Accès au Site
 FAQFAQ   RechercherCharte   RechercherRechercher   MembresMembres   UtilisateursUtilisateurs   S'enregistrerS'enregistrer   ProfilProfil   Vérifier ses messages privésVérifier ses messages privés   ConnexionConnexion
 
Antivirus bloqué, plantage navigateur : Agobot [Résolu]
Aller à la page 1, 2  Suivante
 
Ce sujet est verrouillé; vous ne pouvez pas éditer les messages ou faire de réponses. Le site -> Assiste PC Index du Forum -> Désinfection des virus & analyses de logs HijackThisCréer un flux RSS 2.0
Auteur Message
petit loup
Newbie
Newbie


Inscrit le: 16 Sep 2006
Message(s): 16
MessagePosté le: 16 Sep 2006 10:36    Sujet du message: Antivirus bloqué, plantage navigateur : Agobot [Résolu] Répondre en citant
Bonjour,
Mon pc semble infecté.
L'uc s'affole, le navigateur internet plante.
Impossible de lancer un antivirus sauf en mode sans echec, plusieur scan (en mode sans echec) n'ont rien changer.
J'ai appliquer avec soin les recommandation du topic de sév.

Voici ma config
win 2000 sp4
athlon-500mo

J'ai fait un spybot
Voici le resultat du scan avec Panda

Voici le rapport du scan kasper

KASPERSKY ON-LINE SCANNER REPORT


Enfin voici le rapport hidjackthis
Citation:

Logfile of HijackThis v1.99.1
Scan saved at 09:58:20, on 16/09/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http//www.ramgo.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - c:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8e9c50be-f2da-4885-8ce6-83bdf75c0b22} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - c:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: (no name) - {c9dbb366-84ef-461d-b1b7-8d00fdeac852} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - c:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Anvshell] C:\WINNT\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [RetroExpress] C:\PROGRA~1\Dantz\RETROS~1\RetroExpress.exe /h
O4 - HKLM\..\Run: [EVENTLISTENER] C:\Program Files\Fichiers communs\FotoNation\EvLstnr.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [RemoteControl] "c:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "c:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: No-IP DUC.lnk = C:\Program Files\No-IP\DUC20.exe
O4 - Global Startup: HPAiODevice.lnk = C:\Program Files\Hewlett-Packard\HP OfficeJet K Series\bin\hpodev07.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http//www.cult3d.com/download/cult.cab
O16 - DPF: {4FCFF034-6F56-4D65-8C31-70D98C475428} (ddm_download.ddm_control) - http//bins.dynamicdesktopmedia.com/cab/ddm_control.CAB
O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http//www.cerials.net/download_serial.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab
O16 - DPF: {C408970D-1DDF-410F-85B7-35687A3798FA} (EditionsX Contrôle) - http//195.214.231.133/OCXEDITIONS.cab
O16 - DPF: {D782BF87-8467-4C49-88E0-9458DA4D74BB} (SAVX Contrôle) - http//195.214.231.133/OCXSAV.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http//runonce.msn.com/setacceptlang.cab
O16 - DPF: {FDEECFB9-424E-4E87-B2C5-FE4C1854FAD4} (FicheCaisseX Contrôle) - http//195.214.231.133/FICHECAISSE.cab
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - c:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - c:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: Microsoft Windows HDA Service - Unknown owner - C:\WINNT\system32\dllcache\svhda.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Assistant Retrospect (RetroExp Helper) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\rthlpsvc.exe
O23 - Service: Retrospect Launcher (RetroExpLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - c:\Program Files\CyberLink\Shared files\RichVideo.exe



Merci pour votre aide
Petit loup
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 16 Sep 2006 16:30    Sujet du message: Répondre en citant
Bonjour & bienvenue,

Effectivement il y a du monde et plus particulièrment un invité de marque : Agobot.

Je vois deux antivirus,. Tu ne dois avoir qu'un seul antivirus actif sur ton pc, et à choisir entre KAV et Mc Affee, je te conseille plutôt KAV. Wink

Commence donc par désinstaller ou désactiver l'un des deux, il est possible que tu ne puisses pas lancer de scan local à cause d'un conflit entre les deux, mais ce n'est pas improbable non plus que ce soit Agobot qui t'en empêche.

Tu peux désinstaller MsAntispyware, il est dépassé et prend de la ressource inutilement.

Tu as une quantité impressionnante d'e-mails vérolés, fais le ménage là dedans en reprenant ce qui est écrit sur les rapports de Kaspersky et Panda. Pense à vider le dossier "Eléments supprimés".

Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnecté d'Internet et en mode sans échec. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre.

  1. Télécharge, installe et nettoie ton pc avec CCleaner

  2. Télécharge ces deux outils et laisse les en attente sur ton bureau pour le moment :

    • F-bot.zip

      Flèche Bleue Dézippe le sur ton bureau.

    • eScan Antivirus Toolkit

      Flèche Bleue Suis attentivement le tutoriel pour son installation et son utilisation, n'héshite pas à l'imprimer.


  3. Redémarre en mode sans échec sans prise en charge du réseau pour éviter les downloads silencieux,

  4. Fais démarrer / exécuter et tape services.msc à l'invite de commande

    • Double clique sur Microsoft Windows HDA Service
    • Clique sur "Arrêter"
    • Définis le Type de démarrage en "Désactivé"
    • Clique sur Appliquer et ferme la console


  5. Ouvre HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :

    Citation:
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http//www.ramgo.com/search.html
    O2 - BHO: (no name) - {8e9c50be-f2da-4885-8ce6-83bdf75c0b22} - (no file)
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: (no name) - {c9dbb366-84ef-461d-b1b7-8d00fdeac852} - (no file)
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http//messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http//messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http//www.cult3d.com/download/cult.cab
    O16 - DPF: {4FCFF034-6F56-4D65-8C31-70D98C475428} (ddm_download.ddm_control) - http//bins.dynamicdesktopmedia.com/cab/ddm_control.CAB
    O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http//www.cerials.net/download_serial.exe
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http//messenger.zone.msn.com/binary/MessengerStatsClient.cab
    16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http//messenger.zone.msn.com/binary/ZIntro.cab30149.cab
    O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http//messenger.zone.msn.com/binary/Bankshot.cab30149.cab
    O16 - DPF: {D782BF87-8467-4C49-88E0-9458DA4D74BB} (SAVX Contrôle) - http//195.214.231.133/OCXSAV.cab
    O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http//runonce.msn.com/setacceptlang.cab
    O16 - DPF: {FDEECFB9-424E-4E87-B2C5-FE4C1854FAD4} (FicheCaisseX Contrôle) - http//195.214.231.133/FICHECAISSE.cab
    O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll --> A cocher si ce n'est pas toi qui utilises PC Anywhere
    O23 - Service: Microsoft Windows HDA Service - Unknown owner - C:\WINNT\system32\dllcache\svhda.exe



  6. Clique sur Fix Checked et accepte les modifications.

  7. Donne toi accès aux fichiers cachés

  8. Supprime les dossiers suivants, si présents, et vide la corbeille :

    • C:\WINNT\system32\adimage.dll
    • C:\WINNT\system32\dllcache\svhda.exe


  9. Lance eScan Antivirus Toolkit (ça peut être long), à la fin de l'analyse sauvegarde le rapport pour le poster sur ta prochaine réponse.

  10. Fais un scan complet du pc avec Spybot S&D et supprime tout ce qu'il trouve

  11. Nouveau passage de CCleaner

  12. Redémarre en mode normal et lance F-Bot (hors connexion internet)

  13. Génére un nouveau log HijackThis

  14. Reconnecte toi ensuite et nouveau scan en ligne avec KAV et / ou Panda

  15. Poste ton log HijackThis, le rapport de eScan Antivirus Toolkit, le ou les rapport(s) de scan en ligne.

  16. Installe un parefeu, ton système en est dépourvu : Kerio par exemple. Sans parefeu, Agobot ne te laissera pas respirer.


Bon courage Wink

Bye

Dernière édition par APC le 17 Sep 2006 14:25; édité 1 fois
Revenir en haut de page
petit loup
Newbie
Newbie


Inscrit le: 16 Sep 2006
Message(s): 16
MessagePosté le: 16 Sep 2006 19:19    Sujet du message: Répondre en citant
Merci pour ta reponse et bravo pour la clareté et la precision de ton forum...
J'attaque de suite grace a un autre pc
Citation:
Je vois deux antivirus,. Tu ne dois avoir qu'un seul antivirus actif sur ton pc, et à choisir entre KAV et Mc Affee, je te conseille plutôt KAV.

Commence donc par désinstaller ou désactiver l'un des deux, il est possible que tu ne puisses pas lancer de scan local à cause d'un conflit entre les deux, mais ce n'est pas improbable non plus que ce soit Agobot qui t'en empêche.

J'ai desinstallé Mc Affe

Citation:
Tu peux désinstaller MsAntispyware, il est dépassé et prend de la ressource inutilement.

Impossible en mode sans echec je le ferais aprés

Citation:
Tu as une quantité impressionnante d'e-mails vérolés, fais le ménage là dedans en reprenant ce qui est écrit sur les rapports de Kaspersky et Panda. Pense à vider le dossier "Eléments supprimés".

C'est fait j'ai nettoyé
Citation:
Télécharge, installe et nettoie ton pc avec CCleaner

Fait
Citation:
Télécharge ces deux outils et laisse les en attente sur ton bureau pour le moment :


F-bot.zip

Dézippe le sur ton bureau.


eScan Antivirus Toolkit

Suis attentivement le tutoriel pour son installation et son utilisation, n'héshite pas à l'imprimer.

La j'hésite quand tu dis utilisation faut il scanner de suite ou uniquement plus tard ...?
Petit loup
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 17 Sep 2006 14:29    Sujet du message: Répondre en citant
Bonjour Très Content

« petit loup » a écrit:
La j'hésite quand tu dis utilisation faut il scanner de suite ou uniquement plus tard ...?


Je viens de numéroter les étapes de la procédure pour que ce soit un peu plus explicite.

En disant cela, je parlais uniquement du tuto car tu vas en avoir besoin par la suite pour l'installer et pour savoir comment l'utiliser. Tu ne scannes avec eScan Antivirus Toolkit qu'au point 9 de la procédure. Wink

Bye
Revenir en haut de page
petit loup
Newbie
Newbie


Inscrit le: 16 Sep 2006
Message(s): 16
MessagePosté le: 18 Sep 2006 17:25    Sujet du message: Répondre en citant
Pardon pour la longueur du post mais je n'ai pas compris "cjoint"...

Citation:
Redémarre en mode sans échec sans prise en charge du réseau pour éviter les downloads silencieux,


Fais démarrer / exécuter et tape services.msc à l'invite de commande


Double clique sur Microsoft Windows HDA Service

Clique sur "Arrêter"

Définis le Type de démarrage en "Désactivé"

Clique sur Appliquer et ferme la console

fait
Citation:
Ouvre HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :

Je n'ai pas supprimé car j'utilise pc anyware
Citation:
Supprime les dossiers suivants, si présents, et vide la corbeille :


C:\WINNT\system32\adimage.dll

C:\WINNT\system32\dllcache\svhda.exe



Lance eScan Antivirus Toolkit (ça peut être long), à la fin de l'analyse sauvegarde le rapport pour le poster sur ta prochaine réponse.


Fais un scan complet du pc avec Spybot S&D et supprime tout ce qu'il trouve


Nouveau passage de CCleaner


Redémarre en mode normal et lance F-Bot (hors connexion internet)


Génére un nouveau log HijackThis


Reconnecte toi ensuite et nouveau scan en ligne avec KAV et / ou Panda


Poste ton log HijackThis, le rapport de eScan Antivirus Toolkit, le ou les rapport(s) de scan en ligne.

Les voici

SpybotSD
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 18 Sep 2006 17:44    Sujet du message: Répondre en citant
Bonjour Petit Loup,

J'ai fait le ménage Neutre

Je ne t'ai pas demandé de rapport de Spybot, même si ce que j'en ai vu est intéressant, parceque justement les logs de Spybot sont très longs. Je l'ai uploadé pour le mettre sous forme de lien.

Par contre, je n'ai aucun des autres rapports que je t'ai demandés Pleure

Tu les as certainement posté, mais la longueur des topics est limitée sur PhpBB et tu as largement explosé la limite Lol

Redonne moi les rapports de HijackThis, eScan Antivirus Toolkit et des scans en ligne Wink

Il va falloir te séparer de Kazaa.
Pour info tu peux consulter cette liste de clients P2P pour connaître ceux qui sont sains et ceux qui sont à éviter.

Spybot trouve également une infection de Lop, mais j'attends la suite de tes rapports pour t'en dire plus.

@+
Revenir en haut de page
petit loup
Newbie
Newbie


Inscrit le: 16 Sep 2006
Message(s): 16
MessagePosté le: 18 Sep 2006 18:24    Sujet du message: Répondre en citant
ci joint hijackthis
Citation:
Logfile of HijackThis v1.99.1
Scan saved at 17:22:24, on 17/09/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
c:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
c:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Anvshell.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\PROGRA~1\Dantz\RETROS~1\RetroExpress.exe
C:\Program Files\Fichiers communs\FotoNation\EvLstnr.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hewlett-Packard\HP OfficeJet K Series\bin\hpodev07.exe
C:\Program Files\No-IP\DUC20.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
C:\WINNT\System32\cidaemon.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - c:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8e9c50be-f2da-4885-8ce6-83bdf75c0b22} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - c:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: (no name) - {c9dbb366-84ef-461d-b1b7-8d00fdeac852} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - c:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Anvshell] C:\WINNT\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [RetroExpress] C:\PROGRA~1\Dantz\RETROS~1\RetroExpress.exe /h
O4 - HKLM\..\Run: [EVENTLISTENER] C:\Program Files\Fichiers communs\FotoNation\EvLstnr.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: No-IP DUC.lnk = C:\Program Files\No-IP\DUC20.exe
O4 - Global Startup: HPAiODevice.lnk = C:\Program Files\Hewlett-Packard\HP OfficeJet K Series\bin\hpodev07.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4FCFF034-6F56-4D65-8C31-70D98C475428} - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab
O16 - DPF: {C408970D-1DDF-410F-85B7-35687A3798FA} (EditionsX Contrôle) - http://195.214.231.133/OCXEDITIONS.cab
O16 - DPF: {D782BF87-8467-4C49-88E0-9458DA4D74BB} (SAVX Contrôle) - http://195.214.231.133/OCXSAV.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O16 - DPF: {FDEECFB9-424E-4E87-B2C5-FE4C1854FAD4} (FicheCaisseX Contrôle) - http://195.214.231.133/FICHECAISSE.cab
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - c:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - c:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Assistant Retrospect (RetroExp Helper) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\rthlpsvc.exe
O23 - Service: Retrospect Launcher (RetroExpLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe


Ci joint kaspersky
Citation:
;
;
#lundi 18 septembre 2006, 12:49:53
;
;
; Sauvegarder le fichier de rapport = Oui
; Nom du fichier de rapport = avp32.rpt
; Afficher les informations sur les fichiers compressés = Non
; Afficher les informations sur les objets sains = Non
; Ajouter à la fin du fichier de rapport existant = Non
; Taille limite (Ko) = Oui
; Taille limite = 2048
; Exécuter les actions suivantes sur les fichiers infectés = Déplacer vers un répertoire spécial
; Nom du répertoire = Infected
; Utiliser la mise en quarantaine = Non
; Autoriser la suppression ou Renommer les objects composés infectées = Non
; Assigner à la priorité d'analyse le statut = Normal
;
;
;
; "Poste de travail"
; Autoriser le processus = Oui
; Actions en cas de détection de virus = Demander à l'utilisateur
; Analyser les disques locaux amovibles = Oui
; Analyser les disques durs locaux = Oui
; Analyser les unités réseau = Non
; Analyser les fichiers de types suivants = Oui
; Analyser les fichiers de types suivants = Tous
; Exclure les types = Non
; Analyser les secteurs = Oui
; Analyser la mémoire = Oui
; Analyser les bases MS Outlook Express = Oui
; Analyse des objects de mise en route = Oui
; Analyser les objects composés = Oui
; Archives = Oui
; Archives auto-extractibles = Oui
; Bases de courrier = Oui
; Tous formats de courrier = Oui
; Objets OLE2 inclus = Oui
; Autoriser l'analyse du code (heuristique) = Oui
;
; "G:\"
; Autoriser le processus = Non
; Actions en cas de détection de virus = Demander à l'utilisateur
; Analyser les fichiers de types suivants = Oui
; Analyser les fichiers de types suivants = Tous
; Exclure les types = Non
; Analyser les secteurs = Oui
; Analyser les objects composés = Oui
; Archives = Oui
; Archives auto-extractibles = Oui
; Bases de courrier = Oui
; Tous formats de courrier = Oui
; Objets OLE2 inclus = Oui
; Autoriser l'analyse du code (heuristique) = Oui
;
; "H:\"
; Autoriser le processus = Non
; Actions en cas de détection de virus = Demander à l'utilisateur
; Analyser les fichiers de types suivants = Oui
; Analyser les fichiers de types suivants = Tous
; Exclure les types = Non
; Analyser les secteurs = Oui
; Analyser les objects composés = Oui
; Archives = Oui
; Archives auto-extractibles = Oui
; Bases de courrier = Oui
; Tous formats de courrier = Oui
; Objets OLE2 inclus = Oui
; Autoriser l'analyse du code (heuristique) = Oui
;
; "I:\"
; Autoriser le processus = Non
; Actions en cas de détection de virus = Demander à l'utilisateur
; Analyser les fichiers de types suivants = Oui
; Analyser les fichiers de types suivants = Tous
; Exclure les types = Non
; Analyser les secteurs = Oui
; Analyser les objects composés = Oui
; Archives = Oui
; Archives auto-extractibles = Oui
; Bases de courrier = Oui
; Tous formats de courrier = Oui
; Objets OLE2 inclus = Oui
; Autoriser l'analyse du code (heuristique) = Oui
;
;
<200.1500.10101.2.103>
OK Alerte Suspect Infecté <200.904.1204.1304.e04>
Désinfecté Effacé Renommé Mis en quarantaine <200.b04.d04.c04.1804>
Sera effacé au prochain démarrage Sera renommé au prochain démarrage Echec de la désinfection Compressé <200.1704.1604.a04.1004>
Archive Crypté Altéré Format inconnu <200.1104.f04.704.1404>
Protégé par mot de passe Verrouillé par un autre processus Accès en lecture refusé Espace disque insuffisant <200.804.304.504.604>
Problème d'E/S Erreur de Kernel Erreur d'interface Second passage <200.404.204.104.1904>
Objet Résultat Description <100.3c00000c.f000018.19000010>
Boîte de réception\[Objet :"space"][De :"Patrick Laville" <p.laville@free.fr>][Date :Thu, 22 Jan 2004 20:37:20 +0100]\Homeworld2.ace Altéré <d00000.0.7>
Éléments envoyés\[Objet :"Sujet d'élec du mercredi 12/5..."][De :"Edouard Thieuleux" <edth@wanadoo.fr>][Date :Tue, 11 May 2004 20:13:25 +0200]\Homeworld2.ace Altéré <d00000.0.7>
Archives Elements envoyés\[Objet :"Decompresseur winzip ..."][De :"philippe.thieuleux" <philippe.thieuleux@wanadoo.fr>][Date :Mon, 17 Jul 2000 22:48:24 +0200]\WINZIP70.exe Protégé par mot de passe <d40000.0.8>
C:\WINNT\system32\Perflib_Perfdata_5d8.dat Accès en lecture refusé <d60000.0.5>
C:\WINNT\system32\config\software.LOG Accès en lecture refusé <d60000.0.5>
C:\WINNT\system32\config\default.LOG Accès en lecture refusé <d60000.0.5>
C:\WINNT\system32\config\SECURITY Accès en lecture refusé <d60000.0.5>
C:\WINNT\system32\config\SECURITY.LOG Accès en lecture refusé <d60000.0.5>
C:\WINNT\system32\config\SYSTEM.ALT Accès en lecture refusé <d60000.0.5>
C:\WINNT\system32\config\SAM Accès en lecture refusé <d60000.0.5>
C:\WINNT\system32\config\SAM.LOG Accès en lecture refusé <d60000.0.5>
C:\WINNT\system32\config\SYSTEM Accès en lecture refusé <d60000.0.5>
C:\WINNT\system32\config\SOFTWARE Accès en lecture refusé <d60000.0.5>
C:\WINNT\system32\config\DEFAULT Accès en lecture refusé <d60000.0.5>
C:\WINNT\system32\os2\oso001.009 Format inconnu Tar <d90000.0.14>
C:\WINNT\inf\font.inf Format inconnu Tar <d90000.0.14>
C:\WINNT\inf\intl.inf Format inconnu Tar <d90000.0.14>
C:\WINNT\Temp\kav1.tmp Accès en lecture refusé <d60000.0.5>
C:\WINNT\Temp\JET440D.tmp Accès en lecture refusé <d60000.0.5>
C:\WINNT\Temp\JET5DC0.tmp Accès en lecture refusé <d60000.0.5>
C:\WINNT\ServicePackFiles\i386\intl.inf Format inconnu Tar <d90000.0.14>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AlexaRelated.zip/RELATED.HTM Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AlexaRelated.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AllInOneTelcom.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Clop.zip/aybwarn.htm Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Clop.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Clop1.zip/sbRecovery.reg Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Clop1.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DyFuCA.zip/sbRecovery.reg Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DyFuCA.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DyFuCA1.zip/sbRecovery.reg Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DyFuCA1.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DyFuCA2.zip/sbRecovery.reg Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DyFuCA2.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ISearchTechPowerScan.zip/sbRecovery.reg Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ISearchTechPowerScan.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ISearchTechSlotch.zip/sbRecovery.reg Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ISearchTechSlotch.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Radiate.zip/cache/index.chc Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Radiate.zip/adcache/196609/control.ctl Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Radiate.zip/adcache/196611/control.ctl Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Radiate.zip/adcache/131073/control.ctl Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Radiate.zip/adcache/131094/control.ctl Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Radiate.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Web.zip/sbRecovery.reg Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Web.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Web1.zip/sbRecovery.reg Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Web1.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Web2.zip/sbRecovery.reg Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Web2.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WhazIt.zip/sbRecovery.reg Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WhazIt.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WhazIt1.zip/sbRecovery.reg Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WhazIt1.zip/sbRecovery.ini Protégé par mot de passe <d40000.0.8>
C:\Documents and Settings\Philippe Thieuleux\NTUSER.DAT Accès en lecture refusé <d60000.0.5>
C:\Documents and Settings\Philippe Thieuleux\ntuser.dat.LOG Accès en lecture refusé <d60000.0.5>
C:\Documents and Settings\Philippe Thieuleux\Local Settings\Temp\~DFDCF0.tmp Accès en lecture refusé <d60000.0.5>
C:\Documents and Settings\Philippe Thieuleux\Local Settings\Temp\~DFE211.tmp Accès en lecture refusé <d60000.0.5>
C:\Documents and Settings\Philippe Thieuleux\Local Settings\Temp\~DFFB0E.tmp Accès en lecture refusé <d60000.0.5>
C:\Documents and Settings\Philippe Thieuleux\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Accès en lecture refusé <d60000.0.5>
C:\Documents and Settings\Philippe Thieuleux\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Accès en lecture refusé <d60000.0.5>
C:\Documents and Settings\Philippe Thieuleux\Local Settings\Application Data\Identities\{8B3AB8B6-D03B-462A-8E57-4D4FDF408E74}\Microsoft\Outlook Express\Boîte de réception.dbx/[From "Patrick Laville" <p.laville@free.fr>][Date Thu, 22 Jan 2004 20:37:20 +0100]/UNNAMED/Homeworld2.ace/Homeworld2.exe/EXE-file Altéré <d00000.0.7>
C:\Documents and Settings\Philippe Thieuleux\Local Settings\Application Data\Identities\{8B3AB8B6-D03B-462A-8E57-4D4FDF408E74}\Microsoft\Outlook Express\Éléments envoyés.dbx/[From "Edouard Thieuleux" <edth@wanadoo.fr>][Date Tue, 11 May 2004 20:13:25 +0200]/UNNAMED/Homeworld2.ace/Homeworld2.exe/EXE-file Altéré <d00000.0.7>
C:\Program Files\Shareaza\Uninstall\repair.exe Format inconnu Inno <d90000.0.14>
C:\Program Files\Shareaza\Uninstall\setup.exe Format inconnu Inno <d90000.0.14>
C:\Program Files\Anark\Client\Install\AMInstall.cab/AKCore.dll Altéré <d00000.0.7>
C:\System Volume Information\catalog.wci\CiSP0000.000 Accès en lecture refusé <d60000.0.5>
C:\System Volume Information\catalog.wci\INDEX.000 Accès en lecture refusé <d60000.0.5>
C:\System Volume Information\catalog.wci\CiP10000.000 Accès en lecture refusé <d60000.0.5>
C:\System Volume Information\catalog.wci\CiCL0001.000 Accès en lecture refusé <d60000.0.5>
C:\System Volume Information\catalog.wci\CiSL0001.000 Accès en lecture refusé <d60000.0.5>
C:\System Volume Information\catalog.wci\CiP20000.000 Accès en lecture refusé <d60000.0.5>
C:\System Volume Information\catalog.wci\CiPT0000.000 Accès en lecture refusé <d60000.0.5>
C:\System Volume Information\catalog.wci\CiST0000.000 Accès en lecture refusé <d60000.0.5>
C:\System Volume Information\catalog.wci\CiVP0000.000 Accès en lecture refusé <d60000.0.5>
D:\Mes Documents\Mes téléchargements\Shareaza_2.1.0.0.exe Format inconnu Inno <d90000.0.14>
D:\Mes Documents\Mes téléchargements\Decodeur\Programme\Utilitaires\Winzip 8.0 w98-w2000 FR\Winzip 8.0 w98-w2000 FR.exe/SETUP.WZ/WINZIP32.EX_ Protégé par mot de passe <d40000.0.8>
D:\Mes Documents\Mes téléchargements\Pilotes\Carte video asusv9180magic\ASUS Display Driver 43.45D for Win2KXP.zip/ASUS Display Driver 43.45D for Win2KXP/ASUS/nvcpl.dll Altéré <d00000.0.7>
D:\Mes Documents\Mes téléchargements\Garmin\sw garmin c320\StreetPilotc320_420.exe Altéré <d00000.0.7>
D:\Mes Documents\Mes téléchargements\Garmin\audio garmin\StreetPilotc3xxAudio_210.exe Altéré <d00000.0.7>
D:\Mes Documents\Mes téléchargements\Ivoirnet\divx.exe/divx.dll Altéré <d00000.0.7>
D:\Mes Documents\Mes téléchargements\Ivoirnet\divx.exe/divxdec.ax Altéré <d00000.0.7>
D:\Mes Documents\Mes téléchargements\Ivoirnet\divx.exe/DivX Player 2.0 Alpha.exe Altéré <d00000.0.7>
D:\Mes Documents\enfant\edouard\Homeworld2.ace/Homeworld2.exe/EXE-file Altéré <d00000.0.7>
D:\Mes parametres\Outlook Express\Archives Elements envoyés.dbx/[From "philippe.thieuleux" <philippe.thieuleux@wanadoo.fr>][Date Mon, 17 Jul 2000 22:48:24 +0200]/UNNAMED/WINZIP70.exe/SETUP.WZ/WINZIP32.EX_ Protégé par mot de passe <d40000.0.8>
D:\Mon Dossier Partagé\Shareaza_2.2.1.0.exe Format inconnu Inno <d90000.0.14>
:
:
:Objet Résultat <100.3c000000.28000000>
:lundi 18 septembre 2006 12:49:53 Kaspersky AV Scanner : démarré
:______________________________________________________________________
:
:Analysés :
:
:Secteurs ciblés 6
:Fichiers 260239
:Répertoires 50884
:Archives 6729
:Fichiers compressés 1342
:
Très Contentétectés :
:
:Virus connus 0
:Occurences de virus 0
Très Contentésinfectés 0
:Effacés 0
:Renommés 0
:Mis en quarantaine 0
:Alertes 0
:Suspects 0
:Endommagés 12
:Problèmes d'E/S 30
:
:
:Vitesse d'analyse (Ko/s) 3126
:Temps d'analyse 03:21:52
:______________________________________________________________________
:
:lundi 18 septembre 2006 16:11:45 Kaspersky AV Scanner : terminé
:
:


J'ai entre temps réactivé les services qui me permettent de mettre a jour mon w2000...
A+
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 18 Sep 2006 18:43    Sujet du message: Répondre en citant
Je n'ai pas regardé encore tes rapports, mais il me manque toujours celui de eScan Antivirus Toolkit.

Ca a donné quoi Question

Est-ce qu'il y a de l'amélioration ou pas Question

@+

[Edit] A part la ligne O23 concernant Agobot, ton log n'a pas bougé d'un iota. Tu n'as pas utilisé HijackThis du tout Question
Revenir en haut de page
petit loup
Newbie
Newbie


Inscrit le: 16 Sep 2006
Message(s): 16
MessagePosté le: 19 Sep 2006 12:13    Sujet du message: Répondre en citant
Pardonne moi je me suis embrouillé... et j'ai essayé a plusieur reprise de t'envoyer le log de escan mais il est tellement volumineux (une ligne pour chaque fichier annalysé) qu'il n'est pas possible de le chargé sur cjoint ou sur le forum...
Depuis dimanche soir tout semblais réglé c'était extra, mais ce matin : utilisation gallopante de la mémoire...j'ai desactivé un processus retoexpress (logiciel de sauvegarde du dd externe qui est eteint depuis 4 jour)qui se bloque sur 40M° de memeoire a chaque demarage ...
De + certain processus tournent chacun plusieurs fois
svshost.exe 3 fois
kpf4gui.exe 2fois
acpcc.exe 2 fois
Si je redemarre -->debut du vidage de la memoire physique vers le disque...et le pc scan disq

Il semble que cela se gate.
J'ai bien installe depuis 2 jour "firewall kerio" sur le pc malade

Ci joint hijackthis recent
Citation:
Logfile of HijackThis v1.99.1
Scan saved at 23:01:29, on 18/09/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
c:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
c:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\Anvshell.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\PROGRA~1\Dantz\RETROS~1\RetroExpress.exe
C:\Program Files\Fichiers communs\FotoNation\EvLstnr.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP OfficeJet K Series\bin\hpodev07.exe
C:\Program Files\No-IP\DUC20.exe
C:\WINNT\System32\cidaemon.exe
C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - c:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8e9c50be-f2da-4885-8ce6-83bdf75c0b22} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - c:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: (no name) - {c9dbb366-84ef-461d-b1b7-8d00fdeac852} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - c:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Anvshell] C:\WINNT\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [RetroExpress] C:\PROGRA~1\Dantz\RETROS~1\RetroExpress.exe /h
O4 - HKLM\..\Run: [EVENTLISTENER] C:\Program Files\Fichiers communs\FotoNation\EvLstnr.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: No-IP DUC.lnk = C:\Program Files\No-IP\DUC20.exe
O4 - Global Startup: HPAiODevice.lnk = C:\Program Files\Hewlett-Packard\HP OfficeJet K Series\bin\hpodev07.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4FCFF034-6F56-4D65-8C31-70D98C475428} - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab
O16 - DPF: {C408970D-1DDF-410F-85B7-35687A3798FA} (EditionsX Contrôle) - http://195.214.231.133/OCXEDITIONS.cab
O16 - DPF: {D782BF87-8467-4C49-88E0-9458DA4D74BB} (SAVX Contrôle) - http://195.214.231.133/OCXSAV.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O16 - DPF: {FDEECFB9-424E-4E87-B2C5-FE4C1854FAD4} (FicheCaisseX Contrôle) - http://195.214.231.133/FICHECAISSE.cab
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - c:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - c:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Assistant Retrospect (RetroExp Helper) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\rthlpsvc.exe
O23 - Service: Retrospect Launcher (RetroExpLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe



Je te colle les elements de escan du début et de la fin (fichier moins gros)
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
petit loup
Newbie
Newbie


Inscrit le: 16 Sep 2006
Message(s): 16
MessagePosté le: 19 Sep 2006 12:19    Sujet du message: Répondre en citant
J'ajoute que bien que j'ai parametré kerio sur le pc malade pour qu'il puisse communiquer avec le lan ...Bien que je puisse le pinguer depuis les autre pc...l'accés aux favoris reseaux est devenu trés long sur les autre pc... alors qu'il est facile sur le pc malade !!!
A bientot
Petitloup
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 19 Sep 2006 20:02    Sujet du message: Répondre en citant
Bonsoir,

Alors plusieurs choses :

« petit loup » a écrit:
JSi je redemarre -->debut du vidage de la memoire physique vers le disque...et le pc scan disq


Dans un premier temps, fais un clic droit sur le Poste de Travail et Propriétés. Clique sur l'onglet Avancé, dans le cadre Démarrage et récupération clique sur Paramètres.

Une nouvelle fenêtre va s'ouvrir : si la case Redémarrer automatiquement est cochée, décoche là et valide par [Ok].



Ca devrait déjà régler le redémarrage avec vérification du disque.

Regarde dans l'observateur d'événements si tu trouves le message d'erreur à l'heure du plantage dont tu parles.

Pour cela :

  • Fais démarrer / Exécuter --> tape eventvwr.msc

  • Clique sur Système

  • Recherche l'erreur correspondant à l'heure et à la date du plantage et double clique dessus

  • Clique sur les deux feuilles superposées pour copier l'erreur, ouvre le bloc notes et fais ctrl+c (ou édition / coller) pour obtenir un fichier texte de cette erreur. Sauvegarde le fichier et uploade le via c-joint. Pour ça tu cliques sur parcourir, l'arborescence de ton disque va s'ouvrir. Tu navigues jusqu'au rapport que tu as sauvegardé, et tu cliques sur Envoyer.

    Tu fais un copier / coller du lien obtenu sur le forum.



Si jamais tu obtiens un écran bleu, note le message qui s'affiche à l'écran.

En bas de l'écran tu dois avoir un message du type STOP 0x****** suivi d'un nom de fichier avec une extension .sys en principe mais ça peut être autre chose.

Concernant tes rapports :

Ce qui m'importe dans un premier temps, c'est de savoir si e-scan a supprimé ou renommé quelque chose. Regarde le rapport attentivement et cherche si tu vois quelque chose du genre virus found ou files renamed. Si oui, tu me dis de quoi il s'agit. Wink

Citation:
l'accés aux favoris reseaux est devenu trés long sur les autre pc... alors qu'il est facile sur le pc malade !!!


Quand on a un pc vérolé, la première chose à faire est de l'isoler du reste du réseau pour éviter une contamination de pc à pc. Je ne suis pas certaine que tu aies fait le bon choix en connectant ce pc au réseau ou alors l'un des autres pc est malade...

@+

[Edit] Il est possible qu'un mauvais paramètrage de Kerio soit à l'origine de cela. Essaie de le désactiver pour voir si c'est mieux sans lui, si c'est le cas, il faudra trouver le moyen de le paramètrer correctement.

Tu as un routeur ?
Revenir en haut de page
petit loup
Newbie
Newbie


Inscrit le: 16 Sep 2006
Message(s): 16
MessagePosté le: 20 Sep 2006 2:06    Sujet du message: Répondre en citant
Bonsoir,
Citation:
Si je redemarre -->debut du vidage de la memoire physique vers le disque...et le pc scan disq

Pb réglé : trops de charge sur la ram (500mo installé sur mon pc) 700mo utilisé.
J'ai fais plein de test. Eliminé ce qui ne sert plus, desactivé (avec msconfig) ce qui semblait gourmant, je suis redéscendu a 243moutilisé.
Je me demande si les installation du firewall et de l'AV n'ont pas fait dépasser la limite ?
En bon eleve, j'ai rebooté - cclean- rebboté...
Pour ton info le message que j'avais a la fermeture de win2k :stop: ox.........memory management.......debut du vidage de la memoire pysique vers le DD.
Et pour que j'arrive enfin a utilisé "cjoint" voici les seules erreurs qui subsiste actuellement dans l'observateur d'evenement.
Journal Systeme
http://cjoint.com/?jubtePKAm2
journal application
http://cjoint.com/?jubulD3ZN6

Concernant e-scan , aprés l'avoir soigneseument regardé je te confirme
virus found=0
virus renamed=0

peut-on dire ouf ?

Citation:

l'accés aux favoris reseaux est devenu trés long sur les autre pc... alors qu'il est facile sur le pc malade !!!

Citation:
Quand on a un pc vérolé, la première chose à faire est de l'isoler du reste du réseau pour éviter une contamination de pc à pc. Je ne suis pas certaine que tu aies fait le bon choix en connectant ce pc au réseau ou alors l'un des autres pc est malade...

Tu as raison , j'ai pris le risque parcequ'il est neuf et qu'au pire une réinstalle sera pas trop difficile...
Citation:
Il est possible qu'un mauvais paramètrage de Kerio soit à l'origine de cela. Essaie de le désactiver pour voir si c'est mieux sans lui, si c'est le cas, il faudra trouver le moyen de le paramètrer correctement.

Sur kerio j'ai paramétré : securité reseau/zone securisée/ et coché la connexion au reseau local...
Je te confirme que quand je veux lancé les favoris reseaux (sur le pc neuf: xp pro, firwall xp activé )l'affichage de la fenetre ne se produit qu'au bout de 45 secondes .
Si kerio(firwall recement installé) est activé sur le pc malade (bientot gueri), c'est plus long voir parfois impossible quand il y avait plus d'application en tache de fond sur le pc malade.
Je constate que quand j'appelle les repertoire du pc malade depuis le pc neuf , l'uc du pc malade est trés sollicité (pointe a 100%) mais les repertoires s'ouvrent assez vite une fois que j'ai les favoris reseaux.(tu crois qu'il a pris une bebete ?).
Les autres pc du reseau accede beaucoup + vite a leurs favoris.

Citation:
Tu as un routeur ?
oui , il est en DHCP, aucun port n'est ouvert sur le firewall qui est activé.(usrobotics)
Le reseau local est fillaire a 100Mbts.
Une bonne nuit a toi et a ++
Petit loup
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 20 Sep 2006 9:59    Sujet du message: Répondre en citant
Bonjour,

« petit loup » a écrit:
Pb réglé : trops de charge sur la ram (500mo installé sur mon pc) 700mo utilisé.
J'ai fais plein de test. Eliminé ce qui ne sert plus, desactivé (avec msconfig) ce qui semblait gourmant, je suis redéscendu a 243moutilisé.
Je me demande si les installation du firewall et de l'AV n'ont pas fait dépasser la limite ?


C'est possible, et en même temps 500Mo de Ram pour un W2K c'est suffisant mais tout dépend aussi du reste de la configuration matérielle.


Citation:
(tu crois qu'il a pris une bebete ?).
Les autres pc du reseau accede beaucoup + vite a leurs favoris.


C'est une possibilité, tu peux le vérifier en lançant un scan en ligne avec KAV ou Panda. Une autre possibilité qui pourrait avoir une incidence, ce sont les clients P2P, d'autant que ceux installés sur ta machine n'ont pas la réputation d'être des programmes sains.

Je ne suis pas experte en matière de réseau, mais si tu rencontres toujours des problèmes et si le pc est sain, ouvre un sujet sur le forum Configurations et problèmes réseaux, il y aura sûrement quelqu'un de l'équipe qui pourra t'en dire plus que moi. Wink


Citation:
Concernant e-scan , aprés l'avoir soigneseument regardé je te confirme
virus found=0
virus renamed=0

peut-on dire ouf ?


A part tes problèmes de réseaux, tu n'as plus de soucis avec ce PC Question

On va finir quand même de checker la santé du pc.

  • Commence par vider la quarantaine de Spybot S&D et celle de ton AV résident,

  • Passe un coup de CCleaner,

  • Fais un scan en ligne rapide avec PestPatrol : Clique sur


    • A l'issue de l'analyse, clique sur le + en haut à gauche (tout développer) et fais un copier / coller du résultat dans le bloc notes.

    • Sauvegarde le fichier .txt et uploade-le via C-Joint pour le poster sur ta prochaine réponse.


  • Nouveau log HijackThis.


Bonne journée,
@+
Revenir en haut de page
petit loup
Newbie
Newbie


Inscrit le: 16 Sep 2006
Message(s): 16
MessagePosté le: 20 Sep 2006 14:57    Sujet du message: Répondre en citant
Bonjour Sev
Citation:
Commence par vider la quarantaine de Spybot S&D et celle de ton AV résident,


Passe un coup de CCleaner,


Fais un scan en ligne rapide avec PestPatrol : Clique sur

J'ai tout fait voici le resultat du spywarscan 3elevé 5 moyenne
http://cjoint.com/?juoUJtQlLh

Citation:
Nouveau log HijackThis.

http://cjoint.com/?juo1TgpXQ3
Voila !
Que faire de mon dd externe et de ses sauvegardes ?
Cordialement
Petit loup
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
APC
Invité
MessagePosté le: 20 Sep 2006 21:55    Sujet du message: Répondre en citant
Bonsoir Petit Loup,

« petit loup » a écrit:
Que faire de mon dd externe et de ses sauvegardes ?


Si tu as des doutes sur la santé de ton disque amovible scanne le avec ton antivirus Wink

Pour la désinfection de ton pc, il faut vraiment que tu fasses à la lettre ce que je te dis, sinon on ne va pas en sortir.

Tu m'as dit avoir enlevé des programmes au démarrage par msconfig, mais d'après ton log, je vois qu'il y a toujours ceux que je t'avais dit de fixer, dont on y retourne.

  1. Télécharge AdAware et fais les mises à jour, mais ne lance pas de scan pour le moment,

  2. Télécharge lopremover et laisse le en attente sur ton bureau,

    Attention Pour pouvoir télécharger et utiliser lopremover, Kaspersky doit être désactivé sinon il t'en empêchera et supprimera le fichier.

  3. Télécharge ce fichier et dézippe le sur ton bureau, n'y touche pas pour le moment,

  4. Télécharge KazaaBegone et dézippe le sur ton bureau

  5. Déconnecte toi d'Internet,

  6. Ouvre le dossier de KazaaBegone et double clique sur KazaaBegone.exe, coche la case comme dans l'exemple, et clique sur Go,



  7. Lance un nettoyage avec CCleaner

  8. Redémarre en mode sans échec

  9. Ouvre HijackThis, coche et fixe les lignes suivantes et seulement celles -ci :

    Citation:
    O2 - BHO: (no name) - {8e9c50be-f2da-4885-8ce6-83bdf75c0b22} - (no file)
    O2 - BHO: (no name) - {c9dbb366-84ef-461d-b1b7-8d00fdeac852} - (no file)
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http//messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http//messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http//www.cult3d.com/download/cult.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http//messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http//messenger.zone.msn.com/binary/ZIntro.cab30149.cab
    O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http//messenger.zone.msn.com/binary/Bankshot.cab30149.cab
    O16 - DPF: {C408970D-1DDF-410F-85B7-35687A3798FA} (EditionsX Contrôle) - http//195.214.231.133/OCXEDITIONS.cab
    O16 - DPF: {D782BF87-8467-4C49-88E0-9458DA4D74BB} (SAVX Contrôle) - http/195.214.231.133/OCXSAV.cab
    O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http/runonce.msn.com/setacceptlang.cab
    O16 - DPF: {FDEECFB9-424E-4E87-B2C5-FE4C1854FAD4} (FicheCaisseX Contrôle) - http/195.214.231.133/FICHECAISSE.cab



  10. Lance un scan complet de ta machine avec Adaware et supprime tout ce qu'il trouve,

  11. Double clique sur fix_adlogix.reg et accepte la fusion à la base de registre,

  12. Double clique sur lopremover.exe et suis les instructions qui te sont données,

  13. Supprime lopremover toi même après son utilisation,

  14. Nouveau passage de CCleaner,

  15. Redémarre en mode normal,

  16. Nouveau scan & rapport de PestPatrol, s'il trouve encore des traces dans le registre on ira mettre les mains dans le cambouis,

  17. Nouveau log HijackThis


Tu ne m'as pas dit si tes problèmes initiaux étaient réglés, je suppose que oui.

A part l'histoire de la connexion réseau, qu'est ce qu'il te reste comme soucis sur ta machine Question

Est-ce que tu as vérifié la santé de l'autre PC Question

@+
Revenir en haut de page