--
JM
dans ce cas là erreur 0x8DDD0018 et ensuite erreur 1058 votre machine
est "infectée" par un spyware ou un malware : Vundo ou autres.
il serait utile de faire un scan HiJackThis et faire analyser le rapport
par un site spécialisé.
Télécharger le logiciel et installer :
http://www.infos-du-net.com/telecharger/HijackThis,0301-454.html
voir ce tutorial http://www.malekal.com//tutorial_HijackThis.php par
exemple bien que ne correspondant pas à la dernière version.
Exécuter le programme et vérifier le résultat du scan sur un site
spécialisé : par exemple
http://www.hijackthis.de/fr... il y en a d'autres.
Nous dire..
Cordialement,
jackr13
> Depuis samedi dernier , je n'arrive plus à me servir de Windows Update ,j'ai
> l'erreur 0x8DDD0018.
> J'applique les recommandations ( activer les mises à jours automatiques ,
> activation du service de transfert intelligent en arrière plan , et journal
> des événements activé également ) .
> Malgré celà , le service de mise à jour refuse de démarrer , et là , j'ai
> l'erreur 1058 ( " il ne peut être démarré puisqu'il est désactivé ")
> Je tourne en rond ....
> Autre souci qui est peut être lié, Kaspersky depuis me dit " application
> présentant un risque potentiel: Hidden data sending ; le processus
> c:\windows\explorer.exe (PID:1708) une tentative d'exécution d'actions
> suspectes a été bloqué .A cette alerte , j'ai interdit le processus et mis ce
> fichier en quarantaine .
> J'ai fait une analyse complète du pc , et rien ...!!!
Le problème ne serait-il pas plutôt "Kasperskoune la tortue moscolente" ?
Oh oh! :-O !
Arrête ce truc, redémarre le PC et essaie à nouveau la mise à jour...
Aussi: tu nous dis: "depuis samedi dernier"...
As-tu essayé une restauration système?
C:\WINDOWS\system32\Restore\rstrui.exe
Tiens-nous au courant.
--
Claude LaFrenière [climenole]
Site: http://climenole.wordpress.com/
Courriel / Xmpp: climenole[arobas]gmail[point]com
Messenger: claudelafreniere[arobas]msn[point]com
Il ne faut jamais se décourager pour quelque chose analogue
pour info voir la fin de ce fil (*) ou en fin de compte on retrouve ton
problème en résumé erreur 0x8DDD0018 ...services désactivées ... puis
ajout erreur 1058 impossible de réactiver ces services à cause machine
"infectée" par spywares ou malwares ... passage outil de "nettoyage"
..... et puis cela refonctionne ...
le plus long c'est trouver l'origine du problème et bien le
cerner.....la démarche pour le résoudre suit assez facilement.
Nous dire la suite ...
Cordialement,
jackr13
> Ni aujourd'hui , ni demain je ne vais pouvoir suivre vos conseils , je ne
> peux suite à la garde impromptue de notre petite fille m'occuper
> sérieusement de ce " bug "...
> L'ordinateur , oui , mais d'abord notre rayon de soleil !!!
> Merci et à bientôt ( samedi ??? )
OK. À samedi alors.
--
JM
"jackr13" wrote:
> Bonjour,
>
> Jean Marie wrote:
> > Bonjour Jack
> > Merci pour ta rapide réponse .
> > Je ne la vois que maintenant , hier soir , " désabusé " , j'avais
> > tout coupé ...
> > Et aujourd'hui , je n'ai guère le temps de m'occuper de tout ça , la
> > petite fille monopolise " nos heures creuses" ...
> > Peut-être que demain ou au plus tard samedi , j'aurai enfin du temps
> > pour reprendre " l'antenne " .
> > Mais que ça m'a l'air compliqué tout ça ...
> > Merci encore et à plus tard
>
> Il ne faut jamais se décourager pour quelque chose analogue
> pour info voir la fin de ce fil (*) ou en fin de compte on retrouve ton
> problème en résumé erreur 0x8DDD0018 ...services désactivées ... puis
> ajout erreur 1058 impossible de réactiver ces services à cause machine
> "infectée" par spywares ou malwares ... passage outil de "nettoyage"
> ...... et puis cela refonctionne ...
> J'ai posté le rapport Hijackthis sur les forums de " telecharger .com " et "
> Malkal's forum ".
Et pourquoi pas ici ? :-\
> J'attends les réponses , et te tiens au courant ...Mais depuis 10 h ce matin
> , je me demande s'il y a du monde ...Ou plus probablement , il y a trop de
> monde dans la panade ..
Vérifiez le résultat du scan sur ce site:
http://www.hijackthis.de/fr
Puis faites un copié-collé du log de HJT dans votre prochain message
pour vérifier avec nous *avant* de supprimer quoi que ce soit...
A+
Claude LaFrenière wrote:
> Bonjour Jean Marie
>
>
>> J'ai posté le rapport Hijackthis sur les forums de " telecharger
>> .com " et " Malkal's forum ".
>
> Et pourquoi pas ici ? :-\
>
>> J'attends les réponses , et te tiens au courant ...Mais depuis 10 h
>> ce matin , je me demande s'il y a du monde ...Ou plus probablement ,
>> il y a trop de monde dans la panade ..
>
> Vérifiez le résultat du scan sur ce site:
> http://www.hijackthis.de/fr
>
> Puis faites un copié-collé du log de HJT dans votre prochain message
> pour vérifier avec nous *avant* de supprimer quoi que ce soit...
>
> A+
en fait dans mon premier message je lui avais indiqué ce site soit
http://www.hijackthis.de/fr
mais enfin ...
merci d'avoir complété ...
amicalement,
jackr13
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:31:38, on 13/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared
Modules\AlertModule\0\AlertModule.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared
Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://search.ke.voila.fr/S/voila?kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft
Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} -
C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe
bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers
communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program
Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet
Security 7.0\avp.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers
communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program
Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers
communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program
Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [d809e887] rundll32.exe "C:\WINDOWS\system32\pnodobnj.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite
7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite
7\PCSync2.exe" /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program
Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet -
{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky
Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no
file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network
Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.orange.fr
O15 - Trusted Zone: http://www.radiogospel.fr
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus
scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) -
http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168366518123
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility
Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) -
http://express.foto.com/NewUploader/ImageUploader4.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection
Control) -
http://www.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetection.cab?version=
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab -
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France
Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared
Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: L Ile Noyee Drivers Auto Removal (pr2ajbeb) (pr2ajbeb) -
Micro Application - C:\WINDOWS\system32\pr2ajbeb.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity
Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division
Software - C:\Program Files\Alcohol Soft\Alcohol
120\StarWind\StarWindService.exe
--
End of file - 8466 bytes
--
JM
>> Bonjour,
>>
>> Claude LaFrenière wrote:
>>> Bonjour Jean Marie
>>>
>>>
>>>> J'ai posté le rapport Hijackthis sur les forums de " telecharger
>>>> .com " et " Malkal's forum ".
>>>
>>> Et pourquoi pas ici ? :-\
>>>
>>>> J'attends les réponses , et te tiens au courant ...Mais depuis 10 h
>>>> ce matin , je me demande s'il y a du monde ...Ou plus probablement
>>>> , il y a trop de monde dans la panade ..
>>>
>>> Vérifiez le résultat du scan sur ce site:
>>> http://www.hijackthis.de/fr
>>>
>>> Puis faites un copié-collé du log de HJT dans votre prochain message
>>> pour vérifier avec nous *avant* de supprimer quoi que ce soit...
>>>
>>> A+
>>
>> en fait dans mon premier message je lui avais indiqué ce site soit
>> http://www.hijackthis.de/fr
>> mais enfin ...
>> merci d'avoir complété ...
>> amicalement,
>> jackr13
Bien que je ne sois pas specialiste HJT
a priori infection combo en 04 dll anormale => pndobnj.dll
Donc pour moi ... mais attendre avis de Claude L a Freniere
Elimination Combo même méthode que pour le lien joint précédemment
Télécharger installer et exécuter :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et un tutorial
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Voir le fichier log de résultat. Le joindre à votre prochain message
éventuellement.
Vérifier en mode sans échec car tenace.
Nous dire la suite ...
Cordialement,
jackR13
Bonjour Jean Marie
J'ai vu ton log, quelques remarques.
Auparavant tu dis avoir envoyé sur Malekal, je pense qu'ils ont pris
quelques jours de vacances sur le groupe virus.
Donc tu n'auras peut-être pas de réponse.
Sinon, le site de HiJackThis fr ne donne rien de bien méchant sinon le kit
Orange mal positionné (mais à vérifier !!).
Je te conseillerais de le désinstaller mais plus tard, regarde ce lien :
http://www.bichofeo.com/29.htm
Je vois que tu es aussi sous IE6, pas très sécuritaire :
http://forum.malekal.com/viewtopic.php?f=45&t=12405
Tu as Kaspersky comme AV, c'est en principe bon.
Tu dis avoir fait un scan récent, est ce avec la base virale à jour ?
Mais K.A.V. n'est pas spécialisé spyware, compléte avec un scan de
MalwareByte :
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Et dis nous
Herser
> Bien que je ne sois pas specialiste HJT
>
> a priori infection combo en 04 dll anormale => pndobnj.dll
>
> Donc pour moi ... mais attendre avis de Claude L a Freniere
>
> Elimination Combo même méthode que pour le lien joint précédemment
>
> Télécharger installer et exécuter :
> http://download.bleepingcomputer.com/sUBs/ComboFix.exe
> et un tutorial
> http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
>
> Voir le fichier log de résultat. Le joindre à votre prochain message
> éventuellement.
> Vérifier en mode sans échec car tenace.
>
> Nous dire la suite ...
> Cordialement,
> jackR13
Salut jackr13
Bien vu
J'ai trop vite fait confiance à http://www.hijackthis.de/fr
J'ai fait analyser sur le site le rapport de JM : rien de signalé
Comme quoi il faut éplucher de + près
Tu as trouvé la même infection que sundaville : à la mode en ce moment ?
Bon week end
Herser
Herser wrote:
> jackr13 wrote:
>> Bonjour Jean Marie,
>>
>
>> Bien que je ne sois pas specialiste HJT
>>
>> a priori infection combo en 04 dll anormale => pndobnj.dll
>>
>> Donc pour moi ... mais attendre avis de Claude L a Freniere
>>
>> Elimination Combo même méthode que pour le lien joint précédemment
>>
>> Télécharger installer et exécuter :
>> http://download.bleepingcomputer.com/sUBs/ComboFix.exe
>> et un tutorial
>> http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
>>
>> Voir le fichier log de résultat. Le joindre à votre prochain message
>> éventuellement.
>> Vérifier en mode sans échec car tenace.
>>
>> Nous dire la suite ...
>> Cordialement,
>> jackR13
>
> Salut jackr13
> Bien vu
> J'ai trop vite fait confiance à http://www.hijackthis.de/fr
> J'ai fait analyser sur le de + près
> Tu as trouvé la même infection que sundaville : à la mode en ce
> moment ? Bon week end
> Herser
en fait c'est le troisième cas ... avec les mêmes symptômes ....
pour le premier Sandrine JF l'avait déjà mis sur son site ...
Bon week-end à moins que Gilprem se réveille ..... mais celui-là je le
renvoie à la manip
http://fspsa.free.fr/telechargements.htm#reinitialiser-registre
car j'ai remarqué que quelquefois après SP3 l'installation de IE7
avait besoin au préalable d'une opération de ce type voir :
http://support.microsoft.com/kb/917925/en-us et le fil sur le NG
microsoft.public.fr.IE7 et l'intervention de Laurent de Technicland .
et pourquoi pas les mises à jour IE7 ?
Amicalement,
jackR13
> Désolé ; mais j'ai " vraiment la tête dans le sac ".
> Je n'avais pas compris que vous puissiez Jack et toi m'aider .
> Je poste le rapport .
Bonne nouvelle: pas de malware là-dedans.
Cependant il y a trop de trucs ± utiles lancés au démarrage...
des *Inutilitaires © climenole* !!!
Essaie d'en désactiver et si possible de les supprimer après vérification.
Voir mes commentaires ...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:31:38, on 13/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
*[PROCESSUS]*
*Outil suggéré: Process Explorer:*
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
Mouais...
C:\WINDOWS\vsnpstd.exe
WebCam... ok.
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
Paramètres de la souris... Pas besoin de lancer ça
à chaque démarrage...
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
Mises à jopurs automatiques de Java.
Pas besoin de lancer ça à chaque démarrage
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
Utilitaire InstallShield...
Pas besoin de lancer ça à chaque ue démarrage...
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
? nécessaire ou pas?
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
Mise à jour de Real Player.
Pas besoin de lancer ça à chaque démarrage.
C:\WINDOWS\System32\nvsvc32.exe
NVIDIA Driver Helper Service
Pas certain que cela soit utile... à voir.
C:\Program Files\Orange\Systray\SystrayApp.exe
Utile ou pas? est-ce essentiel à ta connexion Internet?
C:\Program Files\Orange\Launcher\Launcher.exe
Et ça? Nécessaire à ta connexion Internet ou pas?
C:\WINDOWS\system32\ctfmon.exe
Bidule Office... OK
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
Nero Home Background Monitor
Nécessaire pour utiliser Nero ou truc inutile?
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
Bidule pour téléphone Nokuia.
Est-ce nécessaire de lancer ça à chaque démarrage? à voir...
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Utile ou pas?
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\WINDOWS\System32\svchost.exe
Service Windows Search
Besoin réellement de ce truc?
C:\WINDOWS\system32\SearchIndexer.exe
C'est quoi ce truc ???
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
Centre de sécurité de Windows XP.
Il affiche un message quand ton ordinateur a un problème de sécurité.
!!! ???
C:\WINDOWS\system32\wscntfy.exe
Besoin de tout ça à chaque démarrage?
Pense pas moi...:
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
Mouais...:
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
Et ça? Quel est ce bidule?
:-S
C:\WINDOWS\system32\SearchProtocolHost.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe
====================================================================================================
*[ DÉMARRAGES]*
*Outil suggéré: Starter de CodeStuff*
http://www.clubic.com/telecharger-fiche12492-starter.html
(processus: moins bien que Process Explorer
démarrages: très complet et facile à utiliser pour
activer, désactiver , ajouter ou supprimer
services: complément à services.msc de Windows...)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ke.voila.fr/S/voila?kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
*Besoin de ça? Désactive (pas supprimer!) un par un avec Starter et vois ce que ça donne ou pas en redémarrant*
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
*Désactive avec Starter*:
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
*Désactive avec Starter*:
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
*Désactive avec Starter*:
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [d809e887] rundll32.exe "C:\WINDOWS\system32\pnodobnj.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
*Besoin de ça? Désactive (pas supprimer!) un par un avec Starter et vois ce que ça donne ou pas en redémarrant*
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
Bidule Real Player...OK:
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.orange.fr
O15 - Trusted Zone: http://www.radiogospel.fr
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168366518123
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/NewUploader/ImageUploader4.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetection.cab?version=
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: L Ile Noyee Drivers Auto Removal (pr2ajbeb) (pr2ajbeb) - Micro Application - C:\WINDOWS\system32\pr2ajbeb.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
--
End of file - 8466 bytes
Ouf...
Essaie de simplifier au maximum le démarrage de ton PC.
Tout ce qui est nécessaire au démarrage et à la connexion Internet.
Ce qui n'est PAS nécessaire, le désactiver(pas supprimer) avec Starter...
On verra pour la suite...
Tiens-nous au courant.
> Bonne nouvelle: pas de malware là-dedans.
À première vue...
Cela reste à vérifier et confirmer ou pas....
Je pense que *Jackr13* a vu juste au sujet de cette ligne:
O4 - HKLM\..\Run: [d809e887] rundll32.exe "C:\WINDOWS\system32\pnodobnj.dll",b
Commence par la désactiver avec Starter :
elle pourra être supprimée par la suite si nécessaire ...
(désactive et redémarre...)
Claude LaFrenière wrote:
> Bonjour Jean Marie
>
> Je pense que *Jackr13* a vu juste au sujet de cette ligne:
>
> O4 - HKLM\..\Run: [d809e887] rundll32.exe
> "C:\WINDOWS\system32\pnodobnj.dll",b
>
> Commence par la désactiver avec Starter :
> elle pourra être supprimée par la suite si nécessaire ...
> (désactive et redémarre...)
>
> A+
Suite aux remarques de Herser et pour vérifier ce que je disais j'ai
fait passer le rapport sur le site http://www.hijackthis.de/fr
et il m'a signalé un problème ( ? ) sur cette ligne confortant mon
observation. Pour moi ,si j'en crois mon expérience... 25 ans à gérer
des parcs PC et serveurs , c'est sur à 100% que c'est une infection
Combo. Ce n'est pas parceque je suis à la retraite depuis quelques
années que je ne suis plus capable de reconnaitre un cas d'infection.
Cordialement,
jackr13
>> Bonjour Jean Marie
>>
>> Je pense que *Jackr13* a vu juste au sujet de cette ligne:
>>
>> O4 - HKLM\..\Run: [d809e887] rundll32.exe
>> "C:\WINDOWS\system32\pnodobnj.dll",b
> Suite aux remarques de Herser et pour vérifier ce que je disais j'ai
> fait passer le rapport sur le site http://www.hijackthis.de/fr
> et il m'a signalé un problème ( ? ) sur cette ligne confortant mon
> observation.
C'est bien ce que je disais ... ;-)
Cordialement.
Rapport Malwarebyte's :
Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1145
Windows 5.1.2600 Service Pack 3
13/09/2008 16:09:31
mbam-log-2008-09-13 (16-09-31).txt
Type de recherche: Examen rapide
Eléments examinés: 50834
Temps écoulé: 5 minute(s), 28 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 14
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\pnodobnj.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\pmnoNGvT.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ddcBUNDT.dll (Trojan.Vundo.H) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) ->
Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{af6388d8-3986-42a6-b05b-4f6f754ed7e0} (Trojan.Vundo.H) ->
Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{5f185477-1b56-41d3-8cdc-f25e4514e26e} (Trojan.Vundo.H) ->
Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\ddcbundt (Trojan.Vundo.H) -> Delete on
reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined
and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined
and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and
deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined
and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> Quarantined
and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{af6388d8-3986-42a6-b05b-4f6f754ed7e0}
(Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{5f185477-1b56-41d3-8cdc-f25e4514e26e}
(Trojan.Vundo.H) -> Delete on reboot.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d809e887
(Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{5f185477-1b56-41d3-8cdc-f25e4514e26e}
(Trojan.Vundo.H) -> Delete on reboot.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification
Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\pmnongvt ->
Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication
Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\pmnongvt -> Delete on
reboot.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\qoMdBuvT.dll (Trojan.Vundo) -> Quarantined and deleted
successfully.
C:\WINDOWS\system32\pnodobnj.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\pmnoOFWP.dll (Trojan.Vundo) -> Quarantined and deleted
successfully.
C:\WINDOWS\system32\pmnoNGvT.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\pmnmmNec.dll (Trojan.Vundo) -> Quarantined and deleted
successfully.
C:\WINDOWS\system32\opnkjjjh.dll (Trojan.Vundo) -> Quarantined and deleted
successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted
successfully.
C:\WINDOWS\system32\jnbodonp.ini (Trojan.Vundo.H) -> Quarantined and deleted
successfully.
C:\WINDOWS\system32\jkklijhF.dll (Trojan.Vundo) -> Quarantined and deleted
successfully.
C:\WINDOWS\system32\hgGwvWnK.dll (Trojan.Vundo) -> Quarantined and deleted
successfully.
C:\WINDOWS\system32\ddcBUNDT.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\TvGNonmp.ini2 (Trojan.Vundo.H) -> Quarantined and
deleted successfully.
C:\WINDOWS\system32\TvGNonmp.ini (Trojan.Vundo.H) -> Delete on reboot.
C:\Documents and Settings\Famille NOEL\Local Settings\Temporary Internet
Files\Content.IE5\O9WFCNCP\upd105320[2] (Trojan.Vundo.H) -> Quarantined and
deleted successfully.
Rapport Hijackthis après désinfection:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:33:00, on 13/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared
Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared
Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://search.ke.voila.fr/S/voila?kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft
Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}
- C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} -
C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe
bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers
communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program
Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet
Security 7.0\avp.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers
communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program
Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers
communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program
Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
-atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite
7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite
7\PCSync2.exe" /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program
Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet -
{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky
Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
--
End of file - 8831 bytes
--
JM
Les mises à jour ne sont pas encore disponibles ?
Essayez de réactiver les services Windows Update et BITS et voir si
toujours erreur 1058.
Votre machine n'est, sans doute, pas encore "propre". Vu les résultats
de Malwarebytes je ne pense pas que cela se fasse en une passe.
Avez-vous essayé ComboFix ? faites en mode sans echec car cela va
revenir.
Cordialement,
jackr13
Re
Tu as rebooté ?
Tes malwares ne seront détruits par MalwareBytes (=MBAM) qu'au reboot
D'ac avec jackr13 pour refaire MBAM en mode sans échec (tapoter F8 au
reboot)
Et tu ne nous dis pas l'essentiel : tjrs erreur 0x8DD0018 ?
Herser
Claude LaFrenière wrote:
> Bonjour jackr13
>
>>> Bonjour Jean Marie
>>>
>>> Je pense que *Jackr13* a vu juste au sujet de cette ligne:
>>>
>>> O4 - HKLM\..\Run: [d809e887] rundll32.exe
>>> "C:\WINDOWS\system32\pnodobnj.dll",b
>
>> Suite aux remarques de Herser et pour vérifier ce que je disais j'ai
>> fait passer le rapport sur le site http://www.hijackthis.de/fr
>> et il m'a signalé un problème ( ? ) sur cette ligne confortant mon
>> observation.
>
> C'est bien ce que je disais ... ;-)
>
> Cordialement.
Excusez moi ...
C'est Starter qui est mal passé.
Cordialement,
jackr13
J'ai repassé un coup de dial- a- fix ( vous devez connaitre ,j' ai trouvé ça
sur le forum de Malekal )
et apparemment - je croise les doigts et touche du bois - l'Update
refonctionne .
Je n'ai plus cette erreur 0x8DDD0018 ni la 1058 .
Et le processus " explorer.exe " s'est arrêté de me casser les pieds ..
Par contre , dans la commande "executer" si je tape msc comme me l'a
préconisé Jack ," Windows ne trouve pas msc " ????
J'espère que tout et remis en place malgré le manque de cette commande .
Avant de clore , qu'en pensez-vous ?
.
JM
Enfin quelque chose de positif.
Vous avez donc pu faire toutes les mises à jour et mêmes les dernières
du 10 Septembre ? Otez-moi d'un doute je ne pense pas vous avoir dit de
lancer une commande msc mais ma mémoire peut défaillir ou alors une
scorie d'un ancien message devait trainer dans un de mes messages.
Laissez tomber ce truc.
Combofix n'a pas fonctionné parceque KAV l'en empêche il aurait fallu
désactiver KAV temporairement.
Attention : Ces malwares sont tenaces .. et revérifiez souvent avec
l'outil Malwarebytes bien mis à jour .
Avertissez-nous en cas de nouveaux problèmes à ce niveau.
Bonne Continuation .
Cordialement,
jackr13
Ce n'est pas CTRL+F8, mais F8, à taper au bon moment (d'où le conseil de
tapoter = taper plusieurs fois)
http://assiste.com.free.fr/p/comment/comment_demarrer_redemarrer_en_mode_sans_echec.html
Si tu arrives à ce mode repasse MBAM
>que nenni ...Mr
> le pc n'en fait qu'à sa tête et redémarre normalement .
> J'ai voulu utiliser combo fix mais que de bruit : Kaspersky me trouve
> un virus dans l'exe ... message : virus Heur.Invader (modification)
> Le fichier: c:\documents and settings\famille noel\bureau\10
> septembre\combofix
> subs\combofix.exe//PE_Patch.UPX/327882R2FWJFW\catchme.cfexe
>
> J'ai repassé un coup de dial- a- fix ( vous devez connaitre ,j' ai
> trouvé ça sur le forum de Malekal )
> et apparemment - je croise les doigts et touche du bois - l'Update
> refonctionne .
> Je n'ai plus cette erreur 0x8DDD0018 ni la 1058 .
> Et le processus " explorer.exe " s'est arrêté de me casser les pieds
Bien, donc il y a un mieux
> Par contre , dans la commande "executer" si je tape msc comme me l'a
> préconisé Jack ," Windows ne trouve pas msc " ????
Là, j'avoue ne pas comprendre "msc" tout seul n'est pas une commande.
Et je ne retrouve pas la "préconisation"
Peut-être gpedit.msc ou autre ?
> J'espère que tout et remis en place malgré le manque de cette
> commande . Avant de clore , qu'en pensez-vous ?
> .
>
> JM
Herser
--
JM
Et réessaie le mode sans échec, c'est +sûr pour tout nettoyer
Pour combofix lis ceci :
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Et faut le faire en mode sans échec
Conseil sécurité : tu vois que malgré Kaspersky, on attrape des malwares.
Donc si pas déjà fait, installe aussi Spybot Search & Destroy :
http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/26157.html
Et refais réguliérement un scan MBAM en mode sans échec, surtout si surf à
risque.
Comment on s'infecte :
http://www.libellules.ch/phpBB2/prevention-comment-eviter-bien-des-infections-t24540.html
Bon surf et bon week end
Herser
Avant de se coucher..................
Tu as dit avoir posté sur Malekal et 01net.com
Je voulais te dire de les avertir que c'était résolu et dire comment.
Mais je me suis dit que c'était peut-être fait.
J'y ai trouvé ton pseudo et tes discussions là-bas.
Sur 01net.com, tu as clos, c'est bien.
J'y ai vu aussi que ta fille t'avait conseillé MBAM :-)
Par contre ce n'est pas clos sur Malekal à ma connaissance.
(Et ils étaient sur la bonne piste)
Ce serait bien pour Skytech
Bonne nuit
Herser
> Excusez moi ...
> C'est Starter qui est mal passé.
>
> Cordialement,
> jackr13
Ça arrive à tous le monde mon cher.
Bien cordialement.
:)
Problème réglé alors? Bravo !
Ceci pourra vous être utile à l'avenir:
Le "Safe-Hex" :
http://sebsauvage.net/safehex.html
Bon W.E.
:)
Bonjour (ça ne fait pas de mal, ça se dit encore, pour combien de temps ?)
Merci de ta contribution
Moi non plus je n'ai pas tout compris ce que tu as eu.
Aurais-tu eu la même erreur 0x8DDD0018 avec WUpdate ?
Et maintenant les mise à jour fonctionnent ?
OK pour IE7 et les cookies, à vérifier avec le prochain post 0x8DDD0018.
Bon dimanche
Herser
+1
J'ai remarqué que quelquefois des internautes se greffent sur des fils
et résolvent leurs problèmes en appliquant la solution en cours. Quand
au problème ? peut-être 0x8DDD0018 et 1058 ? peut-être Christian pourra
nous le dire.
Ce problème de malwares provoquant des dysfonctionnements dans Windows
update est de plus en plus fréquent et sans doute pas limité à
l'observation de l'erreur 0x8DDD0018.
Amicalement,
jackr13
Salut jackr13
Qu'ils résolvent leur pb en se greffant sur d'autres fils, tant mieux, c'est
aussi fait pour tous.
Mais qu'ils ne précisent rien pour qu'on s'enrichisse de leur expérience,
c'est égoïste.
Mais Christian va nous dire ce qui lui est arrivé
Bonne fin de dimanche
Herser
> Salut jackr13
> Qu'ils résolvent leur pb en se greffant sur d'autres fils, tant mieux, c'est
> aussi fait pour tous.
> Mais qu'ils ne précisent rien pour qu'on s'enrichisse de leur expérience,
> c'est égoïste.
> Mais Christian va nous dire ce qui lui est arrivé
> Bonne fin de dimanche
> Herser
>
> bonjour, en fait j'ai telechargé un fichier infecté qui m'a considerablement ralenti l'ordi et m'ouvrai des sites non voulus des que j'allais sur le net. J'ai voulu venir sur windows update mais MaJ impossibles code erreur 800700422 et 1058, les manipulations indiqués ont été sans effet et nombreux plantages et redemarrages...controle avec ad aware pro qui m'a trouvé des trojans "win32 trojan down loader.istbar " et "agent" puis anti virus panda etc...des fichiers "systeme volume info" infectés ont été desinfectés l'ordi allait mieux mais c'etait pas encore ça, tjrs de la pub sur le net et rame encore un peu, et MaJ code erreur 8DDD0018. J'ai trouvé sur le forum qqu'un qui evoquait le virus Vundo, je suis allé sur malekal.com j'ai tel Malwarebytes et fait un scan en mode sans echec, 22 fichiers trouvés tous infectés par vundo. au redemarrage tout etait redevenu normal j'ai pus remettre le niveau securité IE et les MaJ. Je ne sais pas si pour tous le probleme viens exclus de Vundo
mais si mon experience peut servir, c'est pour ça que j'ecris car j'ai pu avancer grace a ce forum ;-) J'espere avoir repondu a votre attente. Cordialement
Merci du retour .
Cela confirme action de Vundo sur Windows Update et possiblité de
nettoyage par Malwaresbytes .
Encore une petite question : dans la phase initiale quel était
exactement le code d'erreur 0x800700422 n'existe pas en fait les codes
d'erreur sont sous la forme 0x8XXXXXXX ( X etant un caractère ou un
chiffre ) donc 7 éléments après le 8 alors que tu nous en donnes 8
pourrais-tu vérifier ce code ?
Autrement bonne continuation et attention à la navigation sur
Internet... quoique Vundo vienne plutôt de MSN
Cordialement,
jackr13
Erreur ox80070422, désolé j'avais mis 1 zero de trop. Lors de certains scan
anti virus le probleme venait de "Virtumonde" apres recherche c'est un autre
nom de vundo bref c'est la meme M.... A+
Vu
Merci de ton implication
Herser
Jusqu'à la prochaine fois...
Il vaut mieux monter d'un cran :
http://inforadio.free.fr/articles.php?lng=fr&pg=57
A+
Ludovic.
Re
Faire toujours les scans en mode sans échec.
En effet, en mode normal, les fichiers sont en cours d'exécution et
difficiles à supprimer.
Essaie aussi, et toujours en mode sans échec, ComboFix proposé par jackr13
ci dessus.
Lis le tutorial avant.
Soit ils sont encore présents et se réactivent (le + probable)
Soit tu te réinfectes de la même façon, et c'est à toi de trouver comment
(MSN ?)
Herser
Vu vos problèmes de malwares qui ne sont pas entièrement rêglés. Cette
infection est assez difficile à éliminer.
Comme conseillé par Herser utilisez plutôt Combofix en mode sans echec.
Je vous rappelle :
Télécharger installer et exécuter :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et un tutorial
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Voir le fichier log de résultat. Le joindre à votre prochain message
éventuellement.
Attention Combofix est détecté par certains antivirus comme une
infection, ne pas en tenir compte, il s'agit d'un faux positif,
continuer la procédure.
Comme conseillé par Herser essayez de repérer la source de cette
infection.
Cordialement,
jackr13