[doc justice]

Bonjour,

J'ai des doutes sur la santé de mon pc.

Voici ma config' :
windows xp famille sp2
- PC Dell Dimension 8300.
- Pentium 4 2,8 Ghz/800 FSB
- Mémoire bicanal 512 Mo (2x256)DDR 400Mhz d'origine (2003)
- 1024 Mo (2x512) DDR-SDRAM de mémoire additionelle - marque corsair (fin 2005 - début 2006)
- 1 disque dur ICL 120 Go (7200 tpm) 8Mo de cache IDE d'origine (2003)
- 1 disque dur externe Maxtor 500 go (nov. 2006)
-Carte vidéo DDR NVidia GeForce FX 5200 128Mo d'origine (2003).
- Carte son Sound Blaster Audigy 2 d'origine (2003)
- 1 Lecteur dvd-graveur cd samsung d'origine (2003)
- 1 lecteur et graveur dvd lite-on (oct.2004)

ça fait plusieurs jours que je me pose des questions.

Hier, c'est winamp qui a commencé à buguer : Pas moyen de jouer la musique plus que deux secondes. J'ai essayé plusieurs fichiers.

J'ai tout fait : atf cleaner, cc cleaner, spybot et avg anti spyware en mode sans échec, nod 32 antivirus, panda antivirus en ligne, analyse hijack this en ligne (pour pas vous embêter)... mis à part nod 32 qui m'a trouvé deux petites broutilles (hackai.exe... c'est posssible ? en tout cas y'avait "hack" et "ai" plus loin j'en suis sûr), je n'ai rien trouvé...
J'ai viré ces deux trucs.

J'ai desinstallé winamp et je l'ai réinstallé... ça fonctionne.

Aujourd'hui alors que je me connecte sur le site de canal pour mater les guignols ou groland en ligne, ça met super longtemps à charger et mon pc bugue lorsque je lance le gestionnaire de tâches pour voir les processus en route... je l'éteins à la sauvage.

Je redémarre te relance les mêmes émissions, même problème de chargement, alors que d'habitude sur dans les mêmes conditions, sur le même site et la même config... pas de problèmes. Je relance le gestionnaire de tâches et ça bugue à nouveau... J'ai des pics dans mon uc à 77% au moment de lancer une émission. Mais en moyenne je suis à 1% quand je fais rien, 30% quand je lance firefox et 50% quand j'arrive sur le site de canal.

Après winamp qui a bloqué, maintenant c'est ça... comme un problème de buffer dans les deux cas...

Bizarrement ces problèmes ont stoppé quand j'ai déconnecté mon disque dur externe... plus de stress de chargement des émissions...

Dans le doute j'ai lancé un scan hijack this.

Puvez-vous y jeter un oeil ?

Log supprimé


Merci 

[zaede]

Bonjour doc justice, rien dans ce log. On va passer un autre scan:

Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

Choisis "enregistrer" et "Bureau" comme emplacement.

Ferme toutes les applications en cours antivirus compris très important, sinon le PC peut planter.

Double-clique sur dss.exe pour lancer l'outil.

S'il ne trouve pas HijackThis, clique sur Oui.

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.

Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt. 

[doc justice]

Bonjour,

Merci de vous intéresser à mon cas.

J'ai tout fait bien comme vous avez dit.
le logiciel ne m'a rien demandé durant le scan.

C'est marrant parce que je suis sur ma bécane depuis ce matin et aucun problème. Quand j'ai cliqué sur le lien pour télécharger dss.exe, le pc a planté. J'ai dû coupé le net et tout ce que j'étais en train de faire et relancé firefox sans aucun autre programme et là, j'ai pu télécharger.

Quoi qu'il en soit, voici le rapport :

Log supprimé



Bonne lecture

et merci de votre aide 

[zaede]

Re, on va vérifier ce problème de .exe :



- Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (Avec Internet Explorer)

- En bas à droite clique sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

- Accepte les Contrôle ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé sauve (Choisis fichier texte) et poste le rapport

- Pour t'aider à utiliser le scan en ligne
http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

- Lis ceci en cas de problème d'installation du Contrôle ActivX:

http://cybersecurite.xooit.com/t123-Les-controles-ActiveX.htm 

[doc justice]

Bonjour, désolé d'avoir mis le temps à répondre.

Merci de votre soutien.

Alors je dirais "oups". Effectivement l'analyse a détectée qqch. Ce n'était pas le cas il y a quelques jours lorsque je l'ai lancée...

Et pour cause ce fichier n'était pas encore en ma possession.

-------------------------------------------------------------------------------
Log supprimé


Alors j'ai une question : est-ce que c'est de ce fichier .exe dont vous parliez dans votre précédent post ? Ou alors ai-je plusieurs pbs ?

Est ce que worm peut être actif quand il est dans une archive rar et que l'on ne l'a pas executé ?

Normalement je ne suis on ne peut plus prudent, mais celui là je l'avais pas (encore) vu venir.

Est-ce que vous pensiez à autre chose encore ?

Merci

Doc Justice 

[zaede]

Bonjour doc justice, normalement non, mais il faut le supprimer ou tu risques d'avoir le problème

[doc justice]

Bonsoir,

Voilà, je me suis débarrassé de l'archive qui contenait ce worm (je l'ai balancé à la corbeille et je l'ai vidé définitivement... Est-ce que ça suffit ?)

J'ai fait ce que vous m'avez demandé... téléchargé, décompressé, clean.cmd et choix 1

Si je dis pas de bêtises les résultats d'analyses sont les fichiers clean.txt qui sont apparus me semblent-ils dans le dossier clean sur le bureau. Je me doute que c'est ça, vu qu'il n'y rien d'intéressant dans le fichier "rapport_clean.txt" et "resultat_clean.txt" qui sont apparus dans C:

En fait c'est allé tellement vite que je n'en suis pas sûr. Dans le doute c'est ça que je poste.

en fait il y en a deux : upload.txt et upload2.txt

A savoir que je n'ai pas envoyé l'archive "upload_moi_.tar.gz" sur le site malekal comme me l'a demandé le logiciel. Me conseillez vous de le faire ?

Voici les résultats :

upload.txt :

C:\WINDOWS\System32\nvapps.xml -->17/03/2008 21:32:04
C:\WINDOWS\System32\wpa.dbl -->14/03/2008 16:26:28
C:\WINDOWS\System32\settingsbkup.sfm -->14/03/2008 16:25:05
C:\WINDOWS\System32\settings.sfm -->14/03/2008 16:25:05
C:\WINDOWS\System32\DVCStateBkp-{00000002-00000000-00000000-00001102-00000004-10031102}.dat -->14/03/2008 16:25:05
C:\WINDOWS\System32\DVCState-{00000002-00000000-00000000-00001102-00000004-10031102}.dat -->14/03/2008 16:25:05
C:\WINDOWS\System32\BMXStateBkp-{00000002-00000000-00000000-00001102-00000004-10031102}.rfx -->14/03/2008 16:25:05
C:\WINDOWS\System32\BMXState-{00000002-00000000-00000000-00001102-00000004-10031102}.rfx -->14/03/2008 16:25:05
C:\WINDOWS\System32\BMXCtrlState-{00000002-00000000-00000000-00001102-00000004-10031102}.rfx -->14/03/2008 16:25:05
C:\WINDOWS\System32\BMXBkpCtrlState-{00000002-00000000-00000000-00001102-00000004-10031102}.rfx -->14/03/2008 16:25:05
C:\WINDOWS\System32\MRT.exe -->05/03/2008 17:30:54
C:\WINDOWS\System32\FNTCACHE.DAT -->27/02/2008 15:26:17
C:\WINDOWS\System32\imon1.dat -->05/02/2008 18:28:42
C:\WINDOWS\System32\pngfilt.dll -->11/01/2008 06:36:55
C:\WINDOWS\System32\dxtmsft.dll -->19/12/2007 23:53:23
C:\WINDOWS\System32\TZLog.log -->12/12/2007 00:40:56
C:\WINDOWS\System32\mshtml.dll -->08/12/2007 06:08:36
C:\WINDOWS\System32\wininet.dll -->07/12/2007 03:08:34
C:\WINDOWS\System32\webcheck.dll -->07/12/2007 03:08:34
C:\WINDOWS\System32\urlmon.dll -->07/12/2007 03:08:34
C:\WINDOWS\System32\url.dll -->07/12/2007 03:08:34
C:\WINDOWS\System32\occache.dll -->07/12/2007 03:08:34
C:\WINDOWS\System32\mstime.dll -->07/12/2007 03:08:34
C:\WINDOWS\System32\msrating.dll -->07/12/2007 03:08:34
C:\WINDOWS\System32\mshtmled.dll -->07/12/2007 03:08:34

C:\WINDOWS\WindowsUpdate.log -->17/03/2008 13:00:03
C:\WINDOWS\setupapi.log -->17/03/2008 01:19:52
C:\WINDOWS\NeroDigital.ini -->16/03/2008 14:42:11
C:\WINDOWS\QTFont.qfn -->16/03/2008 14:08:22
C:\WINDOWS\wiadebug.log -->15/03/2008 01:30:49
C:\WINDOWS\wiaservc.log -->14/03/2008 16:25:51
C:\WINDOWS\bootstat.dat -->14/03/2008 16:25:12
C:\WINDOWS\{00000002-00000000-00000000-00001102-00000004-10031102}.CDF -->14/03/2008 16:24:32
C:\WINDOWS\Sti_Trace.log -->11/03/2008 11:29:03
C:\WINDOWS\CDPLAYER.INI -->28/02/2008 19:28:03
C:\WINDOWS\QTFont.for -->28/02/2008 15:12:47
C:\WINDOWS\MAXLINK.INI -->27/02/2008 16:13:07
C:\WINDOWS\unins000.dat -->06/02/2008 23:11:48
C:\WINDOWS\unins000.exe -->06/02/2008 23:07:32
C:\WINDOWS\win.ini -->04/02/2008 18:20:34



et upload2.txt :

C:\WINDOWS\System32\MRT.exe -->05/03/2008 17:30:54
C:\WINDOWS\unins000.exe -->06/02/2008 23:07:32
C:\WINDOWS\System32\pngfilt.dll -->11/01/2008 06:36:55
C:\WINDOWS\System32\dxtmsft.dll -->19/12/2007 23:53:23
C:\WINDOWS\System32\mshtml.dll -->08/12/2007 06:08:36
C:\WINDOWS\System32\wininet.dll -->07/12/2007 03:08:34
C:\WINDOWS\System32\webcheck.dll -->07/12/2007 03:08:34
C:\WINDOWS\System32\urlmon.dll -->07/12/2007 03:08:34
C:\WINDOWS\System32\url.dll -->07/12/2007 03:08:34
C:\WINDOWS\System32\occache.dll -->07/12/2007 03:08:34
C:\WINDOWS\System32\mstime.dll -->07/12/2007 03:08:34
C:\WINDOWS\System32\msrating.dll -->07/12/2007 03:08:34
C:\WINDOWS\System32\mshtmled.dll -->07/12/2007 03:08:34


Bonne lecture, et merci

Doc Justice 

[zaede]

RE, ce ne sont pas ces deux fichiers, mais celui qui s'ouvre sur le bureau après le passage du scan 

[doc justice]

Re

Alors j'ai refait la manip'

J'ai dû louper un truc avant...

Alors du coup à partir du moment où je me suis retrouvé sur le site de malekal et que je n'ai pas envoyé l'archive "upload_moi" qui a été créée suite au scan, il y bien un rapport en .txt qui a été créé et que j'ai enregistré sur le bureau.

En fait c'est le "rappport_clean.txt" dont j'ai parlé dans mon post précédent et duquel je disais "vu qu'il n'y rien d'intéressant dans le fichier "rapport_clean.txt" et "resultat_clean.txt" qui sont apparus dans C:"

Parce que moi avant,ils se sont pas apparus sur le bureau mais dans C:

Donc voilà les résultats :

rapport_clean.txt

18/03/2008 a 1:30:36,82

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !


et resultat_clean.txt :


Veuillez svp envoyer le fichier C:\upload_moi_XXX YYY.tar.gz a l'adresse http://upload.malekal.com


Donc à vue de nez, je dirais clean...

Une autre manip' ? (en fait j'en apprends plein, ça me plaît!)

Merci

Doc Justice 

[zaede]

RE, oui une autre vu que celle ci ne trouve rien:

==> Imprime cette réponse le nettoyage va se dérouler en mode sans échec et sans prise en charge du réseau.

==> Télécharge SDFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (de AndyManchesta) et enregistre le sur ton Bureau.
- Double clic sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

==> Redémarre en mode sans échec

[doc justice]

Bonjour,

Bon alors ça s'est pas super bien passé.

J'ai tout bien fait comme vous m'avez demandé.

1er bug : quand j'arrive au moment où faut taper "y" dans le programme... Plus rien ne fonctionne : clavier, souris, etc... comme si tout était déconnecté... rien à faire... j'ai redémarré à la sauvage.

2nd bug : Je redémarre donc, je repasse par le mode normal avant de redémarrer et de passer en mode sans échec... J'arrive au moment où faut que je choisisse entre la session administrateur et la mienne, je clique sur la mienne... rebelote, tout se bloque. Ma flèche reste figée sur mon nom et puis plus rien...

Je redémarre à la sauvage, je repasse par le mode normal, je fais redémarrer, je repasse par le mode normal une nouvelle fois, je redémarre et passe en mode sans échec, là tout se passe bien.

a un moment il me dit s'attendre, que ça va durer à peu près une 20aine de minutes... Je reviens 10 minutes plus tard, c'est déjà fini... j'appuie sur une touche pour redémarrer...

Il redémarre et m'affiche "Finishing registry repair
Please wait"... Je m'affole pas, je bouge de chez moi et je vais en ville... Je reviens deux heur après... rien n'a bougé et mes icônes de bureau toujours pas réapparue... toujours le même message affiché...

Je m'affole pas et je bosse pendant une petite heure... J'attends en vérifiant de temps en temps... Toujours rien... Du coup je me dis que c'es pas net, ferme la fenêtre de l'appli, mes icônes réapparaissent.

Je redémarre le pc, mes icônes apparaissent tout de suite, mais l'appli se relance... même fenêtre et même message... Mon firewall me pose je ne sais combien de fois si je suis d'accord pour autoriser ça où ça... J'autorise tout pendant 5 bonnes minutes.
Puis l'appli me demande d'attendre 5 minutes, je la laisse faire son boulot...

Finished : mais mes icônes sont déjà là depuis que j'ai redémarré... on me demande d'appuyer sur une touche pour finir l'exécution... ce que je fais...

Le clavier ne marche pas... J'appuie sur toutes les touches et rien ne se passe...

Je coupe l'appli en cliquant sur la croix avec la souris...

Alors je ne sais pas si c'est mon ordi qui bugue où si c'est l'appli...

Quoi qu'il en soit voici les résultats...

Me conseillez vous de recommencer tout bien et de le laissez bosser pendant plusieurs heures peinard (auquel cas je fais ça avant de me coucher) ou alors c'est vraiment pas normal que ça dure plusieurs heures ?

Bonne lecture et merci...

catchme.log qui est apparu sur le bureau :


catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-18 17:24:01
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\\xd8\x2022\x20ac|\xff\xff\xff\xff\22\x2022\x20ac|\xf9\x20229~\2]
"5E7CEC10DF0760D4F8DAFB12FDC06CCD"="02:\Software\Adobe\FeatureSubscriptions\DVAAdobeDocMeta\{01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}\Registered"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{5EB8FCC7-8BAB-B731-75F0-8E977FD76EDA}]
"paefjgpodphlphpfkmdplmpggneiklop"=hex:6a,61,6e,61,64,67,6f,63,6e,6c,70,63,6c,64,69,6d,70,63,6c,62,00,..
"oakmpfinmhhcambnmfpdmmdppbdnpp"=hex:6a,61,6e,61,64,67,6f,63,6e,6c,70,63,6c,64,69,6d,70,63,6c,62,00,..
"kacflgfebhgechoibogjch"=hex:62,61,6f,61,00,eb

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0



et report.txt qui est apparu dans le dossier sdfix dans C:


Log supprimé 

[zaede]

Bonjour doc justice,

laisse sdfix pour l'instant

Important Désactive TeaTimer le résident de Spybot, il pourrait gêner la désinfection


- Démarre Spybot clique sur Mode coche Mode avancé
- A gauche clique sur Outils ==> Résident

- Décoche la case devant Résident "TeaTimer"
- Quitte Spybot


*********************************************************************************************************


Avertissement:
Cette procédure a été écrite spécialement pour ce PC. L’utiliser sur un autre peut rendre le système instable voire inutilisable


Cette procédure peut être longue mais elle est à appliquer en entier. En cas de problèmes passe à l'étape suivante et signale-le dans ta prochaine réponse.
Si tu as des questions, n’hésite pas à les poser


1/

Enregistre la page web complète sous Internet Explorer de la façon suivante :
Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau, comme cela tu retrouveras la mise en forme. Tu peux aussi imprimer cette réponse si tu préfères.
Une partie de la procédure se déroulera en Mode sans échec sans prise en charge réseau => tu n'auras donc pas accès à Internet



2/ Télécharge et installe

- AVG Anti-Spyware 7.5
http://www.ewido.net/en/download/

Démarre AVG Anti-Spyware

- Clique sur Mise à jour.

La mise à jour faite, clique sur:

- Analyse

- Paramètres

Sous Comment réagir?

- Choisir Quarantaine

Sous Rapports, cocher:

- Générer un rapport après chaque analyse

- Uniquement en cas de menaces"

- Quitte AVG Anti-Spyware

**Si tu as un message "impossible de se connecter au service update", continue la procédure sans la mise à jour


- Si tu as des difficultés pour le configurer consulte ce tutorial :
http://www.malekal.com/tutorial_AVG_AntiSpyware.html#mozTocId92038


- CCleaner - Standard Build
http://www.sosordi.net/Telechargement/logiciel-147-ccleaner-standard-build
A son installation décoche la case devant Ajouter la Barre d'Outils Yahoo! CCleaner



***********************************************


- Clique sur Démarrer/Exécuter tape notepad clique sur Ok

- Surligne le texte en citation (sans le mot citation), copie/colle le dans le bloc notes.

Pas de ligne vide avant Windows Registry Editor Version 5.00

[doc justice]

Bonjour,

Voilà, j'ai tout fait...

J'avais déjà AVG et CCleaner...

J'ai donc tout bien fait dans l'ordre... sauf que les deux lignes à fixer n'apparaissaient pas dans le rapport HijackThis, je n'ai donc rien coché, et rien fixé.

J'ai fusionné fixme.reg dans le registre et fait un nettoyage dans CCleaner.

J'ai mis à jour et lancé une analyse avec AVG... rien à signaler comme le dit le rapport :

---------------------------------------------------------
Log supprimé



En ce qui concerne le rapport Hijackthis le voilà, je l'ai effectué une fois revenu dans le mode normal :

Log supprimé

Alors, que pensez-vous de ces résultats ? Bizarre,non ? Quend même en contradiction avec le comportement parfois étrange de la bécane...


Maintenant, je voulais vous demander :

A propos du résident teatimer de spybot, est-ce que je le relance ?
Parce que j'ai une confiance totale en spybot mais c'est vrai que TEATIMER est un des processus qui me bouffent généralement le plus de mémoire...

Est-il indispensable ? Me conseillez-vous de le relancer ?

Merci encore de votre patience. 

[zaede]

Bonjour doc justice, pour l'instant laisse le résident de spyboot désactivé on verra plus tard
Le comportement du PC peut venir de l'infection



- Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (Avec Internet Explorer)

- En bas à droite clique sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

- Accepte les Contrôle ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé sauve (Choisis fichier texte) et poste le rapport

- Pour t'aider à utiliser le scan en ligne
http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

- Lis ceci en cas de problème d'installation du Contrôle ActivX:

http://cybersecurite.xooit.com/t123-Les-controles-ActiveX.htm 

[doc justice]

Bonjour,

voici les résultats de la nuit.
2 choses : Avant-hier, avant que vous ne postiez votre dernier message, mon ordi a fait un bon vieux BOSD... ça fait extrêmement longtemps que ça ne m'était plus arrivé...

C'était ma femme qui était devantl'ordi, elle bossait sur un logiciel scientifique hyper complexe qu'elle venait d'installer...
Prise de panique devant l'écran, elle a tout coupé et n'a pas récupérer le message stop. Depuis on a refait un essai, et tout s'est bien passé... Elle a déjà retravaillé dessus à deux reprises.... Tout va bien pour l'instant.

Sinon, je lui aurai demandé de désinstaller le logiciel.

2ème chose, voilà les résultats du scan en ligne, à noter que ce coup ci j'ai laissé connecter mon disque dur externe pour qu'il se fasse analyser également et pour être sûr qu'on oublie rien.

Apparemment rien à signaler, je pense... à mois que ?

Log supprimé


Bonne lecture, et merci de votre soutien ZAEDE.