Forums d'entraide informatique - Les forums de PCW

Bonsoir Baroudeur,

Je ne pense pas être infecté mais n'étant pas spécialiste, voici le log
(pour information, je dialogue à partir de PC2 (non concerné par le sujet)

AUTEUR a écrit :Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:32, on 18/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\APP\Sécurité\Online Armor\OAcat.exe
C:\APP\Sécurité\Online Armor\oasrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\APP\Sécurité\Avira\AntiVir Desktop\sched.exe
C:\APP\Sécurité\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\dllhost.exe
C:\APP\Internet\Java\bin\jqs.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\UPHClean\uphclean.exe
C:\APP\Utilitaires\UpsPilot\monitor.exe
C:\APP\Utilitaires\UpsPilot\jre\bin\javaw.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\APP\Utilitaires\UpsPilot\wpRMI.exe
C:\APP\Utilitaires\UpsPilot\jre\bin\javaw.exe
C:\WINDOWS\Explorer.EXE
C:\APP\Utilitaires\UpsPilot\Winpower.exe
C:\APP\Utilitaires\UpsPilot\jre\bin\javaw.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\APP\Sécurité\Avira\AntiVir Desktop\avgnt.exe
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\APP\Bureautique\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\APP\Sécurité\Online Armor\OAui.exe
C:\APP\Sécurité\Online Armor\OAhlp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\APP\Internet\Free Download Manager\fdm.exe
C:\APP\Utilitaires\SuperCopier\SuperCopier.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\APP\Bureautique\FinePixViewer\QuickDCF2.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\svchost.exe
C:\APP\Utilitaires\SpeedFan\speedfan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\APP\Sécurité\HiJackThis2-0-2\Vérif-HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\APP\Internet\Free Download Manager\iefdm2.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\APP\Internet\Java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\APP\Internet\Java\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Winpower] C:\APP\Utilitaires\UpsPilot\Winpower.exe
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [avgnt] "C:\APP\Sécurité\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\APP\Bureautique\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\APP\Sécurité\Online Armor\OAui.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [Free Download Manager] "C:\APP\Internet\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [SuperCopier.exe] C:\APP\Utilitaires\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - Global Startup: ExifLauncher2.lnk = C:\APP\Bureautique\FinePixViewer\QuickDCF2.exe
O4 - Global Startup: SpeedFan.lnk = C:\APP\Utilitaires\SpeedFan\speedfan.exe
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\APP\Internet\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\APP\Internet\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\APP\Internet\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\APP\Internet\Free Download Manager\dlfvideo.htm
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{59B3490E-15ED-4AA2-82E9-35AD7F23C371}: NameServer = 192.168.1.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\APP\Sécurité\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\APP\Sécurité\Avira\AntiVir Desktop\avguard.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\APP\Gravure\InCD\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\APP\Internet\Java\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Online Armor Helper Service (OAcat) - Tall Emu - C:\APP\Sécurité\Online Armor\OAcat.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\APP\Sécurité\Online Armor\oasrv.exe
O23 - Service: Winpowermanager - Macrovision - C:\APP\Utilitaires\UpsPilot\manager.exe
O23 - Service: Winpowermonitor - Macrovision - C:\APP\Utilitaires\UpsPilot\monitor.exe
O23 - Service: WinpowerRMI - Macrovision - C:\APP\Utilitaires\UpsPilot\wpRMI.exe

--
End of file - 8138 bytes

Je ne reprendrais que demain PM, bonne soirée.

Baroudeur si tu repasse dans le coin, merci de me dire si le log est correct.

ipconfig est normal.

Le log hijakc parait clean même si plein de chose inutile.

sa doit venir de la carte réseau intégré.. mais bon pour 4ko..

Tien, télécharge wireshack et fai nous une prise des paquets qu'il télécharge =)

rapport clean et comme dit plein de truc inutile , les monitoring java ...

Salut vous tous,

Je n'ai pas tout lu... j'espère que la question n'a pas déjà été posée mais :

N'aurais-tu pas activé le partage de connexion Internet sur ton réseau wifi ou local ?

Ensuite, as-tu activé le partage de fichiers & imprimantes ?

Bonjour à tous et merci de vos réponses,

@ TotofTeam : j'ai téléchargé le soft, mais finalement je ne l'ai pas utilisé (pas eu besoin)

@ Baroudeur : OK pour les "petites choses inutiles" je vais tester...

@ Troll : C'est en "découvrant" la carte réseau de la nouvelle carte mère que tout cela s'est installé car j'ai conservé ma version OEM d'XP (pas d'money pour Billy)

Je passe le post en "Résolu" car j'ai désactivé tous les réglages de la carte réseau et m'étant inspiré du site
"http://assiste.com.free.fr/p/services_windows/services_xp.html"
j'ai supprimé pas mal de services.

Depuis la passerelle a disparue et je n'ai plus d'accès internet fantôme

Une dernière question, j'ai aussi une version de Vista (boite) je peux la réutiliser sans problème non ?

Encore merci à vous trois de votre aide, bonne journée et @+

Est-ce que tu pourrais nous donner exactement la liste des services que tu as désactivé stp ? Histoire que les futurs lecteurs de ce topic qui auront le même problème que toi aient la solution Ou même pour nous pour les aider s'ils ne tombent pas tous seuls sur le topic


Non les versions standards de Windows (i.e. : pas des licences d'entreprises) sont monopostes. Sauf si tu as une version spéciale triposte ou pour deux poste (ça existe maintenant je crois).

Si tu as une clé familiale et que tu l'as déjà installé une fois sur un autre PC, comme il va te demander de l'activer (car version familiale) il te dira que tu as déjà effectué l'activation.

Cependant, si tu es dans la légitimité de réinstaller Vista, c'est-à-dire que par exemple tu as formaté ton ordinateur et que tu réinstalles Vista sur le même ordinateur, tu peux les appeler, leur expliquer que tu as formaté et que tu souaites réinstaller blabla et ils te débloquent l'activation normalement.

Sans pousser à la fraude, ils ne peuvent pas savoir si tu dis vrai ou si tu réinstalles sur un autre PC...
Mais de toutes façons, Vista c'est de la merde, y'a Seven maintenant, alors quitte à mettre autre chose que XP, mets Seven...


Bonne journée

Bonjour Troll,

(27-10-2009 10:03 AM)Troll a écrit : [ -> ]Est-ce que tu pourrais nous donner exactement la liste des services que tu as désactivé stp ? Histoire que les futurs lecteurs de ce topic qui auront le même problème que toi aient la solution Ou même pour nous pour les aider s'ils ne tombent pas tous seuls sur le topic

Non et j'en suis désolé, je n'ai pas noté les modifications , mais dès que je lance PC1 (je suis actuellement sur PC2) je peux poster le listing des services si ça peu aider

(27-10-2009 10:03 AM)Troll a écrit : [ -> ]Sans pousser à la fraude, ils ne peuvent pas savoir si tu dis vrai ou si tu réinstalles sur un autre PC...
Mais de toutes façons, Vista c'est de la merde, y'a Seven maintenant, alors quitte à mettre autre chose que XP, mets Seven... Bonne journée

Sur PC1 (qui a changé 2 fois ce carte mère la première ayant grillée la seconde en dépannage, c'est dur de trouver du matos convenable en lozère!) il y avait sur un disque un "Windows Vista Premium" version boite donc "normalement réinstallable" puisque il n'existe plus sur la CM grillée.
Et sur un autre disque Windows XP PRO OEM qui tourne encore actuellement sur la troisième carte, si lors d'une mise à jour Cro$oft me bloque la version, je crois bien que je basculerai vers le coté DarkVador.

Pour ce qui est de "Seven" c'est non, j'ai assez engraissé Billy (depuis Windows 3.1) et je finirai avec mes OS actuels et peut-être Mandriva mais... j'ai déjà testé et c'est trop compliqué (ça me rappelle mon premier Spectrum)

@+

Bonjour, voici les services de PC1 (sans la passerelle)
<div style="border:1px gray solid; background-color:#FAFAFA; padding:5px;">Nom;État;Démarrage
Appel de procédure distante (RPC);Démarré;Automatique
Audio Windows;Démarré;Automatique
Avira AntiVir Guard;Démarré;Automatique
Avira AntiVir Planificateur;Démarré;Automatique
Client DHCP;Démarré;Automatique
Connexion secondaire;Démarré;Automatique
Détection matériel noyau;Démarré;Automatique
Explorateur d'ordinateur;Démarré;Automatique
Gestionnaire de comptes de sécurité;Démarré;Automatique
Gestionnaire de connexion automatique d'accès distant;Démarré;Automatique
Infrastructure de gestion Windows;Démarré;Automatique
Java Quick Starter;Démarré;Automatique
Journal des événements;Démarré;Automatique
Lanceur de processus serveur DCOM;Démarré;Automatique
Online Armor;Démarré;Automatique
Online Armor Helper Service;Démarré;Automatique
Plug-and-Play;Démarré;Automatique
Protexis Licensing V2;Démarré;Automatique
ProtexisLicensing;Démarré;Automatique
Serveur;Démarré;Automatique
Service d'application d'assistance IPv6;Démarré;Automatique
Services de cryptographie;Démarré;Automatique
Spouleur d'impression;Démarré;Automatique
Spyware Terminator Realtime Shield Service;Démarré;Automatique
Station de travail;Démarré;Automatique
Thèmes;Démarré;Automatique
User Profile Hive Cleanup;Démarré;Automatique
Winpowermonitor;Démarré;Automatique
Services Terminal Server;Démarré;Désactivé <======== Y a pas un blème là
Carte de performance WMI;Démarré;Manuel
Gestionnaire de connexions d'accès distant;Démarré;Manuel
HTTP SSL;Démarré;Manuel
Téléphonie;Démarré;Manuel
WinpowerRMI;Démarré;Manuel
</div>

Merci Leminou !

Oui, peut-être que ça pourra aider
La personne (si elle a le courage ) pourra comparer les services lancés et ceux non lancés


Merci de ta participation, à très bientôt j'espère