IE8 tourne en fond... Pop-up... Scan fait, rien trouvé...

Marsh Posté le 16-06-2010 à 12:09:51

Salut,

J'ai un soucis depuis peu, des pop up IE8 s'ouvre de temps en temps, après recherche j'ai remarqué que 2 processus iexplore.exe tournait en tache de fond... Malgré les analyses de plusieurs programmes, rien n'a été trouvé...

Logiquement, ça doit venir d'un truc qui se charge au démarrage, non? De ce côté la, rien vu de spécial non plus... Les pop-up sont des pub diverses (foot, jeux, etc...) bref j'ai vraiment pas la moindre idée la...

Je continu de cherche, je viendrais donner le nom du coupable si je trouve, en attendant si vous avez une idée... :sweat:

Message édité par SarangDo le 16-06-2010 à 12:33:52

Reply

Marsh Posté le 16-06-2010 à 12:09:51

Reply

Marsh Posté le 16-06-2010 à 13:01:56

Un petit scan de Malwarebytes.

---------------
Règle n°22 : Fais comme tu peux.

Reply

Marsh Posté le 16-06-2010 à 13:19:31

Déjà fais... AntiVir aussi... Online aussi...

Reply

Marsh Posté le 16-06-2010 à 13:29:39

install spybot et vaccine ton systeme

Reply

Marsh Posté le 16-06-2010 à 13:33:58

Je vais faire un scan avec mais par contre leur truc de "vaccination" je connais et j'en veux pas, ça bloque trop de truc..

Reply

Marsh Posté le 16-06-2010 à 14:29:17

Et voila, scan terminé, résultat : 2 vulgaire cookies... adviva.net et doubleclick.net...

Message édité par SarangDo le 16-06-2010 à 14:29:50

Reply

Marsh Posté le 16-06-2010 à 14:55:06

Bon, je viens de restaurer une image système qui date du début de l'année et le ie8 tourne toujours en tache de fond...

Ça veut dire quoi?! Que j'ai une merde sur un disque de stockage & non pas le disque système? Franchement la je suis à court d'idée...

Reply

Marsh Posté le 16-06-2010 à 16:47:15

Meme soucis sous seven 64 officiel...
IE8 32 plantage + process fantomes....
Je n'ai malheureusement de solutions a t'apporter. Personnellement je suis passe a chrome et bien c'est la nuit et le jour.

Bon courage.

---------------
FeeBack http://forum.hardware.fr/hardwaref [...] m#t7414427

Reply

Marsh Posté le 16-06-2010 à 18:53:20

Chrome est mon principal depuis plusieurs mois et avant firefox pendant + de 3ans... Je me sers de IE rarement, juste au cas où!

Bref, ne pas l'utiliser ne change pas mon soucis, c'est un "virus fantôme" ou assimilé puisqu'il reste caché sur un disque et se greffe à jamais...

Message édité par SarangDo le 16-06-2010 à 18:53:49

Reply

Marsh Posté le 16-06-2010 à 19:10:48

dans ces cas-là, le mieux est de démonter le disque et de scanner en USB depuis un PC "sain" ... ya des malwares qui se lancent à plusieurs étages et le temps de trouver d'où part l'infection, tu as le temps de supprimer des composants importants de ton système, sans résultat ...

tu as fait un scan hijackthis ?

Message cité 1 fois
Message édité par misato le 16-06-2010 à 19:13:46

---------------
shibboleet ! - HADOPI vous a plu ? Vous allez adorer la LOPPSI ! - generation NT bande de criminels inconscients !

Reply

Marsh Posté le 16-06-2010 à 19:10:48

Reply

Marsh Posté le 16-06-2010 à 19:17:12

misato a écrit :

dans ces cas-là, le mieux est de démonter le disque et de scanner en USB depuis un PC "sain" ... ya des malwares qui se lancent à plusieurs étages et le temps de trouver d'où part l'infection, tu as le temps de supprimer des composants importants de ton système, sans résultat ...

tu as fait un scan hijackthis ?

Oui bien sur j'ai fais le scan... J'ai fais TOUT LES SCAN POSSIBLES :sweat: Je vois vraiment plus quoi essayer... Je peux démarrer de mon autre disque pour faire le scan (si tu penses que ça change quelques chose), sur ce disque j'ai Win7, OSX, et partition données (très grosse)..

Reply

Marsh Posté le 16-06-2010 à 20:27:01

Salut,

Peux tu faire un diagnostic que l'on regarde si on trouve quelque chose :

Utilise ce logiciel de diagnostic :

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Reply

Marsh Posté le 17-06-2010 à 01:10:01

alors, pour ZHPdiag, pourquoi pas. déjà faire un scan hijackthis et poster le log pour analyse automatique : http://www.hijackthis.de/fr
et après voir si ya d'autres trucs pas repérés par HJT ?

sinon, si ton windows est infecté, faire un scan depuis un PC (ou en tous cas un système) sain, ça me parait pas mal, le truc peut pas se lancer sur l'autre système ... et donc pas se cacher non plus

si le truc est malin, vraiment très malin, je ne serai pas surpris qu'il sache infecter les points de restauration et pourquoi pas les autres installs de windows disponibles sur la machine ...

faire un scan depuis un ultimate boot CD 5 par exemple ...

enfin de toute façon, ya bien un truc qui se lance au boot, donc regarder au pire tout ce qui se lance au boot et virer un à un les trucs louches :spamafote: ...

Message édité par misato le 17-06-2010 à 01:11:32

---------------
shibboleet ! - HADOPI vous a plu ? Vous allez adorer la LOPPSI ! - generation NT bande de criminels inconscients !

Reply

Marsh Posté le 17-06-2010 à 13:15:49

Y'a rien de louche, c'est ça le GROS problème... J'ai tout analysé et y'a vraiment rien nulle part... Même en sans échec il se lance (pour info)...

Et il était présent sur mon autre disque avant, puis à disparu... Je suis pas fou, je l'ai vu Je suis un peu (en fait complètement) perdu là

J'ai tout essayé, y compris les trucs ci-dessous (que je connaissais pas) et j'ai tout lu (avec mes connaissances) mais je vois pas... WTF

Ce qui est bizarre, c'est que pour un truc persistant, la seule chose qu'il fasse soit envoyer des pop-up... Ça me parait (trop) léger... :heink:

Citation :

DDS (Ver_10-03-17.01) - NTFSx86
Run by Admin at 20:25:37,30 on 16/06/2010
Internet Explorer: 8.0.7600.16385
Microsoft Windows*7 Édition Intégrale 6.1.7600.0.1252.33.1036.18.2046.1206 [GMT 2:00]

============== Running Processes ===============

C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\WerFault.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Everything\Everything.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Tray Tools\atitray.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Calibrize\CalibrizeResume.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\UltraVNC\WinVNC.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Program Files\iPod\bin\iPodService.exe
C:\Users\Admin\Desktop\gmer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\sppsvc.exe
C:\Windows\System32\svchost.exe -k secsvcs
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\System32\mobsync.exe
C:\Users\Admin\Desktop\dds.scr
C:\Windows\system32\conhost.exe

============== Pseudo HJT Report ===============

uStart Page = hxxp://google.fr/
uInternet Settings,ProxyOverride = *.local
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\program files\spybot - search & destroy\SDHelper.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\bin\jp2ssv.dll
uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun
uRun: [AtiTrayTools] "c:\program files\ati tray tools\atitray.exe"
uRun: [CGFLoader] c:\program files\calibrize\CalibrizeLoader.exe
uRun: [CalibrizeResume] c:\program files\calibrize\CalibrizeResume.exe
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [TrueImageMonitor.exe] c:\program files\acronis\trueimagehome\TrueImageMonitor.exe
mRun: [AcronisTimounterMonitor] c:\program files\acronis\trueimagehome\TimounterMonitor.exe
mRun: [Acronis Scheduler2 Service] "c:\program files\common files\acronis\schedule2\schedhlp.exe"
mRun: [Everything] "c:\program files\everything\Everything.exe" -startup
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
dRunOnce: [FlashPlayerUpdate] c:\windows\system32\macromed\flash\FlashUtil10e.exe
StartupFolder: c:\users\admin\appdata\roaming\micros~1\windows\startm~1\programs\startup\openof~1.lnk - c:\program files\openoffice.org 3\program\quickstart.exe
mPolicies-system: ConsentPromptBehaviorAdmin = 0 (0x0)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableLUA = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
mPolicies-system: PromptOnSecureDesktop = 0 (0x0)
IE: Tout télécharger avec Free Download Manager - file://c:\program files\free download manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\program files\free download manager\dllink.htm
IE: Télécharger avec Mipony - file://c:\program files\mipony\browser\IEContext.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\free download manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\free download manager\dlfvideo.htm
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\program files\spybot - search & destroy\SDHelper.dll
LSA: Authentication Packages = msv1_0 relog_ap

============= SERVICES / DRIVERS ===============

R1 atitray;atitray;c:\program files\ati tray tools\atitray.sys [2009-11-25 19232]
R1 avgio;avgio;c:\program files\avira\antivir desktop\avgio.sys [2010-1-7 11608]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-12-11 172032]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\avira\antivir desktop\sched.exe [2010-1-7 108289]
R2 AntiVirService;Avira AntiVir Guard;c:\program files\avira\antivir desktop\avguard.exe [2010-1-7 185089]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2010-1-7 56816]
R2 uvnc_service;uvnc_service;c:\program files\ultravnc\winvnc.exe [2010-1-7 1590216]
R3 amdkmdag;amdkmdag;c:\windows\system32\drivers\atipmdag.sys [2009-12-11 5188096]
R3 amdkmdap;amdkmdap;c:\windows\system32\drivers\atikmpag.sys [2009-12-11 125440]
R3 RTL8167;Pilote Realtek 8167 NT;c:\windows\system32\drivers\Rt86win7.sys [2009-6-10 139776]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888]

=============== Created Last 30 ================

2010-06-16 18:21:56 274635705 ----a-w- c:\windows\MEMORY.DMP
2010-06-16 17:18:10 0 d-----w- c:\programdata\Spybot - Search & Destroy
2010-06-16 17:18:10 0 d-----w- c:\program files\Spybot - Search & Destroy
2010-06-16 14:07:30 13824 ----a-w- c:\windows\system32\drivers\splitcam.sys
2010-06-16 14:07:18 389120 ----a-w- c:\windows\system32\actskn43.ocx
2010-06-16 14:07:16 0 d-----w- c:\program files\SplitCam
2010-06-16 14:07:15 0 d-----w- c:\program files\Calibrize
2010-06-15 19:41:06 0 d-----w- c:\programdata\regid.1986-12.com.adobe
2010-06-15 19:21:46 0 d--h--w- C:\jexepackres
2010-06-15 19:21:44 0 d-----w- c:\program files\AirVideoServer
2010-06-15 19:20:04 737280 ----a-w- c:\windows\iun6002.exe
2010-06-15 19:20:03 0 d-----w- C:\iPhone Backup Switch
2010-06-15 19:18:25 0 d-----w- c:\program files\iPhone Folders
2010-06-15 19:13:07 0 d-----w- c:\users\admin\appdata\roaming\Mipony
2010-06-15 19:12:42 0 d-----w- c:\program files\MiPony
2010-06-15 19:08:33 0 d-----w- c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-06-15 19:08:33 0 d-----w- c:\program files\iPod
2010-06-15 19:05:34 0 d-----w- c:\program files\Bonjour
2010-06-15 19:00:22 0 d-----w- c:\program files\Everything
2010-06-15 18:58:04 0 d-----w- c:\program files\common files\Steam
2010-06-15 18:55:37 0 d-sh--w- c:\windows\system32\%APPDATA%

==================== Find3M ====================

2010-06-16 17:57:05 694766 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-16 17:57:05 127478 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-27 07:24:13 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-05-27 03:49:37 293888 ----a-w- c:\windows\system32\atmfd.dll
2010-05-21 12:14:28 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-21 05:18:06 977920 ----a-w- c:\windows\system32\wininet.dll
2010-05-01 14:49:25 2326528 ----a-w- c:\windows\system32\win32k.sys
2010-04-16 06:33:36 3003680 ----a-w- c:\windows\system32\usbaaplrc.dll
2010-04-08 11:20:02 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20:02 107808 ----a-w- c:\windows\system32\dns-sd.exe
2009-07-14 08:39:32 38160 ----a-w- c:\windows\inf\perflib\040c\perfd.dat
2009-07-14 08:39:32 38160 ----a-w- c:\windows\inf\perflib\040c\perfc.dat
2009-07-14 08:39:32 344522 ----a-w- c:\windows\inf\perflib\040c\perfi.dat
2009-07-14 08:39:32 344522 ----a-w- c:\windows\inf\perflib\040c\perfh.dat
2009-07-14 04:41:57 174 --sha-w- c:\program files\desktop.ini
2009-07-14 00:34:40 291294 ----a-w- c:\windows\inf\perflib\0000\perfi.dat
2009-07-14 00:34:40 291294 ----a-w- c:\windows\inf\perflib\0000\perfh.dat
2009-07-14 00:34:38 31548 ----a-w- c:\windows\inf\perflib\0000\perfd.dat
2009-07-14 00:34:38 31548 ----a-w- c:\windows\inf\perflib\0000\perfc.dat
2009-06-10 21:26:35 9633792 --sha-r- c:\windows\fonts\StaticCache.dat
2010-01-09 07:04:57 16384 --sha-w- c:\windows\serviceprofiles\localservice\appdata\local\temp\cookies\index.dat
2010-01-09 07:04:57 32768 --sha-w- c:\windows\serviceprofiles\localservice\appdata\local\temp\fichiers internet temporaires\content.ie5\index.dat
2010-01-09 07:04:57 16384 --sha-w- c:\windows\serviceprofiles\localservice\appdata\local\temp\history\history.ie5\index.dat
2010-01-09 02:52:22 16384 --sha-w- c:\windows\serviceprofiles\networkservice\appdata\local\microsoft\windows\history\history.ie5\index.dat
2010-01-09 02:52:22 32768 --sha-w- c:\windows\serviceprofiles\networkservice\appdata\local\microsoft\windows\temporary internet files\content.ie5\index.dat
2010-01-09 02:52:22 16384 --sha-w- c:\windows\serviceprofiles\networkservice\appdata\roaming\microsoft\windows\cookies\index.dat
2010-01-07 18:56:54 245760 --sha-w- c:\windows\serviceprofiles\networkservice\appdata\roaming\microsoft\windows\ietldcache\index.dat
2009-07-14 01:14:45 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe

============= FINISH: 20:25:59,50 ===============

Citation :

ComboFix 10-06-15.04 - Admin 16/06/2010 21:29:23.1.2 - x86
Microsoft Windows*7 Édition Intégrale 6.1.7600.0.1252.33.1036.18.2046.1430 [GMT 2:00]
Lancé depuis: c:\users\Admin\Desktop\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\desktop.ini
c:\windows\AppPatch\Custom\{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb
c:\windows\system32\%appdata%
c:\windows\system32\scvideo.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-16 au 2010-06-16 ))))))))))))))))))))))))))))))))))))
.

2010-06-16 19:32 . 2010-06-16 19:34 -------- d-----w- c:\users\Admin\AppData\Local\temp
2010-06-16 19:32 . 2010-06-16 19:32 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-06-16 17:41 . 2010-06-16 17:41 -------- d-----w- c:\users\Admin\AppData\Local\Google
2010-06-16 17:18 . 2010-06-16 17:51 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-06-16 17:18 . 2010-06-16 17:18 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-06-16 14:07 . 2010-06-16 14:07 13824 ----a-w- c:\windows\system32\drivers\splitcam.sys
2010-06-16 14:07 . 2010-06-16 14:07 -------- d-----w- c:\program files\SplitCam
2010-06-16 14:07 . 2010-06-16 14:07 -------- d-----w- c:\program files\Calibrize
2010-06-16 14:07 . 2010-06-16 14:07 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-06-16 14:06 . 2010-06-16 14:06 -------- d-----w- c:\program files\Common Files\InstallShield
2010-06-15 19:41 . 2010-06-15 19:41 -------- d-----w- c:\programdata\regid.1986-12.com.adobe
2010-06-15 19:21 . 2010-06-15 19:22 -------- d-----w- c:\users\Admin\AppData\Local\AirVideoServer
2010-06-15 19:21 . 2010-06-15 19:39 -------- d-----w- C:\jexepackres
2010-06-15 19:21 . 2010-06-15 19:21 -------- d-----w- c:\program files\AirVideoServer
2010-06-15 19:20 . 2010-06-15 19:19 737280 ----a-w- c:\windows\iun6002.exe
2010-06-15 19:20 . 2010-06-15 19:20 -------- d-----w- C:\iPhone Backup Switch
2010-06-15 19:18 . 2010-06-16 14:17 -------- d-----w- c:\program files\iPhone Folders
2010-06-15 19:13 . 2010-06-15 19:14 -------- d-----w- c:\users\Admin\AppData\Roaming\Mipony
2010-06-15 19:12 . 2010-06-15 19:12 -------- d-----w- c:\program files\MiPony
2010-06-15 19:08 . 2010-06-15 19:08 -------- d-----w- c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-06-15 19:08 . 2010-06-15 19:08 -------- d-----w- c:\program files\iPod
2010-06-15 19:07 . 2010-06-15 19:07 -------- d-----w- c:\program files\QuickTime
2010-06-15 19:06 . 2010-06-15 19:06 -------- d-----w- c:\program files\Apple Software Update
2010-06-15 19:05 . 2010-06-15 19:05 -------- d-----w- c:\program files\Bonjour
2010-06-15 19:03 . 2010-06-15 19:04 -------- d-----w- c:\users\Admin\AppData\Roaming\vlc
2010-06-15 19:00 . 2010-06-16 17:53 -------- d-----w- c:\program files\Everything
2010-06-15 18:58 . 2010-06-15 18:58 -------- d-----w- c:\program files\Common Files\Steam

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-16 18:39 . 2009-07-14 08:39 694766 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-16 18:39 . 2009-07-14 08:39 127478 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-16 14:10 . 2009-07-14 02:37 -------- d-----w- c:\program files\Windows Mail
2010-06-16 14:08 . 2010-01-07 20:50 -------- d-----w- c:\users\Admin\AppData\Roaming\uTorrent
2010-06-16 14:04 . 2010-01-07 20:52 -------- d-----w- c:\program files\uTorrent
2010-06-15 19:53 . 2010-01-08 02:49 -------- d-----w- c:\program files\Mp3tag
2010-06-15 19:43 . 2010-01-07 20:06 -------- d-----w- c:\users\Admin\AppData\Roaming\Media Player Classic
2010-06-15 19:26 . 2010-03-14 03:37 1 ----a-w- c:\users\Admin\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-15 19:08 . 2010-01-07 20:29 -------- d-----w- c:\program files\iTunes
2010-06-15 19:08 . 2010-01-07 20:28 -------- d-----w- c:\program files\Common Files\Apple
2010-06-15 19:06 . 2010-01-08 02:10 -------- d-----w- c:\program files\CCleaner
2010-06-15 19:06 . 2010-01-07 23:38 -------- d-----w- c:\program files\Recuva
2010-06-15 19:02 . 2010-01-07 20:58 -------- d-----w- c:\program files\VLC
2010-05-27 07:24 . 2010-06-16 14:08 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-05-27 03:49 . 2010-06-16 14:08 293888 ----a-w- c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2010-01-07 19:15 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-21 05:18 . 2010-06-16 14:08 977920 ----a-w- c:\windows\system32\wininet.dll
2010-05-01 14:49 . 2010-06-16 14:08 2326528 ----a-w- c:\windows\system32\win32k.sys
2010-04-24 16:33 . 2010-04-24 16:33 73000 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.1.1.11\SetupAdmin.exe
2010-04-16 06:33 . 2010-04-16 06:33 41472 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2010-04-16 06:33 . 2010-04-16 06:33 3003680 ----a-w- c:\windows\system32\usbaaplrc.dll
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"AtiTrayTools"="c:\program files\ATI Tray Tools\atitray.exe" [2010-01-31 882688]
"CGFLoader"="c:\program files\Calibrize\CalibrizeLoader.exe" [2007-11-26 1961984]
"CalibrizeResume"="c:\program files\Calibrize\CalibrizeResume.exe" [2007-11-26 413696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-04-23 2616488]
"AcronisTimounterMonitor"="c:\program files\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-04-23 908976]
"Acronis Scheduler2 Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe" [2008-04-23 136472]
"Everything"="c:\program files\Everything\Everything.exe" [2009-03-13 602624]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-24 142120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10e.exe" [2010-01-27 256280]

c:\users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-07 20:32 149280 ----a-w- c:\program files\Java\bin\jusched.exe

R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [x]
S1 atitray;atitray;c:\program files\ATI Tray Tools\atitray.sys [2009-11-25 19232]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-12-11 172032]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-01-07 108289]
S2 uvnc_service;uvnc_service;c:\program files\UltraVNC\WinVNC.exe [2009-12-06 1590216]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2009-12-11 5188096]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2009-12-11 125440]
S3 RTL8167;Pilote Realtek 8167 NT;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]

.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr/
uInternet Settings,ProxyOverride = *.local
IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: Télécharger avec Mipony - file://c:\program files\MiPony\Browser\IEContext.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,31,bf,21,9b,c9,c7,00,42,8f,c0,c7,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,31,bf,21,9b,c9,c7,00,42,8f,c0,c7,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(752)
c:\windows\system32\relog_ap.DLL

- - - - - - - > 'Explorer.exe'(5848)
c:\program files\ATI Tray Tools\raphook.dll
c:\program files\Spybot - Search & Destroy\SDHelper.dll
c:\program files\iPhone Folders\zlibwapi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\atieclxx.exe
c:\system volume information\Microsoft\services.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
c:\system volume information\Microsoft\smss.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\sppsvc.exe
c:\windows\system32\DllHost.exe
.
**************************************************************************
.
Heure de fin: 2010-06-16 21:36:33 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-16 19:36

Avant-CF: 7*699*050*496 octets libres
Après-CF: 7*527*194*624 octets libres

- - End Of File - - A049864662806A3EEE3C9B4249D4DF32

Citation :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:15:38, on 17/06/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Everything\Everything.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Tray Tools\atitray.exe
C:\Program Files\Calibrize\CalibrizeResume.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Everything] "C:\Program Files\Everything\Everything.exe" -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [CGFLoader] C:\Program Files\Calibrize\CalibrizeLoader.exe
O4 - HKCU\..\Run: [CalibrizeResume] C:\Program Files\Calibrize\CalibrizeResume.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10e.exe (User 'Système')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10e.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger avec Mipony - file://C:\Program Files\MiPony\Browser\IEContext.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: uvnc_service - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe

--
End of file - 5411 bytes

Message édité par SarangDo le 17-06-2010 à 13:25:28

Reply

Marsh Posté le 17-06-2010 à 13:22:42

reformate, et pi c tout

Reply

Marsh Posté le 17-06-2010 à 13:26:23

C'est mon genre Je veux trouver l'origine du problème et le réparer Je sais pas si je l'ai dis avant, mais j'ai restoré des ancienne images système (propre évidemment) et ceux sur les deux disques : Le truc reste toujours sur le disque "infecté" (du moins supposé)..

Si tu (ou quelqu'un d'autre) à un PC qui sert à tester, je peux envoyer le fichier que je suppose m'avoir infecté, si vous voulez...

Message édité par SarangDo le 17-06-2010 à 13:31:30

Reply

Marsh Posté le 17-06-2010 à 13:31:51

c'est pas une image intégrale alors, t'utilise quoi ?

Reply

Marsh Posté le 17-06-2010 à 13:43:16

Tu entends quoi par image intégrale? :heink: Acronis True Image :sol:

Reply

Marsh Posté le 17-06-2010 à 13:50:01

ben t'as pas fait une image entière. sinon ça serait reparti quand tu restaure le backup

Reply

Marsh Posté le 17-06-2010 à 13:53:11

Je dis depuis le début que c'est un truc persistant... :pfff: J'ai restauré la même image sur deux disque, un seul garde la merde, elle est donc bien caché sur ce disque mais où, c'est la question... Pas dans la partition système.

Message édité par SarangDo le 17-06-2010 à 13:54:01

Reply

Marsh Posté le 17-06-2010 à 14:10:04

heu, c'est pas possible là
tu l'as formatté ton disque avant de faire un restore ?

Reply

Marsh Posté le 17-06-2010 à 14:13:55

Oui et j'ai même essayé de l'effacer avec eraser, qui m'a d'ailleurs endommagé une autre partition :pfff:

On parle de partition, pas de disque là, hin! Et si c'est, possible, j'aimerais bien que ce le soit pas...

Message édité par SarangDo le 17-06-2010 à 14:26:15

Reply

Marsh Posté le 17-06-2010 à 14:31:28

mouarf ça c'est l'erreur, faire d'un disque un disque qui fait les 2.
Faut rendre 2 Disques séparés. d'abord parce que c'est plus rapide, et pi après c plus facile quand on a un blem
tu peux pas effacer tout et refaire tes partitions ? Là au moins ça marcherais
A mon avis, le logiciel doit etre dans les fichiers de démarrage ou pas loin, t'es sur quel OS ? 7 ou pas ?

Reply

Marsh Posté le 17-06-2010 à 14:45:52

Je comprend rien au début de ton paragraphe "faire d'un disque un disque qui fait les 2" hin :heink: Relis mes log et tout, tu trouveras toutes les infos..

Message cité 1 fois

Reply

Marsh Posté le 17-06-2010 à 16:29:12

Allez hop, formatage, on va bien voir... Mais vu que mes anciennes images étaient clean, y'a pas de raison que ça parte d'un coup... A moins qu'une app contenant une merde la lance 1an
apres

Reply

Marsh Posté le 17-06-2010 à 16:30:53

bon, ya plein de trucs que je connaissais pas dans ton rapport, mais rien d'alarmant une fois que j'ai compris que c'était des noms de processus systèmes sous windows 7

ya 2 solutions, soit c bien plus bas niveau (style dans les fichiers de démarrage), soit ya un fichier légitime qui s'est fait remplacer.
style qttask.exe (quicktime) ou un autre fichier lancé au boot, comme les drivers ATI ou realtek ... faudrait vérifier chaque fichier vis à vis de sa faille supposée ...

essaye éventuellement de désactiver les extensions de minopy et de free download manager dans IE (là je suis sur mon PC principal sous 2000, j'ai pas accès à plus qu'IE6 sous la main, mais ça se désactive, les BHO, directement depuis IE, dans un coin je sais plus où ... avec un peu de chance, ya une option directement style "lister les extensions" ou "configurer les extensions" )

---------------
shibboleet ! - HADOPI vous a plu ? Vous allez adorer la LOPPSI ! - generation NT bande de criminels inconscients !

Reply

Marsh Posté le 17-06-2010 à 17:25:01

J'ai fini ma reinstall, je regle tout et je reviens.

Reply

Marsh Posté le 17-06-2010 à 17:51:41

SarangDo a écrit :

Je comprend rien au début de ton paragraphe "faire d'un disque un disque qui fait les 2" hin :heink: Relis mes log et tout, tu trouveras toutes les infos..

J'avou que j'ai oublié la fin de la phrase, s'doit être la philo [:xman]
Le même disque qui fait à la fois donnée et à la fois systême

Message édité par paulothekid le 17-06-2010 à 17:51:56

Reply

Marsh Posté le 17-06-2010 à 17:54:13

Donc t'es sur windows 7 tu as donc 2 partition systemes, cela ne viendrais-il pas de la partition de 100Mo ? bon là c'est trop tard t'as réinstallé

Reply

Marsh Posté le 17-06-2010 à 23:41:56

J'avais pas de partition de 100mo... Et oui c'est pas bon un disque système/données mais voilà, c'est comme ça Pour l'install la nouvelle install semble allez, on va voir..

Reply

Marsh Posté le

Reply

IE8 tourne en fond... Pop-up... Scan fait, rien trouvé...

Sujets relatifs:

Leave a Replay