Empecher l'ouverture d'un dossier au boot de windows

Empecher l'ouverture d'un dossier au boot de windows - Win NT/2K/XP - Windows & Software

Marsh Posté le 07-11-2007 à 15:27:08    

Bonjour à tous, j'espère que vous connaissez la soluce à mon problème.
 
Il ya quelques semaines je me suis chopé un virus, un spyware, ou plus précisément un malware  (:??: ) BitDefender la viré avec succès etc. Puis là je m'aperçois qu'au démarrage de Windows XP (SP2) le dossier C:\WINDOWS\system32\Microsoft s'ouvre automatiquement, avec un dossier Protect à l'interieur, je l'ai supprimé mais il revient toujours, il est vide maintenant plus de "protect".
 
J'ai été dans accessoire > demarrage > rien
          dans msconfig > demarrage> rien
 
Donc je sais plus trop comment faire  :cry:  
 
C'est pas vraiment grave mais assez dérangeant.
Comment corriger ce léger pb ?
 
Autre chose, le virus semble être lié à un fichier system23.exe
 
J'ai fais des recherches avec adaware, bit defender, et une recherche ds la base de registre et ai supprimé toutes les valeurs concernant ce mot, je n'ai plus d'idée.
 
Merci de votre attention  :)

Reply

Marsh Posté le 07-11-2007 à 15:27:08   

Reply

Marsh Posté le 07-11-2007 à 15:28:35    

scan en lign efficace => http://housecall65.trendmicro.com

Reply

Marsh Posté le 07-11-2007 à 15:33:23    

merci je teste

Reply

Marsh Posté le 07-11-2007 à 15:49:32    

ça prend un certain temps, passe un coup de hijackthis si ça persiste malgre le scan.....
sinon regarde ça : http://www.softwaretipsandtricks.c [...] 23exe.html

Reply

Marsh Posté le 09-11-2007 à 17:46:55    

j'ai encore le problème.
 
Au boot de XP j'ai ce dossier qui s'ouvre C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User
 
avec 2 fichiers: 4b831f74-1a62-4e51-88d0-cff23e26f9fe et Preferred
 
Comment fonctionne hijack this merci

Reply

Marsh Posté le 09-11-2007 à 17:49:51    

aussi la catégorie est maintenant d'avantage liée aux virus, bien que system23.exe soit éradiqué, il doit persister qqch de malveillanr

Reply

Marsh Posté le 09-11-2007 à 17:50:09    

tu le telecharge et tu fais unscan puis le sauve, ensuite tu le poste ici, c'est tres rapide....

Reply

Marsh Posté le 09-11-2007 à 17:56:04    

Merci :-)
 
voilà le résultat:
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:55:01, on 09/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\AvidSDMService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Digidesign\Drivers\MMERefresh.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\Program Files\Softwin\BitDefender8\bdswitch.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Documents and Settings\Julien\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Program Files\Digidesign\Drivers\MMERefresh.exe
O4 - HKLM\..\Run: [Microsoft Setup Initialization] Microsoft Setup Initialization
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\RunServices: [Microsoft Setup Initialization] Microsoft Setup Initialization
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Setup Initialization] Microsoft Setup Initialization
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs:  sockspy.dll sockspy.dll sockspy.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe
O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Program Files\Digidesign\Drivers\MMERefresh.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
 
--
End of file - 6851 bytes

Reply

Marsh Posté le 09-11-2007 à 18:58:27    

tu peux virer cette ligne mais ça n'a pas de rapport avec ton pb
 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
 
 
regrade dans ton journal des evenements si tu as des erreurs correspondantes a ton soucis

Reply

Marsh Posté le 09-11-2007 à 19:01:16    

dsl mais comment fait-on pour la virer ?
 
et ou se trouve le journal des evenements ?

Reply

Marsh Posté le 09-11-2007 à 19:01:16   

Reply

Marsh Posté le 09-11-2007 à 19:05:45    

tu coches la case et tu vas sur le bouton "fix"
 
programmes => outils d'administration => observateur d'evenement    application securité et systeme.

Reply

Marsh Posté le 09-11-2007 à 19:28:27    

Citation :

XIX. Concernant les logs Hijackthis : (et équivalent) : tout topic contenant un log hijackthis (ou équivalent) complet à analyser sera systématiquement fermé. Pour faire une première analyse, le site http://www.hijackthis.de/fr convient parfaitement.
Seules les quelques lignes "douteuses" ou peu claires des logs hijackthis seront tolérées pour que les forumeurs donnent leur avis.
Enfin, tout topic présentant un log hijackthis contenant des logiciels prohibés (p2p), ou des logiciels crackés verra son auteur sanctionné.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed