Forum XP.Net -Sécurité Informatique-

Rebonjour!!
Je vous rassure, je ne poste pas à nouveau pour ma machine qui marche parfaitement depuis la dernière intervention (merci encore ). Je souhaite simplement avoir votre avis sur ce log HijackThis qui provient du PC de mon frère... J'essaie d'interpréter moi-même le rapport, mais je dois avouer que mes connaissances sont encore limitées... Alors voici le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 17:30:57, on 13/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\NETGEAR\WG311TSU\Utility\Gear311T.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\windows\system32\mstsdsc.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DLink\Logiciel Bluetooth\BTTray.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\DLink\Logiciel Bluetooth\bin\btwdins.exe
C:\DOCUME~1\PIERRO~1\LOCALS~1\Temp\dnlsvc.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\smss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\TEMP\ms-10.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AS00_Gear311T] C:\Program Files\NETGEAR\WG311TSU\Utility\Gear311T.exe -hide
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [mstsdsc.exe] c:\windows\system32\mstsdsc.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [alpha] c:\DriverLoad\windrv0.exe
O4 - HKCU\..\Run: [beta] c:\DriverLoad\windrv0.exe
O4 - HKCU\..\Run: [gamma] c:\DriverLoad\windrv0.exe
O4 - Startup: TribalWeb.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
O4 - Startup: TribalWeb.net.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\DLink\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\DLink\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\DLink\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ouviewer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ouviewer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\DLink\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOCUME~1\PIERRO~1\LOCALS~1\Temp\dnlsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Card Adapter (NETDown) - Unknown owner - C:\WINDOWS\smss.exe



Merci d'avance!!

P.S.: je me suis permis de poster ce même rapport sur le forum de Zebulon... et je vais essayer de voir moi même ce qui cloche... Je pensais d'ores et déjà fixer les lignes suivantes:

Qu'en pensez-vous? Après, je ne sais pas comment détecter les éventuels malwares.

Finalement, j'ai retiré mon post de chez Zebulon sur les conseils de CharlesIngals afin d'éviter de monopoliser les compétences de deux personnes sur mon seul cas Je n'avais pas réfléchi à ça...

Alors je profite que ce soit le PC de mon frère et pas le mien pour m'entraîner à l'interprétation des rapports HJT
D'après ce qu'on m'a dit sur Zebulon avant que je cloture mon post, les lignes que je pensais fixer sont apparemment utiles, même s'il y a écrit "file missing". Je ne les fixerai donc pas.
Par contre, je trouve ces lignes-ci plus gênantes:

J'ai raison ou pas?

Je pense faire la chose suivante, une fois que j'aurais eu l'avis d'un pro:

- démarrage en mode sans échec
- exécution d'ATF cleaner ("select all" puis "empty selected")
- scan Avast puis suppression des éventuels éléments trouvés
- scan Spybot puis fix des éléments trouvés
- suppression du dossier "c:\DriverLoad"
- scan HJT et fix des lignes ci-dessus

Est-ce que ma méthode vous paraît bonne ou il manque quelque chose? Merci pour votre aide!

Salut Swid.
tu peux me donner le lien sur Zebulon.
C'est bien de voir l'ensemble du rapport.

Voilà!! : http://forum.zebulon.fr/index.php?showtopic=123974
Mais il n'y a pas grand chose de plus que ce que j'ai mis ici...

Excuse je n'avais pas vu le premier post tu as bien fait de reposter sinon je le zappais.

Je regarde plus tard dans l'aprem et j'essaye de te le faire "détaillé" pour t'aider a comprendre.

Merci, merci! J'ai commencé à aller regarder à droite à gauche pour savoir comment lire l'analyse. Le souci que je rencontre, c'est pas tellement de comprendre, c'est surtout: comment savoir que c'est tel ou tel malware qui est en cause et avec quoi le supprimer?
Mais je ne désespère pas, le chemin de l'apprentissage est long et douloureux (surtout les lendemains de fête...)

Bon désolée.
je n'ai pas fait trés détaillé sur la procedure...
On en reparlera.


=> Télécharge LSPfix
=> Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
=>TéléchargeATFCleaner parAtribune.
=> TéléchargePocket KillBox

TOUT ce qui suit est a effectuer déconnecté du net.

==> Vider les fichiers temporaires

• Double-clique ATF-Cleaner.exe Onglet Main, choisis: Select All puis cliquer surEmpty Selected
• Si tu utilises Firefox ou/et Opéra Cliquer Firefox ou Opéradans le menu du haut.
  Choisis : Select All cliquer Empty Selected
• Une fenêtre vous demandera si vous désirez effacer vos mots de passes répondre No à l'invite.
• Cliquer Exit lorsque c'est fini.
  

==> Lance LSPfix
- Déconnecte toi d'Internet et ferme toutes les fenêtres d'IE
- Coche la case I know what I'm doing
- Sélectionne les dll suivantes /!\et absolument rien d'autre/!\ :

tmwsock.dll
ouviewer.dll

- fais les glisser du panneau keep au panneau Remove .
- Clique sur Finish.
Si elle sont déjà dans le panneau Remove clique sur Finish.

==> Lance SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

==> lance Hijackthis pour un "scan seulement" puis coche ces lignes :

O4 - HKCU\..\Run: [alpha] c:\DriverLoad\windrv0.exe
O4 - HKCU\..\Run: [beta] c:\DriverLoad\windrv0.exe
O4 - HKCU\..\Run: [gamma] c:\DriverLoad\windrv0.exe

==> Lance pocketkillBox
- choisis Delete on Reboot
- copie le chemin complet c:\DriverLoad\windrv0.exe dans Full Path of File to Delete
- clique sur la croix blanche sur fond rouge (Delete File)
- File will be Removed on Reboot, Do you want to reboot now?, répondre OUI.

=> Relance le pc si KillBox ne l'a pas fait.
- Fais un scan HJThis
-Poste nous les derniers rapports
-- HJThis
-- SdFIx
-- Killbox

Bon courage.

Merci pour la procédure à suivre... Je vais chez mon frère dans le courant de la semaine et je fais tout ça... Je devrais pouvoir mettre les rapports d'ici mercredi.

Bon, j'ai essayé de faire la procédure que tu m'as demandé, mais j'ai eu quelques soucis... Tout d'abord, l'ordinateur est tellement lent que même ATF Cleaner ne se lance pas (au bout de 30mn, j'en ai eu assez d'attendre...). J'ai donc redémarré en mode sans échec, désinstallé Avast pour mettre Antivir que j'ai configuré en suivant les conseils trouvés sur ce forum et j'ai fait un scan. Ensuite, j'ai fait ATF Cleaner pour IE et Firefox car il utilise les deux (il y a près de 837Mo de fichiers qui ont été supprimé, c'est normal?) toujours en mode sans échec. Puis j'ai redémarré et j'ai resuivi ta procédure de bout en bout (j'ai même refait un ATF cleaner, même si cela doit être inutile, je préfère le faire une fois de trop que l'inverse...). La suite s'est bien passée...
Tu trouveras ci-dessous les rapports Hijackthis, SDfix et Killbox (je les fais en 3 posts pour bien les distinguer... et j'aime bien flooder, lol)

Logfile of HijackThis v1.99.1
Scan saved at 21:00:55, on 19/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\DLink\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NETGEAR\WG311TSU\Utility\Gear311T.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DLink\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AS00_Gear311T] C:\Program Files\NETGEAR\WG311TSU\Utility\Gear311T.exe -hide
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Startup: TribalWeb.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
O4 - Startup: TribalWeb.net.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\DLink\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\DLink\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\DLink\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\DLink\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

SDFix: Version 1.88

Run by Pierrot

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
dnlsvc
msdirect
NETDown
NtmlSvc

ImagePath:
"C:\DOCUME~1\PIERRO~1\LOCALS~1\Temp\dnlsvc.exe"
\??\C:\WINDOWS\system32\msdirect.sys
C:\WINDOWS\smss.exe
%SystemRoot%\System32\svchost.exe -k netsvcs

dnlsvc - Deleted
msdirect - Deleted
NETDown - Deleted
NtmlSvc - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00005.dll - Deleted
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00006.dll - Deleted
C:\WINDOWS\system32\mstsdsc.exe - Deleted
C:\WINDOWS\Temp\$_2341233.TMP - Deleted
C:\WINDOWS\Temp\$_2341234.TMP - Deleted
C:\WINDOWS\Temp\$_2341235.TMP - Deleted
C:\WINDOWS\Temp\$b17a2e8.tmp - Deleted


Folder C:\DriverLoad - Removed

Removing Temp Files...

ADS Check:

Checking C:\WINDOWS\
C:\WINDOWS
No streams found.

Checking C:\WINDOWS\system32
C:\WINDOWS\system32
No streams found.

Checking C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.

Checking C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\TribalWeb.net\\tribalweb.exe"="C:\\Program Files\\TribalWeb.net\\tribalweb.exe:*:Enabled:TribalWeb.net"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Messenger"
"c:\\windows\\system32\\a.exe"="c:\\windows\\system32\\a.exe:*:Enabled:a"
"c:\\windows\\system32\\mstsdsc.exe"="c:\\windows\\system32\\mstsdsc.exe:*:Enabled:mstsdsc"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Listing Files with Hidden Attributes:

C:\Program Files\Picasa2\setup.exe

Listing User Accounts:

comptes d'utilisateurs de \\UNICORNI-7D21B1

Administrateur HelpAssistant Invit‚
Pierrot & Fanny SUPPORT_388945a0
La commande s'est termin‚e correctement.


Finished

Je suis désolé Je viens de m'apercevoir que je n'ai pas mis le log de Killbox sur ma clé... L'empressement, je suis resté pas loins de 3 heures devant l'ordinateur (c'est long un scan Antivir!!) et j'étais tellement pressé de finir que j'ai oublié de l'enregistrer sur ma clé, j'ai dû le laisser dans le dossier par défaut... Je vais essayer de le récupérer le plus vite possible...
Par sécurité, je n'ai pas réactivé Internet sur le PC de mon frangin tant que je ne suis pas sûr que tout est OK... Peut être que ça lui servira de leçon et que ça l'aidera à comprendre qu'il faut pas ouvrir n'importe quel mail ni aller sur n'importe quel site (sans AV à jour en plus! il avait oublié d'enregistrer sa version d'Avast!)
Merci encore pour le mal que tu te donnes.

Pas bien grave sdfix a bien fait son travail et le rapport HJThis est propre.

Deux valeurs de clefs à supprimer dans le registre
Lis ceci, si tu ne sais comment faire demande.
http://www.zebulon.fr/dossiers/57-4-ope ... istre.html
(démarrer -> executer ->tape regedit)
sauvegarde bien la clef avant !!!!


Voici les deux valeurs a enlever.


Puis vérifier que le fichier a.exe n'est plus sur le pc sinon supprime le. mstsdsc.exea été enlevé par sdfix.c:\\windows\\system32\\a.exe
Ensuite tu peux reconnecter au net faire un scan kaspersky et si c'est clean passe à la fin.
http://forumxp.net.free.fr/phpBB2/voir_ ... .php?id=35

Oui attention aux sites au logiciels crackés
je vois tribalweb installé c'est pas toujours ce que l'on fait de mieux pour un pc le p2p.

Pour le reste...
Qu'il garde Antivir de bien meilleure qualité qu'Avast.
Qu'il n'hésite pas a lire quelques sites sécurité sur le net.

Et a bientôt j'espére.

Bon,je passerais chez lui en fin de semaine histoire de finaliser tout ça... Juste une petite question: je compte aller signaler l'infection sur Malware Complaints comme je l'avais fait pour moi, mais je ne sais pas quelle infection je dois signaler. Je peux mettre "windrv" ?
Sinon, je sais que le P2P n'est pas ce qui se fait de mieux en matière de sécurité, mais il ne nous sert qu'à échanger des photos de famille (si, si, c'est vrai...). Comme on est une famille nombreuse, c'est bien plus pratique et rapide que le mail ou la gravure... J'avais déjà réussi à lui faire abandonner Kazaa l'année dernière
Sinon, il est certain que vous me reverrez passer, et j'espère que ce ne sera pas toujours pour réclamer de l'aide mais davantage pour aider les autres! Même si pour l'instant c'est plutôt le premier cas de figure qui prédomine... C'est le problème quand on s'y connait un peu en informatique, on devient le passage obligé de tous les ordinateurs qui ont un souci... J'ai encore celui de ma grand-mère à remettre en état, mais je pense arriver à m'en sortir, les pop up ont cessé et le log HJT me semble propre. Je demanderais quand même un avis d'expert histoire d'être sûr, mais je ne veux pas abuser... sans compter que ma belle-soeur m'a appelé ce matin pour un "problème parce que mon ordinateur il est super lent quand j'échange des trucs sur MSN"... je crains le pire
Mais je vais essayer de diagnostiquer tout seul (à défaut de pouvoir réparer...)
et merci encore pour tout!!

Hello.
Bien contente d'avoir pu t'aider.

Pour le nom du troyen tu peux mettre Trojan.DnlSvc.Process.
Il y en avais plusieurs autres..

Pour tribal web je l'ai signalé car il sert c'est vrai a un usage familial mais certains peuvent le détourner.
Si il ne sert que dans le cadre famillial cela limite grandement les risques.

pour les dépannages on est là pas de problémes.
Pour la famille...Oui quand on a des compétences on deviens vite informaticien conseil de ses proches.