[cspencer]

bonjour,
j'ai un problème depuis quelques temps, je ne peux pas telecharger mes pièces jointes sur IE. En plus quand j'eteind mon ordi il y a toujour une boite qui s'ouvre qu'un executable sample n'est pas fermé. J'ai deja demandé quelques information sur les forums. On me dit que c'est un virus nimda.J'ai donc utilisé fixnimda pour l'enlever mais celui ci ne detecte rien. Est ec quelqu'un peut savoir ce qui infecte mon ordi?
merci 

[3dmin]

salut,

là de prime à bord, non.

Vas savoir sous quel OS tu est, si tu l'a mis à jour, quel anti-virus tu utilise, quel firewall tu utilise, aussi comment celui-ci aurait-il pu entrer, etc.

Enfin bref, il nous faut une description de ta machine, de ton OS, et bien sur un log hijackthis peut nous aider à y voir plus clair.
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010

"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 

[cspencer]

J'utilise windows XP
j'ai installé AVG, kerio, spybot et adaware
Voila le resultat de hijackthis

Log supprimé - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe 

[3dmin]

CORRECTION DU LOG :

Les lignes suivantes sont inutiles au démarrage et le fait de les fixer n'influera en rien le fonctionnement de ces programmes :

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

Pas vraiment utile si tu mets à jour manuellement ta machine virtuelle java

O4 - HKLM\..\Run: [DVDLauncher] C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe

NO COMMENT

O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

T\'est sur que t\'as envie d\'avoir ça au démarrage ?

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

Petit programme de gestion de ta carte video Intel... pas très utile si tu change pas ta résolution toutes les 5 minutes

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

Ce programme est pareil que igfxtray à la seule différence qu\'il n\'affiche pas d\'icône dans la system tray, mais peret de faire la même chose via une combinaison de touches définie... complètement inutile...

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

Et un troisiemme programme pour la carte Intel... inutile...

O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

Je te conseille de virer cette ligne et de mettre RealPlayer à jour manuellement... ou mieux, utilise RealAlternative et plus besoin de ce truc-much-player-bouffeur-de-ressources

O4 - HKCU\..\Run: [MsnMsgr] C:\Program Files\MSN Messenger\MsnMsgr.Exe /background

LA PIRE LIGNE DU MONDE !!!!!

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

MSN + Yahoo... ( si t\'est sur deux ou trois réseaux je te conseille une messagerie multi-protocole : essaye trillian.

O4 - HKCU\..\Run: [iPlusAgent] C:\Program Files\iriver\iriver plus\iAgent.exe

Si tu peux le démarrer seulement quand t\'en a besoin c\'est peut-être mieux, ne trouve-tu pas?

O4 - Startup: iPodder.lnk = C:\Program Files\iPodder\iPodder.exe

Même tarif que pour l\'IAgent de Iriver...

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe

A moins que ça ait un quelquechose à voir avec ta connexion internet tu peux le virer...

O4 - Global Startup: Digital Line Detect.lnk = ?

c\'est plutot mort comme lien

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll

Si t\'utilise pas IE tu peux virer le bouton yahoo! de la barre

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

Encore et toujours la même chose si tu n\'utilise pas IE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

ENcore et encore des trucs inutiles pour IE...

O9 - Extra Tools menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

Ca n\'en finira donc jamais: si pas utilisateur IE alors tu peux virer tout ça

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

Si tu vire les programmes Intel tu peux virer ceci aussi

Ces lignes necessitent une procédure particulière :

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

Pour cette ligne il faudra faire attention, j\'ai pu constatter sur le net que ce programme foutait royalement la mémerde dans le pc avec certains programmes, toutefois il est apparement INDISPENSABLE à ton lecteur pour lire les cd et dvd gravés..., donc test en coupant le programme si tu sait encore lire les cd gravés, si oui alors tu peux te débarasser de ce truc, sinon il est coneillé de le laisser tant qu\'il ne provoque pas de problèmes dans le pc...

O4 - HKLM\..\Run: [VirusScan] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

Ici on peut voir que tu as utilisé McAffee avant AVG et que tu n\'as pas bien désinstallé. Tu peux virer cette ligne à condition que tu aille nétoyer les fichiers restants de McAffee

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

résidu de la console java de microsoft, vois si tu peux la désinstaller et si le fichier est effectivement pas présent dans le répertoire cité.

O9 - Extra Tools menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

Même tarif, toujours en rapport avec la console java de microsoft...

O8 - Extra context menu item: Edit with X&ML Spy - C:\Program Files\Altova\XMLSPY2004\spy.htm

triplette (1) : Vérifie que ce menu soit bien utilisé par toi (Edit with XMLSpy) et bien sur ces lignes sont quasi obsolètes si tu n\'utilise pas IE.

O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Program Files\Altova\XMLSPY2004\spy.htm

triplette (2)

O9 - Extra Tools menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Program Files\Altova\XMLSPY2004\spy.htm

triplette (3)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

Vérifie que Webroot Spysweeper soit correctement désinstallé avant de virer cette ligne

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Tu dois essayer en désactivant ce service voir si tu peux encore imprimer. Ce programme est en fait un configurateur pour l\'interfaçe réseau de l\'imprimente LexMark... Il est repporté des erreurs fréquentes, mais pas critiques, si l\'imprimente est bien configurée je pense que tu peux virer ce service, ceci dit, il faut faire un test avant...

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

Cette ligne demande plus d\'attention, ce service est repporté comme étant une variante du ver AGOBOT/GAOBOT; N\'ayant pas vraiment le temps de faire des recherches plus profondes, je vais laisser Le spécialiste Laurent, s\'en charger... (ou alors ce soir je te dirais quoi si j\'ai trouvé le temps de me renseigner...) donc pour l\'instant laisse-là, car ce service peut effectivement être aussi le manager de tes connection Intel.

Autres lignes supprimables :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens



O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)



O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll (file missing)

Fichier Manquant, ou la \"case\" n\'est pas identique (vérifie s\'il n\'est pas présent dans ce répertoire avant de virer la ligne)

O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Program Files\iMeshBar\bar\1.bin\IMESHBAR.DLL (file missing)

Fichier Manquant, ou la \"case\" n\'est pas identique (vérifie s\'il n\'est pas présent dans ce répertoire avant de virer la ligne)

O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe

Peut être supprimée si tu n\'utilise pas l\'icone dans la system tray, perso je pense que c\'est mieux sans...

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

Ce petit programme sert à faire des diagnostiques de la carte réseau quand celle-ci semble poser problème, si ta connection fonctionne nickel alors tu peux virer cette ligne

O4 - HKLM\..\Run: [UpdateManager] C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe /r

Mises à jour Sonic, t\'est sûr que ça doit tourner en fond vu que tu peux aussi le faire manuellement...

O4 - HKLM\..\Run: [PCMService] C:\Program Files\Dell\Media Experience\PCMService.exe

Cyberlink Power Cinema : est-ce que ça à vraiment lieu de démarrer avec windows ?

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

Moi je l\'utilise (HTTrack) sans la barre IE, normal, j\'utilise pas IE, donc si tu n\'utilise pas IE tu peux tranquillement virer cette ligne....

O9 - Extra Tools menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

meme taif ici...



-----
Voilà pour commencer, déblaye déjà ça et vérifie les quelques trucs à vérifier... et tu peux refaire un log une fois que tu à déblayé tout ça
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010

"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 

[cspencer]

j'ai une question a posé comment savoir que webroot spysweeper est correctement enlevé?
merci 

[3dmin]

Si tu l'as déjà désinstallé, c'est qu'il s'est mal désinstallé. Il faut donc faire un scan registre (avec regcleaner par exemple) et virer toutes les clés en rapport avec Webrooot SpySweeper et finir par deleter le dossier dans programme files.

Mais normalement comme HJT indique le fichier commme "missing" je pense qu'il est bien désinstaller sauf quelques clé registre, donc virer la ligne avec hjt suffit, tu pourra affiner si tu vois encore du webroot dans ta registre après avoir fait regcleaner.
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010

"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 

[cspencer]

j'ai fait passer regcleaner et il a trouver spysweeper. j'ai fait le fix dans HJT, j'ai redémarré et le meme pb sur la boite de non terminaison du programme sample s'affiche de nouveau.
voila le log de HJT

Log supprimé - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe 

[vin-moi]

Bizzare, puisqu'aucun de tes logs ne montre qu'un processus sample est démarré ...

Met à jour Ad-aware et Spybot, puis fait un scan avec les deux antispyware.

Fait ensuite un scan en ligne avec panda : http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
_________________