 - HKLM..Run: [AntiVir] C:Windowsscvhost.exe
O4 - HKLM..Run: [icq lite] C:Windowsscvhost.exe
O4 - HKLM..Run: [Update Checker] C:Windowsscvhost.exe
O4 - HKLM..Run: [] C:Windowsscvhost.exe
O4 - HKLM..RunServices: [Windows Update] C:Windowsscvhost.exe
O4 - HKLM..RunServices: [msconfig] C:Windowsscvhost.exe
O4 - HKLM..RunServices: [AntiVir] C:Windowsscvhost.exe
O4 - HKLM..RunServices: [icq lite] C:Windowsscvhost.exe
O4 - HKLM..RunServices: [Update Checker] C:Windowsscvhost.exe
O4 - HKLM..RunServices: [] C:Windowsscvhost.exe
O4 - HKLM..RunOnce: [Windows Update] C:Windowsscvhost.exe
O4 - HKLM..RunOnce: [msconfig] C:Windowsscvhost.exe
O4 - HKLM..RunOnce: [icq lite] C:Windowsscvhost.exe
O4 - HKLM..RunOnce: [Update Checker] C:Windowsscvhost.exe
O4 - HKLM..RunOnce: [AntiVir] C:Windowsscvhost.exe
O4 - HKLM..RunOnce: [] C:Windowsscvhost.exe
O4 - HKCU..Run: [Sidebar] C:Program FilesWindows Sidebarsidebar.exe /autoRun
O4 - HKCU..Run: [msnmsgr] "C:Program FilesWindows LiveMessengermsnmsgr.exe" /background
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
O4 - HKUSS-1-5-19..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'SERVICE RESEAU')
O7 - HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:Program FilesIEProiepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:Program FilesIEProiepro.dll
O10 - Broken Internet access because of LSP provider 'c:windowssystem32pnrpnsp.dll' missing
O17 - HKLMSystemCCSServicesTcpip..{38B844FE-25EC-41A4-8807-B3BAEFDC6674}: NameServer = 212.27.54.252,83.145.97.130
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:Windowssystem32aestsrv.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:Program FilesCommon FilesInterVideoDeviceServiceDevSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:Program FilesNod32
od32krn.exe

--
End of file - 5649 bytes

r@in | b0w · le 12 Juil 2008 11:09

Bonjour.

Tu es bel et bien infecté par au moins un trojan.

_ Avec HiJackThis, supprimes les lignes suivantes (pour plus d'informations sur le fix de lignes, tu regardes ce tutorial:

C:Windowsscvhost.exe
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:Windowsscvhost.exe
O4 - HKLM..Run: [Windows Update] C:Windowsscvhost.exe
O4 - HKLM..Run: [msconfig] C:Windowsscvhost.exe
O4 - HKLM..Run: [AntiVir] C:Windowsscvhost.exe
O4 - HKLM..Run: [icq lite] C:Windowsscvhost.exe
O4 - HKLM..Run: [Update Checker] C:Windowsscvhost.exe
O4 - HKLM..Run: [] C:Windowsscvhost.exe
O4 - HKLM..RunServices: [Windows Update] C:Windowsscvhost.exe
O4 - HKLM..RunServices: [msconfig] C:Windowsscvhost.exe
O4 - HKLM..RunServices: [AntiVir] C:Windowsscvhost.exe
O4 - HKLM..RunServices: [icq lite] C:Windowsscvhost.exe
O4 - HKLM..RunServices: [Update Checker] C:Windowsscvhost.exe
O4 - HKLM..RunServices: [] C:Windowsscvhost.exe
O4 - HKLM..RunOnce: [Windows Update] C:Windowsscvhost.exe
O4 - HKLM..RunOnce: [msconfig] C:Windowsscvhost.exe
O4 - HKLM..RunOnce: [icq lite] C:Windowsscvhost.exe
O4 - HKLM..RunOnce: [Update Checker] C:Windowsscvhost.exe
O4 - HKLM..RunOnce: [AntiVir] C:Windowsscvhost.exe
O4 - HKLM..RunOnce: [] C:Windowsscvhost.exe
O4 - HKCU..Run: [msnmsgr] "C:Program FilesWindows LiveMessengermsnmsgr.exe" /background
O7 - HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
O17 - HKLMSystemCCSServicesTcpip..{38B844FE-25EC-41A4-8807-B3BAEFDC6674}: NameServer = 212.27.54.252,83.145.97.130

_ Restauration du système:

Tu vas supprimer les points de restauration Système.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.

Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

_ ComboFix:

Tu télécharges ComboFix.exe.

Tu le lances ensuite en double cliquant dessus, tu confirmes l'ouverture en cliquant sur Exécuter.

A la fenêtre Disclaimer, tu tapes sur [1].

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes surtout pas, il se charge de tout.
Laisse-le faire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner: Almost done... This window will close in a short while Please wait a few seconds for the report log to pop up ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.

_ Gmer:

C'est un anti-rootkit pour Vista.

Tu le télécharges ici en version .ZIP, tu le décompresses ensuite sur le Bureau.

Tu double-cliques sur l'icône Gmer.exe pour le lancer.

Tu cliques ensuite sur l'onglet Rootkit puis sur Scan pour démarrer l'analyse.

Si Gmer trouve un rootkit, il affichera la ligne en rouge.
Tu cliques droit sur la ligne puis sur Kill the process si cette option est disponible puis dans tous les cas tu cliques droit sur Delete the service pour supprimer le rootkit.

Si tu hésites ou que tu veux une confirmation sur les suppressions, tu suis avec ces deux tutoriaux le guide pour faire une impression écran puis l'héberger sur internet.

_ A la fin de tout ce ménage, nouveau scan HiJackThis pour nous faire parvenir le nouveau rapport.

Bon courage

Ps: @ M. Modo, je pense que le sous-forum n'est plus approprié du tout!
Merci.

Edit AtOM: Done ! !

SilverArrow · le 12 Juil 2008 15:19

Alors tout d'abord, un grand merci pour avoir pris le temps de répondre.

J'ai supprimé les lignes avec HiJackThis et enchainé avec combofix (a la suite de l'execution de HiJackTHis, j'ai perdu ma connection réseau. Pour la retrouver, j'ai du désactiver IPV6 et rester en IPV4, c'est bizzare. Pour info, j'ai la freebox V5 qui me permet de surfer en IPV6)

Voici le rapport de combofix

ComboFix 08-07-11.1 - philippe 2008-07-12 16:00:57.1 - NTFSx86
Microsoft® Windows Vista™ Ultimate Edition 6.0.6001.1.1252.1.1036.18.2242 [GMT 2:00]
Endroit: C:UsersphilippeDownloadsComboFix.exe
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:Windowsinstall.exe
C:Windowsscvhost.exe
F:Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-12 to 2008-07-12 ))))))))))))))))))))))))))))))))))))
.

2008-07-12 10:45 . 2008-07-12 10:45 <REP> d-------- C:UsersphilippeAppDataRoamingTuneUp Software
2008-07-12 10:45 . 2008-07-12 10:45 <REP> d-------- C:UsersAll UsersTuneUp Software
2008-07-12 10:45 . 2008-07-12 10:45 <REP> d-------- C:ProgramDataTuneUp Software
2008-07-12 10:45 . 2008-07-12 10:45 <REP> d-------- C:Program FilesTuneUp Utilities 2008
2008-07-12 10:45 . 2008-07-12 10:45 <REP> d-------- C:Program FilesCommon FilesWise Installation Wizard
2008-07-12 10:45 . 2008-07-12 10:45 355,584 --a------ C:WindowsSystem32TuneUpDefragService.exe
2008-07-12 10:45 . 2008-05-29 09:28 28,416 --a------ C:WindowsSystem32uxtuneup.dll
2008-07-12 10:45 . 2008-05-29 09:28 16,640 --a------ C:WindowsSystem32authuitu.dll
2008-07-12 10:09 . 2008-07-12 10:09 <REP> d-------- C:UsersphilippeAppDataRoamingDruide
2008-07-12 10:00 . 2008-07-12 10:00 <REP> d-------- C:UsersphilippeAppDataRoamingUlead Systems
2008-07-12 09:34 . 2008-07-12 09:34 <REP> d-------- C:Program FilesvanBasco's Karaoke Player
2008-07-12 09:31 . 2008-07-12 09:31 <REP> d-------- C:UsersphilippeAppDataRoamingInstallShield
2008-07-12 09:30 . 2008-07-12 09:30 <REP> d-------- C:UsersAll UsersInterVideo
2008-07-12 09:30 . 2008-07-12 09:30 <REP> d-------- C:ProgramDataInterVideo
2008-07-12 09:30 . 2008-07-12 09:30 <REP> d-------- C:Program FilesWindows Media Components
2008-07-12 09:30 . 2008-07-12 09:30 <REP> d-------- C:Program FilesCommon FilesInterVideo
2008-07-12 09:30 . 2007-03-06 11:58 210,456 --a------ C:WindowsSystem32IVIresizeW7.dll
2008-07-12 09:30 . 2007-03-06 11:58 206,360 --a------ C:WindowsSystem32IVIresizeA6.dll
2008-07-12 09:30 . 2007-03-06 11:58 198,168 --a------ C:WindowsSystem32IVIresizeP6.dll
2008-07-12 09:30 . 2007-03-06 11:58 198,168 --a------ C:WindowsSystem32IVIresizeM6.dll
2008-07-12 09:30 . 2007-03-06 11:58 194,072 --a------ C:WindowsSystem32IVIresizePX.dll
2008-07-12 09:30 . 2007-03-06 11:58 26,136 --a------ C:WindowsSystem32IVIresize.dll
2008-07-12 09:29 . 2008-07-12 09:59 <REP> d-------- C:UsersAll UsersUlead Systems
2008-07-12 09:29 . 2008-07-12 09:59 <REP> d-------- C:ProgramDataUlead Systems
2008-07-12 09:29 . 2008-07-12 09:29 <REP> d-------- C:Program FilesUlead Systems
2008-07-12 09:29 . 2008-07-12 09:34 <REP> d-------- C:Program FilesDoblon
2008-07-12 09:29 . 2008-07-12 09:29 <REP> d-------- C:Program FilesCommon FilesUlead Systems
2008-07-12 09:24 . 2008-07-12 09:24 108,336 --a------ C:Windowsmswinsck.ocx
2008-07-11 08:16 . 2008-01-19 09:35 3,104,768 --a------ C:WindowsSystem32NlsData004e.dll
2008-07-07 07:57 . 2008-07-07 07:57 <REP> d-------- C:WindowsSystem32zh-TW
2008-07-07 07:57 . 2008-07-07 07:57 <REP> d-------- C:WindowsSystem32zh-CN
2008-07-07 07:57 . 2008-07-07 07:57 <REP> d-------- C:WindowsSystem32ko-KR
2008-07-07 07:57 . 2008-07-07 07:57 <REP> d-------- C:WindowsSystem32ja-JP
2008-07-07 07:56 . 2008-04-23 06:42 428,544 --a------ C:WindowsSystem32EncDec.dll
2008-07-07 07:56 . 2008-04-23 06:42 293,376 --a------ C:WindowsSystem32psisdecd.dll
2008-07-07 07:56 . 2008-04-23 06:41 218,624 --a------ C:WindowsSystem32psisrndr.ax
2008-07-07 07:56 . 2008-04-23 06:41 57,856 --a------ C:WindowsSystem32MSDvbNP.ax
2008-07-03 13:14 . 2008-07-03 13:14 <REP> d-------- C:UsersphilippeAppDataRoamingNero
2008-07-03 08:07 . 2008-07-12 09:35 69 --a------ C:WindowsNeroDigital.ini
2008-07-02 23:51 . 2008-07-02 23:51 <REP> d-------- C:WindowsSun
2008-07-02 08:10 . 2008-03-08 04:08 4,240,384 --a------ C:WindowsSystem32GameUXLegacyGDFs.dll
2008-07-02 08:10 . 2008-03-08 06:21 1,695,744 --a------ C:WindowsSystem32gameux.dll
2008-07-01 07:59 . 2008-07-01 07:59 <REP> d-------- C:WindowsSystem32Adobe
2008-07-01 07:59 . 2008-06-17 15:14 499,712 --a------ C:WindowsSystem32msvcp71.dll
2008-06-29 07:58 . 2007-12-27 23:47 210,432 --a------ C:WindowsSystem32ifsdrives.dll
2008-06-29 07:58 . 2008-01-20 17:56 187,840 --a------ C:WindowsSystem32driversext2fs.sys
2008-06-29 07:58 . 2007-12-16 17:13 77,760 --a------ C:WindowsSystem32ifsdrives.exe
2008-06-29 07:58 . 2007-12-29 19:50 58,816 --a------ C:WindowsSystem32driversifsmount.sys
2008-06-29 07:58 . 2007-08-26 13:11 724 --a------ C:WindowsSystem32ifsdrives_tasks.xml
2008-06-29 00:09 . 2008-06-29 00:09 <REP> d-------- C:UsersphilippeAppDataRoamingMedia Player Classic
2008-06-29 00:09 . 2008-06-29 00:09 <REP> d-------- C:UsersphilippeAppDataRoamingDivX
2008-06-19 22:59 . 2008-07-12 09:41 <REP> d-------- C:Program FilesSamurize
2008-06-19 22:56 . 2008-06-29 23:04 <REP> d-------- C:UsersphilippeAppDataRoamingMiniDm
2008-06-19 22:51 . 2008-07-10 02:57 <REP> d-------- C:UsersphilippeAppDataRoamingGrabIt
2008-06-19 22:48 . 2008-06-19 22:48 <REP> d-------- C:Program FilesNT6tunnel
2008-06-19 10:38 . 2008-06-19 10:38 <REP> d-------- C:UsersAll UsersGoogle
2008-06-19 10:38 . 2008-06-20 18:52 <REP> d-------- C:Program FilesGoogle
2008-06-19 10:28 . 2008-06-19 10:28 <REP> d-------- C:Program FilesITECIR
2008-06-19 10:28 . 2006-12-14 19:22 656,896 --a------ C:WindowsSystem32RemoteControlService.exe
2008-06-19 10:28 . 2004-04-02 11:23 17,024 --a------ C:WindowsSystem32driversGeneric.sys
2008-06-19 10:28 . 2006-12-28 18:24 7,808 --a------ C:WindowsSystem32driversITECIR.sys
2008-06-19 10:24 . 2008-06-19 10:24 <REP> d-------- C:Program FilesIEPro
2008-06-19 10:17 . 2008-06-19 10:17 <REP> d-------- C:Program FilesCanon
2008-06-19 10:16 . 2008-07-01 20:54 <REP> d-------- C:UsersphilippeAppDataRoamingTeraCopy
2008-06-19 10:11 . 2008-06-19 10:11 <REP> d-------- C:Program FilesGPLGS
2008-06-19 10:11 . 2008-06-19 10:11 <REP> d-------- C:Program FilesAcro Software
2008-06-19 10:11 . 2007-07-12 22:33 87,552 --a------ C:WindowsSystem32cpwmon2k.dll
2008-06-19 10:08 . 2008-06-19 10:08 <REP> d-------- C:UsersphilippeAppDataRoamingACD Systems
2008-06-19 10:04 . 2008-06-19 10:04 <REP> d-------- C:Program FilesTeraCopy
2008-06-19 10:01 . 2008-06-19 10:01 <REP> d-------- C:Program FilesuTorrent
2008-06-19 10:00 . 2008-07-12 09:55 <REP> d-------- C:UsersphilippeAppDataRoaminguTorrent
2008-06-19 09:54 . 2008-06-19 09:54 <REP> d-------- C:Program FilesCONEXANT
2008-06-19 09:34 . 2008-07-12 10:56 <REP> d--hs---- C:Boot
2008-06-19 09:34 . 2008-01-19 00:45 333,203 -rahs---- C:ootmgr
2008-06-19 09:34 . 2008-06-19 09:34 8,192 -ra-s---- C:BOOTSECT.BAK
2008-06-19 09:25 . 2008-06-19 09:25 <REP> dr------- C:WindowsSystem32configsystemprofileMusic
2008-06-19 09:18 . 2008-06-19 09:46 <REP> d-------- C:Program FilesOpenOffice.org 2.4
2008-06-19 09:17 . 2008-06-19 10:38 <REP> d-------- C:Program FilesJava
2008-06-19 09:17 . 2008-06-19 09:17 <REP> d-------- C:Program FilesCommon FilesJava
2008-06-19 09:10 . 2008-06-19 09:10 <REP> d-------- C:Program FilesCombined Community Codec Pack
2008-06-19 09:08 . 2008-02-29 09:11 988,216 --a------ C:WindowsSystem32winload.exe
2008-06-19 09:08 . 2008-02-29 09:11 927,288 --a------ C:WindowsSystem32winresume.exe
2008-06-19 09:08 . 2008-02-22 07:05 615,992 --a------ C:WindowsSystem32ci.dll
2008-06-19 09:08 . 2008-02-29 08:53 378,368 --a------ C:WindowsSystem32srcore.dll
2008-06-19 09:08 . 2008-02-29 06:12 318,464 --a------ C:WindowsSystem32 strui.exe
2008-06-19 09:08 . 2008-02-29 08:53 46,592 --a------ C:WindowsSystem32setbcdlocale.dll
2008-06-19 09:08 . 2008-02-29 08:53 40,960 --a------ C:WindowsSystem32srclient.dll
2008-06-19 09:08 . 2008-02-29 09:14 19,000 --a------ C:WindowsSystem32kd1394.dll
2008-06-19 09:08 . 2008-02-29 06:12 14,848 --a------ C:WindowsSystem32srdelayed.exe
2008-06-19 09:07 . 2008-06-19 09:07 <REP> d-------- C:UsersAll UsersWLInstaller
2008-06-19 09:07 . 2008-06-19 09:07 <REP> d-------- C:ProgramDataWLInstaller
2008-06-19 09:07 . 2008-06-19 09:07 <REP> d--hsc--- C:Program FilesCommon FilesWindowsLiveInstaller
2008-06-19 09:07 . 2008-02-29 06:21 2,032,128 --a------ C:WindowsSystem32win32k.sys
2008-06-19 09:07 . 2008-04-25 04:12 1,383,424 --a------ C:WindowsSystem32mshtml.tlb
2008-06-19 09:07 . 2008-04-26 10:08 1,314,816 --a------ C:WindowsSystem32quartz.dll
2008-06-19 09:07 . 2008-04-25 06:35 826,880 --a------ C:WindowsSystem32wininet.dll
2008-06-19 09:07 . 2008-02-22 06:57 295,936 --a------ C:WindowsSystem32gdi32.dll
2008-06-19 09:07 . 2008-05-10 03:33 113,664 --a------ C:WindowsSystem32drivers mcast.sys
2008-06-19 09:06 . 2008-06-19 09:06 <REP> d-------- C:Program FilesRadmin Viewer 3
2008-06-19 09:06 . 2008-06-19 09:06 <REP> d-------- C:Program FilesGrabIt
2008-06-19 09:05 . 2008-06-19 09:05 28,124 --a------ C:UsersphilippeAppDataRoaming
vModes.dat
2008-06-19 08:59 . 2008-06-19 08:59 <REP> d-------- C:Program FilesDIFX
2008-06-19 08:58 . 2008-06-19 08:58 <REP> d-------- C:drivers
2008-06-19 08:51 . 2008-06-19 08:51 <REP> d-------- C:Program FilesSynaptics
2008-06-19 08:51 . 2008-07-12 09:30 <REP> d--h----- C:Program FilesInstallShield Installation Information
2008-06-19 08:51 . 2008-06-19 08:51 0 --ah----- C:WindowsSystem32driversMsft_Kernel_SynTP_01000.Wdf
2008-06-19 08:49 . 2008-06-19 08:49 <REP> dr------- C:UsersphilippeVideos
2008-06-19 08:49 . 2008-06-19 08:49 <REP> dr------- C:UsersphilippeSearches
2008-06-19 08:49 . 2008-06-19 08:49 <REP> dr------- C:UsersphilippeSaved Games
2008-06-19 08:49 . 2008-06-19 10:09 <REP> dr------- C:UsersphilippePictures
2008-06-19 08:49 . 2008-06-19 09:18 <REP> dr------- C:UsersphilippeMusic
2008-06-19 08:49 . 2008-06-19 08:49 <REP> dr------- C:UsersphilippeLinks
2008-06-19 08:49 . 2008-07-12 15:59 <REP> dr------- C:UsersphilippeDownloads
2008-06-19 08:49 . 2008-07-03 08:19 <REP> dr------- C:UsersphilippeDocuments
2008-06-19 08:49 . 2008-06-19 10:08 <REP> dr------- C:UsersphilippeContacts
2008-06-19 08:49 . 2006-11-02 14:35 <REP> d-------- C:UsersphilippeAppDataRoamingMedia Center Programs
2008-06-19 08:49 . 2008-06-19 08:49 <REP> d--h----- C:UsersphilippeAppData
2008-06-19 08:49 . 2008-07-12 10:57 <REP> d-------- C:Usersphilippe
2008-06-19 08:49 . 2008-06-19 08:49 <REP> d--hs---- C:$RECYCLE.BIN
2008-06-19 08:46 . 2008-06-19 08:46 <REP> dr------- C:WindowsSystem32configsystemprofileContacts

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-12 08:01 --------- d-----w C:Program FilesCCleaner
2008-07-12 07:30 --------- d-----w C:Program FilesCommon FilesInstallShield
2008-07-12 07:24 --------- d-----w C:Program FilesNod32
2008-07-11 06:20 --------- d-----w C:ProgramDataMicrosoft Help
2008-06-26 03:29 801,280 ----a-w C:WindowsSystem32NaturalLanguage6.dll
2008-06-26 01:45 2,644,480 ----a-w C:WindowsSystem32NlsLexicons0009.dll
2008-06-26 01:45 12,240,896 ----a-w C:WindowsSystem32NlsLexicons0007.dll
2008-06-19 07:07 --------- d-----w C:Program FilesWindows Live
2008-06-19 07:02 --------- d-----w C:ProgramDataNVIDIA
2008-06-19 06:47 --------- d-sh--w C:ProgramDataModèles
2008-06-19 06:47 --------- d-sh--w C:ProgramDataMenu Démarrer
2008-06-19 06:47 --------- d-sh--w C:ProgramDataFavoris
2008-06-19 06:47 --------- d-sh--w C:ProgramDataDocuments
2008-06-19 06:47 --------- d-sh--w C:ProgramDataBureau
2008-06-19 06:47 --------- d-sh--w C:ProgramDataApplication Data
2008-06-19 06:47 --------- d-sh--w C:Program FilesFichiers communs
2008-05-10 03:35 564,736 ----a-w C:WindowsSystem32emdmgmt.dll
2008-05-08 21:59 90,112 ----a-w C:WindowsSystem32wshext.dll
2008-05-08 21:59 430,080 ----a-w C:WindowsSystem32vbscript.dll
2008-05-08 21:59 180,224 ----a-w C:WindowsSystem32scrobj.dll
2008-05-08 21:59 172,032 ----a-w C:WindowsSystem32scrrun.dll
2008-05-08 21:59 155,648 ----a-w C:WindowsSystem32wscript.exe
2008-05-08 21:58 135,168 ----a-w C:WindowsSystem32cscript.exe
2008-04-26 08:25 3,600,952 ----a-w C:WindowsSystem32
tkrnlpa.exe
2008-04-26 08:25 3,549,240 ----a-w C:WindowsSystem32
toskrnl.exe
2008-04-12 03:32 784,896 ----a-w C:WindowsSystem32 pcrt4.dll
2008-01-19 20:00 174 --sha-w C:Program Filesdesktop.ini
.

------- Sigcheck -------

2008-01-19 22:00 3145216 e8d4c4f97b638a1f8045a5895dcc0da3 C:Windowsexplorer.exe
2008-01-19 22:00 3145216 e8d4c4f97b638a1f8045a5895dcc0da3 C:Windowswinsxsx86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebfexplorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"swg"="C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe" [2008-06-19 22:23 171448]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 0 (0x0)
"EnableInstallerDetection"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
"VIDC.YV12"= yv12vfw.dll
"VIDC.FFDS"= C:PROGRA~1COMBIN~1FiltersFFDShowff_vfw.dll
"msacm.dvacm"= C:PROGRA~1COMMON~1ULEADS~1VioDvacm.acm
"msacm.MPEGacm"= C:PROGRA~1COMMON~1ULEADS~1MPEGMPEGacm.acm
"msacm.ulmp3acm"= C:PROGRA~1COMMON~1ULEADS~1MPEGulmp3acm.acm

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversion un-]
"msnmsgr"="C:Program FilesWindows LiveMessengermsnmsgr.exe" /background
"Sidebar"=C:Program FilesWindows Sidebarsidebar.exe /autoRun
"swg"=C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversion un-]
"AntiVir"=C:Windowsscvhost.exe
"icq lite"=C:Windowsscvhost.exe
"msconfig"=C:Windowsscvhost.exe
"Update Checker"=C:Windowsscvhost.exe
"Windows Update"=C:Windowsscvhost.exe
"SynTPEnh"=C:Program FilesSynapticsSynTPSynTPEnh.exe
"NvCplDaemon"=RUNDLL32.EXE C:Windowssystem32NvCpl.dll,NvStartup
"NvMediaCenter"=RUNDLL32.EXE C:Windowssystem32NvMcTray.dll,NvTaskbarInit
"NvSvc"=RUNDLL32.EXE C:Windowssystem32
vsvc.dll,nvsvcStart
"nod32kui"="C:Program FilesNod32
od32kui.exe" /WAITSERVICE
"NVHotkey"=rundll32.exe C:Windowssystem32
vHotkey.dll,Start

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversion unservices-]
"AntiVir"=C:Windowsscvhost.exe
"icq lite"=C:Windowsscvhost.exe
"msconfig"=C:Windowsscvhost.exe
"Update Checker"=C:Windowsscvhost.exe
"Windows Update"=C:Windowsscvhost.exe

[HKLM~servicessharedaccessparametersfirewallpolicyFirewallRules]
"{61E5C0E6-9D9C-4C92-956F-86971074D53A}"= C:Program FilesWindows LiveMessengerlivecall.exe:Windows Live Messenger (Phone)
"{8CDB64E8-D2D2-4EE0-ABEF-FB8A576EDF81}"= TCP:6004|C:Program FilesMicrosoft OfficeOffice12outlook.exe:Microsoft Office Outlook
"{758FB37B-F84B-4661-864C-2C9B83D941EF}"= UDP:C:Program FilesuTorrentuTorrent.exe:µTorrent
"{CEF2725E-3F8D-4958-9CDC-01061A3066D8}"= TCP:C:Program FilesuTorrentuTorrent.exe:µTorrent
"TCP Query User{C123EF10-3D8D-40F1-AE22-E4F30A4E7A18}C:\program files\nt6tunnel\nt6tunnel.exe"= UDP:C:program files
t6tunnel
t6tunnel.exe:nt6tunnel.exe
"UDP Query User{6817F3E3-0E14-4337-9CED-7F2D8AD1B384}C:\program files\nt6tunnel\nt6tunnel.exe"= TCP:C:program files
t6tunnel
t6tunnel.exe:nt6tunnel.exe
"TCP Query User{D4BC644D-7732-457E-B577-9F0DF8A196F9}C:\program files\iepro\minidm.exe"= UDP:C:program filesieprominidm.exe:MiniDM
"UDP Query User{4742EED6-2FC3-4AC4-A47B-9CCE0AAFFFDF}C:\program files\iepro\minidm.exe"= TCP:C:program filesieprominidm.exe:MiniDM
"{44BF2059-BEB7-4FB2-B9A2-D5908AEA4576}"= UDP:C:Windowsscvhost.exe:Microsoft Windows
"{672464A1-0AD2-4715-BEB6-E615C4534E10}"= TCP:C:Windowsscvhost.exe:Microsoft Windows

[HKLM~servicessharedaccessparametersfirewallpolicyStandardProfileAuthorizedApplicationsList]
"C:\Program Files\IEPro\MiniDM.exe"= C:Program FilesIEProMiniDM.exe:*:Enabled:MiniDM

R1 Ext2fs;Ext2fs;C:Windowssystem32DRIVERSext2fs.sys [2008-01-20 17:56]
R1 IfsMount;IfsMount;C:Windowssystem32DRIVERSifsmount.sys [2007-12-29 19:50]
R2 AESTFilters;Andrea ST Filters Service;C:Windowssystem32aestsrv.exe [2007-08-29 14:25]
R2 UxTuneUp;TuneUp Extension de thème;C:WindowsSystem32svchost.exe [2008-01-19 22:00]
R3 CnxtHdAudService;Conexant UAA Function Driver for High Definition Audio Service;C:Windowssystem32driversCHDRT32.sys [2008-03-04 02:32]
R3 ITECIR;ITE EC CIR Driver (PMC);C:Windowssystem32DRIVERSITECIR.sys [2006-12-28 18:24]
R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:Windowssystem32DRIVERSyk60x86.sys [2007-12-06 09:51]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:Windowssystem32DRIVERS57nd60x.sys [2008-01-19 22:00]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:WindowsSystem32TuneUpDefragService.exe [2008-07-12 10:45]
S4 ITECIRService;ITE Remote Controler service;C:Program FilesITECIRRemoteControlService.exe [2006-12-15 11:59]

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{4834f4b6-3dcb-11dd-8807-001b24a38b6c}]
shellAutoRuncommand - PortableAppsPortableAppsMenuPortableAppsMenu.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - DPS

[HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components{7070D8E0-650A-46b3-B03C-9497582E6A74}]
%SystemRoot%system32soundschemes.exe /AddRegistration

[HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components{FB1C4005-E01F-BF08-CD20-A6DE05E7081F}]
C:Windowsscvhost.exe
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-07-12 14:00:00 C:WindowsTasksMaintenance en 1 clic.job"
- C:Program FilesTuneUp Utilities 2008OneClickStarter.exe
.
- - - - ORPHANS REMOVED - - - -

Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 16:02:42
Windows 6.0.6001 Service Pack 1 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-12 16:03:57
ComboFix-quarantined-files.txt 2008-07-12 14:03:55

Pre-Run: 91,213,316,096 octets libres
Post-Run: 91,193,626,624 octets libres

264 --- E O F --- 2008-07-11 06:22:44

Ensuite, j'ai lancé le scan avec gmer. Apparement, pas de soucis de ce coté la (je n'ai lancé la scan que sur le disque C)
JE vais essayer de redemarrer comme ca, pour voir.
Je vous tiens au courant.
Merci

SilverArrow · le 12 Juil 2008 15:24

Merci à toi r@in | b0w
Mon pc remarche parfaitement !!
HijackThis seul ne suffit donc pas, il faut également utiliser combofix.
Je vais aller me documenter un peu plus sur cet outil!
BRAVO

r@in | b0w · le 12 Juil 2008 15:29

Ok.

Il me faudra après ton redémarrage ceci:

r@in | b0w a écrit:_ A la fin de tout ce ménage, nouveau scan HiJackThis pour nous faire parvenir le nouveau rapport.

HiJackThis n'est pas un outil utile, il sert uniquement pour le diagnostic aussi je ne te conseille pas de le garder.
En fonction du log, tu utilises l'outil adéquat.

r@in | b0w · le 12 Juil 2008 15:35

Je ne m'édite pas pour que tu voies ma réponse.

1_ Je te conseille de scanner tes supports de stockage externe comme le F pour trouver d'éventuelles vermines supplémentaires;

2_ Au vu de ceci:

SilverArrow a écrit:F:Autorun.inf

Tu as attrapé une petite cochonnerie qui se transmet par le biais des supports de stockage externe.

Connectes tous tes périphériques de stockage et utilises AutoFix pour réparer les fichiers autorun.

SilverArrow · le 12 Juil 2008 15:40

Voici donc le dernier HiJackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:39:24, on 12/07/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:Windowssystem32 askeng.exe
C:Windowssystem32Dwm.exe
C:WindowsExplorer.EXE
C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
C:Windowssystem32wbemunsecapp.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesuTorrentuTorrent.exe
C:UsersphilippeDownloadsgmergmer.exe
C:Program FilesTuneUp Utilities 2008Integrator.exe
C:Program FilesTuneUp Utilities 2008OneClick.exe
C:Program FilesTuneUp Utilities 2008RegistryCleaner.exe
C:UsersphilippeDownloadsHiJackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:Program FilesIEProiepro.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_05inssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar2.dll
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
O4 - HKUSS-1-5-19..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'SERVICE RESEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:Program FilesIEProiepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:Program FilesIEProiepro.dll
O10 - Broken Internet access because of LSP provider 'c:windowssystem32pnrpnsp.dll' missing
O17 - HKLMSystemCCSServicesTcpip..{38B844FE-25EC-41A4-8807-B3BAEFDC6674}: NameServer = 83.145.97.130
O17 - HKLMSystemCS1ServicesTcpip..{38B844FE-25EC-41A4-8807-B3BAEFDC6674}: NameServer = 83.145.97.130
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:Windowssystem32aestsrv.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:Program FilesCommon FilesInterVideoDeviceServiceDevSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:Program FilesNod32
od32krn.exe
O23 - Service: @%SystemRoot%System32TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:WindowsSystem32TuneUpDefragService.exe

--
End of file - 3623 bytes

Merci

SilverArrow · le 12 Juil 2008 15:41

r@in | b0w a écrit:Tu as attrapé une petite cochonnerie qui se transmet par le biais des supports de stockage externe.

Connectes tous tes périphériques de stockage et utilises AutoFix pour réparer les fichiers autorun.

Merci
Je le fais de suite

r@in | b0w · le 12 Juil 2008 15:48

A propos d'HJT, à supprimer si tu ne connais pas les ips:

O17 - HKLMSystemCCSServicesTcpip..{38B844FE-25EC-41A4-8807-B3BAEFDC6674}: NameServer = 83.145.97.130
O17 - HKLMSystemCS1ServicesTcpip..{38B844FE-25EC-41A4-8807-B3BAEFDC6674}: NameServer = 83.145.97.130

Le reste est propre.

SilverArrow · le 12 Juil 2008 16:06

r@in | b0w a écrit:A propos d'HJT, à supprimer si tu ne connais pas les ips:

O17 - HKLMSystemCCSServicesTcpip..{38B844FE-25EC-41A4-8807-B3BAEFDC6674}: NameServer = 83.145.97.130
O17 - HKLMSystemCS1ServicesTcpip..{38B844FE-25EC-41A4-8807-B3BAEFDC6674}: NameServer = 83.145.97.130

Le reste est propre.

Non c tout bon, je connais, merci

Vista de demarre plus et bloque sur explorer.exe [RESOLU]

Vista de demarre plus et bloque sur explorer.exe [RESOLU]

Vista bloque pendant le demarrage

Merci r@in | b0w

Nouveau HijackThis

Sujets similaires

Qui est en ligne