Voir le sujet précédent :: Voir le sujet suivant |
Auteur |
Message |
cspencer
Inscrit le: 07 Fév 2006 Messages: 9
|
Posté le: 19 Mai 2006 à 9:31 Sujet du message: infection de mon pc |
|
|
bonjour,
j'ai un problème depuis quelques temps, je ne peux pas telecharger mes pièces jointes sur IE. En plus quand j'eteind mon ordi il y a toujour une boite qui s'ouvre qu'un executable sample n'est pas fermé. J'ai deja demandé quelques information sur les forums. On me dit que c'est un virus nimda.J'ai donc utilisé fixnimda pour l'enlever mais celui ci ne detecte rien. Est ec quelqu'un peut savoir ce qui infecte mon ordi?
merci |
|
Revenir en haut de page |
|
|
3dmin Administrateur
Inscrit le: 12 Sep 2004 Messages: 3426 Localisation: Brussels
|
Posté le: 19 Mai 2006 à 9:58 Sujet du message: |
|
|
salut,
là de prime à bord, non.
Vas savoir sous quel OS tu est, si tu l'a mis à jour, quel anti-virus tu utilise, quel firewall tu utilise, aussi comment celui-ci aurait-il pu entrer, etc.
Enfin bref, il nous faut une description de ta machine, de ton OS, et bien sur un log hijackthis peut nous aider à y voir plus clair. _________________ Patojiku
(c) D.T.P.C. Team, 2004-2010
"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 |
|
Revenir en haut de page |
|
|
cspencer
Inscrit le: 07 Fév 2006 Messages: 9
|
Posté le: 19 Mai 2006 à 10:18 Sujet du message: |
|
|
J'utilise windows XP
j'ai installé AVG, kerio, spybot et adaware
Voila le resultat de hijackthis
Log supprimé - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe |
|
Revenir en haut de page |
|
|
3dmin Administrateur
Inscrit le: 12 Sep 2004 Messages: 3426 Localisation: Brussels
|
Posté le: 19 Mai 2006 à 11:33 Sujet du message: |
|
|
CORRECTION DU LOG :
Les lignes suivantes sont inutiles au démarrage et le fait de les fixer n'influera en rien le fonctionnement de ces programmes :
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
Pas vraiment utile si tu mets à jour manuellement ta machine virtuelle java
O4 - HKLM\..\Run: [DVDLauncher] C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
NO COMMENT
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
T\'est sur que t\'as envie d\'avoir ça au démarrage ?
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
Petit programme de gestion de ta carte video Intel... pas très utile si tu change pas ta résolution toutes les 5 minutes
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
Ce programme est pareil que igfxtray à la seule différence qu\'il n\'affiche pas d\'icône dans la system tray, mais peret de faire la même chose via une combinaison de touches définie... complètement inutile...
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
Et un troisiemme programme pour la carte Intel... inutile...
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
Je te conseille de virer cette ligne et de mettre RealPlayer à jour manuellement... ou mieux, utilise RealAlternative et plus besoin de ce truc-much-player-bouffeur-de-ressources
O4 - HKCU\..\Run: [MsnMsgr] C:\Program Files\MSN Messenger\MsnMsgr.Exe /background
LA PIRE LIGNE DU MONDE !!!!!
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
MSN + Yahoo... ( si t\'est sur deux ou trois réseaux je te conseille une messagerie multi-protocole : essaye trillian.
O4 - HKCU\..\Run: [iPlusAgent] C:\Program Files\iriver\iriver plus\iAgent.exe
Si tu peux le démarrer seulement quand t\'en a besoin c\'est peut-être mieux, ne trouve-tu pas?
O4 - Startup: iPodder.lnk = C:\Program Files\iPodder\iPodder.exe
Même tarif que pour l\'IAgent de Iriver...
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
A moins que ça ait un quelquechose à voir avec ta connexion internet tu peux le virer...
O4 - Global Startup: Digital Line Detect.lnk = ?
c\'est plutot mort comme lien
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
Si t\'utilise pas IE tu peux virer le bouton yahoo! de la barre
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
Encore et toujours la même chose si tu n\'utilise pas IE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
ENcore et encore des trucs inutiles pour IE...
O9 - Extra Tools menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
Ca n\'en finira donc jamais: si pas utilisateur IE alors tu peux virer tout ça
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
Si tu vire les programmes Intel tu peux virer ceci aussi
Ces lignes necessitent une procédure particulière :
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
Pour cette ligne il faudra faire attention, j\'ai pu constatter sur le net que ce programme foutait royalement la mémerde dans le pc avec certains programmes, toutefois il est apparement INDISPENSABLE à ton lecteur pour lire les cd et dvd gravés..., donc test en coupant le programme si tu sait encore lire les cd gravés, si oui alors tu peux te débarasser de ce truc, sinon il est coneillé de le laisser tant qu\'il ne provoque pas de problèmes dans le pc...
O4 - HKLM\..\Run: [VirusScan] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
Ici on peut voir que tu as utilisé McAffee avant AVG et que tu n\'as pas bien désinstallé. Tu peux virer cette ligne à condition que tu aille nétoyer les fichiers restants de McAffee
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
résidu de la console java de microsoft, vois si tu peux la désinstaller et si le fichier est effectivement pas présent dans le répertoire cité.
O9 - Extra Tools menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
Même tarif, toujours en rapport avec la console java de microsoft...
O8 - Extra context menu item: Edit with X&ML Spy - C:\Program Files\Altova\XMLSPY2004\spy.htm
triplette (1) : Vérifie que ce menu soit bien utilisé par toi (Edit with XMLSpy) et bien sur ces lignes sont quasi obsolètes si tu n\'utilise pas IE.
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Program Files\Altova\XMLSPY2004\spy.htm
triplette (2)
O9 - Extra Tools menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Program Files\Altova\XMLSPY2004\spy.htm
triplette (3)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
Vérifie que Webroot Spysweeper soit correctement désinstallé avant de virer cette ligne
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
Tu dois essayer en désactivant ce service voir si tu peux encore imprimer. Ce programme est en fait un configurateur pour l\'interfaçe réseau de l\'imprimente LexMark... Il est repporté des erreurs fréquentes, mais pas critiques, si l\'imprimente est bien configurée je pense que tu peux virer ce service, ceci dit, il faut faire un test avant...
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
Cette ligne demande plus d\'attention, ce service est repporté comme étant une variante du ver AGOBOT/GAOBOT; N\'ayant pas vraiment le temps de faire des recherches plus profondes, je vais laisser Le spécialiste Laurent, s\'en charger... (ou alors ce soir je te dirais quoi si j\'ai trouvé le temps de me renseigner...) donc pour l\'instant laisse-là, car ce service peut effectivement être aussi le manager de tes connection Intel.
Autres lignes supprimables :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll (file missing)
Fichier Manquant, ou la \"case\" n\'est pas identique (vérifie s\'il n\'est pas présent dans ce répertoire avant de virer la ligne)
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Program Files\iMeshBar\bar\1.bin\IMESHBAR.DLL (file missing)
Fichier Manquant, ou la \"case\" n\'est pas identique (vérifie s\'il n\'est pas présent dans ce répertoire avant de virer la ligne)
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
Peut être supprimée si tu n\'utilise pas l\'icone dans la system tray, perso je pense que c\'est mieux sans...
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
Ce petit programme sert à faire des diagnostiques de la carte réseau quand celle-ci semble poser problème, si ta connection fonctionne nickel alors tu peux virer cette ligne
O4 - HKLM\..\Run: [UpdateManager] C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe /r
Mises à jour Sonic, t\'est sûr que ça doit tourner en fond vu que tu peux aussi le faire manuellement...
O4 - HKLM\..\Run: [PCMService] C:\Program Files\Dell\Media Experience\PCMService.exe
Cyberlink Power Cinema : est-ce que ça à vraiment lieu de démarrer avec windows ?
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
Moi je l\'utilise (HTTrack) sans la barre IE, normal, j\'utilise pas IE, donc si tu n\'utilise pas IE tu peux tranquillement virer cette ligne....
O9 - Extra Tools menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
meme taif ici...
-----
Voilà pour commencer, déblaye déjà ça et vérifie les quelques trucs à vérifier... et tu peux refaire un log une fois que tu à déblayé tout ça _________________ Patojiku
(c) D.T.P.C. Team, 2004-2010
"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 |
|
Revenir en haut de page |
|
|
cspencer
Inscrit le: 07 Fév 2006 Messages: 9
|
Posté le: 19 Mai 2006 à 12:07 Sujet du message: |
|
|
j'ai une question a posé comment savoir que webroot spysweeper est correctement enlevé?
merci |
|
Revenir en haut de page |
|
|
3dmin Administrateur
Inscrit le: 12 Sep 2004 Messages: 3426 Localisation: Brussels
|
Posté le: 19 Mai 2006 à 12:37 Sujet du message: |
|
|
Si tu l'as déjà désinstallé, c'est qu'il s'est mal désinstallé. Il faut donc faire un scan registre (avec regcleaner par exemple) et virer toutes les clés en rapport avec Webrooot SpySweeper et finir par deleter le dossier dans programme files.
Mais normalement comme HJT indique le fichier commme "missing" je pense qu'il est bien désinstaller sauf quelques clé registre, donc virer la ligne avec hjt suffit, tu pourra affiner si tu vois encore du webroot dans ta registre après avoir fait regcleaner. _________________ Patojiku
(c) D.T.P.C. Team, 2004-2010
"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 |
|
Revenir en haut de page |
|
|
cspencer
Inscrit le: 07 Fév 2006 Messages: 9
|
Posté le: 19 Mai 2006 à 13:24 Sujet du message: |
|
|
j'ai fait passer regcleaner et il a trouver spysweeper. j'ai fait le fix dans HJT, j'ai redémarré et le meme pb sur la boite de non terminaison du programme sample s'affiche de nouveau.
voila le log de HJT
Log supprimé - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe |
|
Revenir en haut de page |
|
|
vin-moi Administrateur
Inscrit le: 28 Aoû 2004 Messages: 6897 Localisation: France
|
|
Revenir en haut de page |
|
|
Ajouter à :
|
|