analyse de log hijackthis

In news:1126026864.096025.81490@g47g2000cwa.googlegroups.com,
pipanguai@caramail.com <pipanguai@caramail.com> a écrit:

Bjr,
y'a du monde capable de lire ce log et de me conseiller sur ce ke je
dois viré de l'ordi,svp ???

www.hijackthis.de je crois

a ++

--
==/

Bjr,

salut,

y'a du monde capable de lire ce log et de me conseiller sur ce ke je
dois viré de l'ordi,svp ???
Mon Spybot S & D a trouve un pb (en rapport avec le LSA) kk'il
n'arrive pa a éradiquer.

ok on va voir ;-)

Logfile of HijackThis v1.99.1
Scan saved at 13:17:37, on 06/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

super ce SP2...

à virer selon moi:

O4 - HKLM..Run: [Microsoft Opeions] IEXwe.exe

et supprimer le fichier correspondant, en mode sans échec si besoin, mais
le process n'a pas l'air de tourner (p't'être bloqué par NAV)

O4 - HKLM..Run: [SpeedTouch USB Diagnostics] "C:Program
FilesAlcatelSpeedTouch USBDragdiag.exe" /icon
O4 - HKLM..Run: [Creative Launcher] E:sauvegarde disque
cCreativeLauncherCTLauncher.exe
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program
FilesJavajre1.5.0_04binjusched.exe
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe

anodins mais souvent pas très utiles ceux là,

O4 - HKLM..RunServices: [Microsoft Opeions] IEXwe.exe
O4 - HKCU..Run: [Microsoft Opeions] IEXwe.exe
O4 - HKCU..RunServices: [Microsoft Opeions] IEXwe.exe

eh ben, bonjour la discrétion :-)

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:Program
FilesAdobeReaderreader_sl.exe

HS: il existe des alternatives à Acrobat Reader tout à fait remarquable et
bien plus légère, pouvant éviter l'usage d'accélérateur de lancement comme
celui là et économiser plus de 100Mo sur disque ;-)
http://www.foxitsoftware.com/pdf/rd_intro.php

...

J'ai un doute avec cet ligne:
O4 - HKLM..RunServices: [Microsoft Opeions] IEXwe.exe

bien vu !
IEXwe.exe dans Google permet de rapidement lever le doute: "Added by a
variant of the WIN32.RBOT

merci pour votre aide

@+
--
rm
http://foxmail.free.fr

slt rm
merci de t'etre pencher sur mon pb lol
j'ai cependan 2/3 kestions:

kan tu dis
"à virer selon moi:

O4 - HKLM..Run: [Microsoft Opeions] IEXwe.exe

et supprimer le fichier correspondant, en mode sans échec si besoin,
mais
le process n'a pas l'air de tourner (p't'être bloqué par NAV) "

ou je trouve le fichier correspondant ? j'ai fais une recherche en
entrant le nom du fichier (IEXwe.exe) mais ca n'a rien donné.

ensuite :
"> O4 - HKLM..RunServices: [Microsoft Opeions] IEXwe.exe

O4 - HKCU..Run: [Microsoft Opeions] IEXwe.exe
O4 - HKCU..RunServices: [Microsoft Opeions] IEXwe.exe

eh ben, bonjour la discrétion :-) "

k'est ce ke je dois faire la ?


J'ai "fix checked" la liste ci dessous en mode sans echec:

O4 - HKLM..RunServices: [Microsoft Opeions] IEXwe.exe
O4 - HKCU..Run: [Microsoft Opeions] IEXwe.exe
O4 - HKCU..RunServices: [Microsoft Opeions] IEXwe.exe

mais aprés un rédemarrage en nornal, je lance SS&D et il trouve tjs
ceci:

LSA: Réglages (Clé du registre, nothing done)
HKEY_USERSS-1-5-18SYSTEMCurrentControlSetControlLsa

LSA: Réglages (Clé du registre, nothing done)
HKEY_USERS.DEFAULTSYSTEMCurrentControlSetControlLsa


Mon antivirus ne trouve rien ( Antivir Pers E) mais je sais bien k'il
se passe kke chose de pa tré bien dan mon pauvre PC :-(

J'ai fais un nouvo log de hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 16:11:59, on 08/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:Program FilesAlcatelSpeedTouch USBDragdiag.exe
C:WINDOWSSOUNDMAN.EXE
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesNorton SystemWorksNorton GhostGhostStartTrayApp.exe
C:Program FilesZone LabsZoneAlarmzlclient.exe
C:Program FilesAVPersonalAVGNT.EXE
C:Program FilesJavajre1.5.0_04binjusched.exe
C:Program FilesDaily Weather Forecastweather.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMSN MessengerMsnMsgr.Exe
D:Program FilesLogitechSetPointKEM.exe
C:Program FilesAVPersonalAVGUARD.EXE
C:Program FilesAVPersonalAVWUPSRV.EXE
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
C:Program FilesNorton SystemWorksNorton AntiVirusnavapsvc.exe
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE
d:Program FilesLogitechSetPointKHALMNPR.EXE
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:Program FilesFichiers communsSymantec SharedSecurity
CenterSymWSC.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesSpybot - Search & DestroySpybotSD.exe
C:Documents and SettingspapangueMes
documentshijackthisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- D:Program FilesAdobeActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}
- C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [SpeedTouch USB Diagnostics] "C:Program
FilesAlcatelSpeedTouch USBDragdiag.exe" /icon
O4 - HKLM..Run: [Creative Launcher] E:sauvegarde disque
cCreativeLauncherCTLauncher.exe
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers
communsSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [GhostStartTrayApp] C:Program FilesNorton
SystemWorksNorton GhostGhostStartTrayApp.exe
O4 - HKLM..Run: [Zone Labs Client] "C:Program FilesZone
LabsZoneAlarmzlclient.exe"
O4 - HKLM..Run: [AVGCtrl] "C:Program FilesAVPersonalAVGNT.EXE"
/min
O4 - HKLM..Run: [Symantec NetDriver Monitor]
C:PROGRA~1SYMNET~1SNDMon.exe /Consumer
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program
FilesJavajre1.5.0_04binjusched.exe
O4 - HKLM..Run: [Daily Weather Forecast] C:Program FilesDaily
Weather Forecastweather.exe
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN
MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [Microsoft Opeions] IEXwe.exe
O4 - HKCU..RunServices: [Microsoft Opeions] IEXwe.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:Program
FilesAdobeReaderreader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:Program
FilesLogitechSetPointKEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.5.0_04binnpjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.5.0_04binnpjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)
-
http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb _site.cab?1124738103716
O17 -
HKLMSystemCCSServicesTcpip..{F0D9BFF7-C46A-4E38-9E72-52DA97131A08}:
NameServer = 193.252.19.3
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik
GmbH - C:Program FilesAVPersonalAVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH,
Germany - C:Program FilesAVPersonalAVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation
- C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) -
Symantec Corporation - C:Program FilesFichiers communsSymantec
SharedccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation -
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) -
Symantec Corporation - C:Program FilesNorton SystemWorksNorton
AntiVirusnavapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec
Corporation - C:Program FilesNorton SystemWorksNorton
UtilitiesNPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec
Corporation - C:PROGRA~1FICHIE~1SYMANT~1SCRIPT~1SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:Program FilesFichiers communsSymantec
SharedSNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation -
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation -
C:Program FilesFichiers communsSymantec SharedSecurity
CenterSymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. -
C:WINDOWSsystem32ZoneLabsvsmon.exe


Merci de ton aide

slt rm

BøNjõur

merci de t'etre pencher sur mon pb lol
j'ai cependan 2/3 kestions:

kan tu dis
"à virer selon moi:

O4 - HKLM..Run: [Microsoft Opeions] IEXwe.exe

et supprimer le fichier correspondant, en mode sans échec si besoin,
mais
le process n'a pas l'air de tourner (p't'être bloqué par NAV) "

ou je trouve le fichier correspondant ? j'ai fais une recherche en
entrant le nom du fichier (IEXwe.exe) mais ca n'a rien donné.

c'est que le fichier IEXwe.exe avait préalablement été détruit/mis en
40aine par ton Antivirus ou que tu as mal cherché (afficher tous les
dossiers/fichiers même systèmes et/ou cachés)

ensuite :
"> O4 - HKLM..RunServices: [Microsoft Opeions] IEXwe.exe

O4 - HKCU..Run: [Microsoft Opeions] IEXwe.exe
O4 - HKCU..RunServices: [Microsoft Opeions] IEXwe.exe

eh ben, bonjour la discrétion :-) "

k'est ce ke je dois faire la ?

é¢R|re "Qü3" @vec UN "Q" 3T Uñ "U" Poú® comMEnc&®
sINøñ j³ p&ùT Aüs§I te få|RE TOüTe £A §üItE cømM3 ça m@i§ c'E§T Pa§
Юôl&...

donc, tu coches ces lignes et tu fixes.

J'ai "fix checked" la liste ci dessous en mode sans echec:

O4 - HKLM..RunServices: [Microsoft Opeions] IEXwe.exe
O4 - HKCU..Run: [Microsoft Opeions] IEXwe.exe
O4 - HKCU..RunServices: [Microsoft Opeions] IEXwe.exe

ben ça devrait suffire :)

mais aprés un rédemarrage en nornal, je lance SS&D et il trouve tjs
ceci:

LSA: Réglages (Clé du registre, nothing done)
HKEY_USERSS-1-5-18SYSTEMCurrentControlSetControlLsa

LSA: Réglages (Clé du registre, nothing done)
HKEY_USERS.DEFAULTSYSTEMCurrentControlSetControlLsa

faudrait que spybot te dise quel exécutable est fourré la dedans (voir
volet de droite)...
tu peux aussi aller y jeter un oeil et virer ce qui te parait douteux
(surtout si c'est un truc comme IEXwe.exe) ou exporter cette petite branche
en .reg et la poster ici pour qu'on voit...

Mon antivirus ne trouve rien ( Antivir Pers E) mais je sais bien k'il
se passe kke chose de pa tré bien dan mon pauvre PC :-(

oui, un problème de clavier: touches [Q], [S] et [U] semblent ne pas bien
fonctionner et le [K] avoir des rebonds peu acceptables, sinon rien de
grave...

J'ai fais un nouvo log de hijackthis :

...

C:Program FilesAVPersonalAVGNT.EXE

ton AV super utile, ok...

C:Program FilesJavajre1.5.0_04binjusched.exe
C:WINDOWSsystem32ctfmon.exe

inutiles en général: à refixer en O4

C:Program FilesNorton SystemWorksNorton AntiVirusnavapsvc.exe
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE

deuxième antivirus ? c'est pas trop ?

C:Program FilesFichiers communsSymantec SharedSecurity
CenterSymWSC.exe

et avec tout ces security machin t'as réussi à choper une saleté (pas bien
méchante mébon...)
ça devrait faire réfléchir...

donc recocher et fixer

O4 - HKLM..Run: [SunJavaUpdateSched] C:Program
FilesJavajre1.5.0_04binjusched.exe
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe

inutiles

O4 - HKCU..Run: [Microsoft Opeions] IEXwe.exe
O4 - HKCU..RunServices: [Microsoft Opeions] IEXwe.exe

tiens sont toujours là les vilains :)
redémarre en mode sans échec (F8 au démarrage) et re-fixe avec hijack en
ayant pris soin de fermer toute fenetre d'explorateur, internet explorer,
outlook...
si tu utilises aussi cette conceté de restauration système de XP, il faut
la désactiver une bonne fois pour toute...

Note: si tu as chopé ce genre de virus Win32.Rbot, c'est que ton firewall
est pas bien configuré et que tous tes outils qui te rassurent n'ont servi
à rien... défaut de mise à jour, mauvaise config ?

essaye, en mode sans échec aussi, de scanner tes disques avec Stinger:
http://vil.nai.com/vil/stinger/

Merci de ton aide

pas de quoi,

@+
--
rm

slt rm

BøNjõur

merci de t'etre pencher sur mon pb lol
j'ai cependan 2/3 kestions:

kan tu dis
"à virer selon moi:

O4 - HKLM..Run: [Microsoft Opeions] IEXwe.exe

et supprimer le fichier correspondant, en mode sans échec si besoin,
mais
le process n'a pas l'air de tourner (p't'être bloqué par NAV) "

ou je trouve le fichier correspondant ? j'ai fais une recherche en
entrant le nom du fichier (IEXwe.exe) mais ca n'a rien donné.

c'est que le fichier IEXwe.exe avait préalablement été détruit/mi s en
40aine par ton Antivirus ou que tu as mal cherché (afficher tous les
dossiers/fichiers même systèmes et/ou cachés)

ensuite :
"> O4 - HKLM..RunServices: [Microsoft Opeions] IEXwe.exe

O4 - HKCU..Run: [Microsoft Opeions] IEXwe.exe
O4 - HKCU..RunServices: [Microsoft Opeions] IEXwe.exe

eh ben, bonjour la discrétion :-) "

k'est ce ke je dois faire la ?

é¢R|re "Qü3" @vec UN "Q" 3T Uñ "U" Poú® comMEnc&®
sINøñ j³ p&ùT Aüs§I te få|RE TOüTe £A §üItE cømM3 ça m@i§ c'E§T Pa§
Юôl&...

donc, tu coches ces lignes et tu fixes.

J'ai "fix checked" la liste ci dessous en mode sans echec:

O4 - HKLM..RunServices: [Microsoft Opeions] IEXwe.exe
O4 - HKCU..Run: [Microsoft Opeions] IEXwe.exe
O4 - HKCU..RunServices: [Microsoft Opeions] IEXwe.exe

ben ça devrait suffire :)

mais aprés un rédemarrage en nornal, je lance SS&D et il trouve tjs
ceci:

LSA: Réglages (Clé du registre, nothing done)
HKEY_USERSS-1-5-18SYSTEMCurrentControlSetControlLsa

LSA: Réglages (Clé du registre, nothing done)
HKEY_USERS.DEFAULTSYSTEMCurrentControlSetControlLsa

faudrait que spybot te dise quel exécutable est fourré la dedans (voir
volet de droite)...
tu peux aussi aller y jeter un oeil et virer ce qui te parait douteux
(surtout si c'est un truc comme IEXwe.exe) ou exporter cette petite branc he
en .reg et la poster ici pour qu'on voit...

Mon antivirus ne trouve rien ( Antivir Pers E) mais je sais bien k'il
se passe kke chose de pa tré bien dan mon pauvre PC :-(

oui, un problème de clavier: touches [Q], [S] et [U] semblent ne pas bi en
fonctionner et le [K] avoir des rebonds peu acceptables, sinon rien de
grave...

J'ai fais un nouvo log de hijackthis :

...

C:Program FilesAVPersonalAVGNT.EXE

ton AV super utile, ok...

C:Program FilesJavajre1.5.0_04binjusched.exe
C:WINDOWSsystem32ctfmon.exe

inutiles en général: à refixer en O4

C:Program FilesNorton SystemWorksNorton AntiVirusnavapsvc.exe
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE

deuxième antivirus ? c'est pas trop ?

C:Program FilesFichiers communsSymantec SharedSecurity
CenterSymWSC.exe

et avec tout ces security machin t'as réussi à choper une saleté (p as bien
méchante mébon...)
ça devrait faire réfléchir...

donc recocher et fixer

O4 - HKLM..Run: [SunJavaUpdateSched] C:Program
FilesJavajre1.5.0_04binjusched.exe
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe

inutiles

O4 - HKCU..Run: [Microsoft Opeions] IEXwe.exe
O4 - HKCU..RunServices: [Microsoft Opeions] IEXwe.exe

tiens sont toujours là les vilains :)
redémarre en mode sans échec (F8 au démarrage) et re-fixe avec hija ck en
ayant pris soin de fermer toute fenetre d'explorateur, internet explorer,
outlook...
si tu utilises aussi cette conceté de restauration système de XP, il faut
la désactiver une bonne fois pour toute...

Note: si tu as chopé ce genre de virus Win32.Rbot, c'est que ton firewa ll
est pas bien configuré et que tous tes outils qui te rassurent n'ont se rvi
à rien... défaut de mise à jour, mauvaise config ?

essaye, en mode sans échec aussi, de scanner tes disques avec Stinger:
http://vil.nai.com/vil/stinger/

Merci de ton aide

pas de quoi,

@+
--
rm

Bonjour,
Je vais commancé par faire un effort pour ecrire en bon français mais
excuse pour les fautes.
Je vais te décrire ce que j'ai fais aprés tes explications, tu me
diras si je me suis trompé .

J'ai désactivé la "restauration de XP" ,et j'ai fais afficher tous
les fichiers, j'ai lancé Stinger en mode normal et il a trouvé et
supprimé le Win32.Rbot.
J'ai relancé mon ordinateur en mode sans echec,j'ai fixé les lignes
que tu avais cité.J'ai relancé Stinger et cette fois il n'y avait
plus rien.
Dans la foulée j'ai lancé SS&D et il trouve tjs le meme résultat:

LSA: Réglages (Clé du registre, nothing done)
HKEY_USERSS-1-5-18SYSTEMCurrentControlSetControlLsa

LSA: Réglages (Clé du registre, nothing done)
HKEY_USERS.DEFAULTSYSTEMCurrentControlSetControlLsa

J'ai trouvé quelque chose avec IEXwe.exe et j'ai supprimé la ligne,
mais j'aurais peut etre du envoyer la "branche " ici.J'y ai pensé
aprés. :-(


Je met le log de hijackthis post opération:

Logfile of HijackThis v1.99.1
Scan saved at 12:56:21, on 09/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Documents and SettingspapangueMes
documentshijackthisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
=
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- D:Program FilesAdobeActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}
- C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [SpeedTouch USB Diagnostics] "C:Program
FilesAlcatelSpeedTouch USBDragdiag.exe" /icon
O4 - HKLM..Run: [Creative Launcher] E:sauvegarde disque
cCreativeLauncherCTLauncher.exe
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers
communsSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [GhostStartTrayApp] C:Program FilesNorton
SystemWorksNorton GhostGhostStartTrayApp.exe
O4 - HKLM..Run: [Zone Labs Client] "C:Program FilesZone
LabsZoneAlarmzlclient.exe"
O4 - HKLM..Run: [AVGCtrl] "C:Program FilesAVPersonalAVGNT.EXE"
/min
O4 - HKLM..Run: [Symantec NetDriver Monitor]
C:PROGRA~1SYMNET~1SNDMon.exe /Consumer
O4 - HKLM..Run: [Daily Weather Forecast] C:Program FilesDaily
Weather Forecastweather.exe
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..RunOnce: [SpybotSnD] "C:Program FilesSpybot - Search &
DestroySpybotSD.exe" /autocheck
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:Program
FilesAdobeReaderreader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:Program
FilesLogitechSetPointKEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.5.0_04binnpjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.5.0_04binnpjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)
-
http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb _site.cab?1124738103716
O17 -
HKLMSystemCCSServicesTcpip..{F0D9BFF7-C46A-4E38-9E72-52DA97131A08}:
NameServer = 193.252.19.3
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik
GmbH - C:Program FilesAVPersonalAVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH,
Germany - C:Program FilesAVPersonalAVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation
- C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) -
Symantec Corporation - C:Program FilesFichiers communsSymantec
SharedccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation -
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) -
Symantec Corporation - C:Program FilesNorton SystemWorksNorton
AntiVirusnavapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec
Corporation - C:Program FilesNorton SystemWorksNorton
UtilitiesNPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec
Corporation - C:PROGRA~1FICHIE~1SYMANT~1SCRIPT~1SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:Program FilesFichiers communsSymantec
SharedSNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation -
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation -
C:Program FilesFichiers communsSymantec SharedSecurity
CenterSymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. -
C:WINDOWSsystem32ZoneLabsvsmon.exe




Pour résumer, j'ai donc toujours ces 2 lignes qui apparaissent dans
SS&D.

merci de ta patience.

[couic-couic l'immense citation pas vraiment utile...]

Bonjour,

Salut,

Je vais commancé par faire un effort pour ecrire en bon français mais
excuse pour les fautes.
Je vais te décrire ce que j'ai fais aprés tes explications, tu me
diras si je me suis trompé .

très (très) bien :)

J'ai désactivé la "restauration de XP" ,et j'ai fais afficher tous
les fichiers, j'ai lancé Stinger en mode normal et il a trouvé et
supprimé le Win32.Rbot.
J'ai relancé mon ordinateur en mode sans echec,j'ai fixé les lignes
que tu avais cité.J'ai relancé Stinger et cette fois il n'y avait
plus rien.
Dans la foulée j'ai lancé SS&D et il trouve tjs le meme résultat:

LSA: Réglages (Clé du registre, nothing done)
HKEY_USERSS-1-5-18SYSTEMCurrentControlSetControlLsa

LSA: Réglages (Clé du registre, nothing done)
HKEY_USERS.DEFAULTSYSTEMCurrentControlSetControlLsa

J'ai trouvé quelque chose avec IEXwe.exe et j'ai supprimé la ligne,
mais j'aurais peut etre du envoyer la "branche " ici.J'y ai pensé
aprés. :-(

est-ce que iexwe.exe est revenu en truc/Lsa ?

si oui, c'est qu'un malware actif le remet, donc le nettoyage n'a pas été
sufisant...

si non, oublie l'alerte de spybot (tu peux confirmer avec un autre antispy,
style adaware, a²...)

Je met le log de hijackthis post opération:

essaye de faire le tri par toi même et de ne poster maintenant que les
lignes douteuses... ces logs sont un poil encombrants quand même...
surtout si tu fais des citations non élaguées...

O4 - HKLM..Run: [Daily Weather Forecast] C:Program FilesDaily
Weather Forecastweather.exe

j'avais pas moufté dès le départ mais je suppose que tu as installé ce truc
"météorologique" volontairement histoire de causer d'la pluie et de bô
temps avec ta voisine ?

sinon ce log sent pas trop mauvais, tu vas pouvoir reprendre une activité
normale...

Pour résumer, j'ai donc toujours ces 2 lignes qui apparaissent dans
SS&D.

pas de quoi en faire une montagne.

tu peux chercher toute clé finissant en /lsa et contrôler si y'a pas un
exe/dll de lancé la dedans, et le cas échéant te poser la question (et
soumettre la bête à http://virusscan.jotti.org/ par exemple)

merci de ta patience.

merci de ta prose tout à fait chatiée :-D

@+
--
rm