fichiers sys......exe?

[cosak]

Bonjour,
régulièrement des fichiers sys(suivi de 5 ou 6 chiffres).exe se créent dans mon répertoire windows de win xp. J'ai souvent des demandes de connection à internet et lorsque je regarde les processus, il y a un de ces fichiers sys en cours, je l'arrête et tout fonctionne normalement. J'en ai enlevé plus d'une dizaine de ce rep windows et cela ne perturbe pas le fonctionnement de mon pc, lorsque je double-clic sur un de ces fichiers j'ai une demande de connection. Il y a même un fichier sys(des chiffres).dll que j'ai également enlevé de windows.
Je passe régulièrement Spybot, Ad-Aware et CWShredder et à par qques trucs pas dangereux il n'y a jamais rien de spécial.
Qqun sait-il par quoi sont créés ces fichiers sys et est-ce dangereux?
Merci d'avance et A+
-----

[JPL]

Et est-ce que tu scannes avec un antivirus ? Parce que les programmes du type Spybot... ne couvrent qu'une partie des problèmes, et pas forcément les plus graves.

[cosak]

Bonjour,
merci JPL pour ta réponse, j'utilise McAfee comme antivirus, mis à jour régulièrement, en automatique d'ailleurs, je viens encore de scanner mon disque et tout est nickel.
A+

[JPL]

C'est bizarre. J'ai pourtant l'impression que ces fichiers sys... suivis de nombres me rappellent quelque chose dans le domaine des virus, mais je n'arrive pas à retrouver quoi.
As-tu un pare-feu ?

[A voir en vidéo sur Futura]

[cosak]

Bonjour,
mon pare-feu est ZonAlarm (gratuit, pas le Pro).
J'ai l'impression qu'il y a sur mon disque un espèce d'espion qui lorsque je surf assez longtemps fini par demander une connection via IExplorer (en général j'utilise Firefox et une connection par IE est demandée et ZA me demande l'autorisation) et c'est à ce moment qu'un processus sys....exe s'ajoute à la liste et je retrouve ce sys....exe dans la directory Windows.
Et pourtant Spybot et Ad-Aware ne trouve rien. En ce moment il n'y a plus aucun sys....exe dans le rep. Windows car j'ai tout viré mais je suis persuadé qu'il va en réaparaître sous peu. Mystère!
A+

[JPL]

Vraiment étrange que ton antivirus n'ait rien vu parce que je pense que tu as raison. Et ça m'énerve de ne pas me rappeler où je crois avoir vu une information de ce genre. Tu pourrais télécharger Stinger (gratuit, McAfee) et le lancer avec Windows en mode sans échec. C'est un outil qui nettoie les virus les plus classiques.
http://vil.nai.com/vil/stinger/

[cosak]

Bonjour,
je reviens à la charge avec ce topic car je n'ai tjs pas solutionné le problème malgré les conseils suivis.
Je viens de remarquer que lorsque j'avais une demande de connexion à internet (comme expliqué plus haut), un fichier a.bat se créait en même temps dans la dir windows et son contenu est le suivant:
:c
del C:\WINDOWS\sys412699.exe
if exist C:\WINDOWS\sys412699.exe goto c
del C:\WINDOWS\??.??
del C:\WINDOWS\a.bat
et évidemment le fichier sys412699.exe s'est également créé dans windows.
Qqun a-t-il une idée d'où cela peut-il provenir.
Merci anticipé pour votre aide éventuelle.
A+

[Skippy le Grand Gourou]

Essaye HiJackThis. Ensuite copie la liste qu'il te donne dans ce forum, je suis sûr qu'il y a des gens qui pourront t'aider. (Si personne se dévoue, je le ferai...)

[cosak]

Bonjour,
comme conseillé par Skippy le Grand Gourou, j'ai utilisé HiJackThis et voila le logfile qu'il m'a sorti:
Logfile of HijackThis v1.99.1
Scan saved at 20:33:28, on 16/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\netdde.exe
c:\PROGRA~1\mcafee.com\vso\mcv srte.exe
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\SYSTEM32\ZONELABS\v smon.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\driv ers\w32x86\3\hpztsb09.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\mcafee.com\vso\mcv sshld.exe
C:\PROGRA~1\mcafee.com\agent\m cagent.exe
c:\progra~1\mcafee.com\vso\mcv sescn.exe
c:\PROGRA~1\mcafee.com\vso\mcs hield.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\jps\Mes documents\Réception Téléchargement\HijackThis.exe

R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = res://msn.dll/index
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Default_Search_U RL = res://msn.dll/index
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Bar = res://msn.dll/msn
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Page = res://msn.dll/index
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = res://msn.dll/index
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = res://msn.dll/index
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Search_U RL = res://msn.dll/msn
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Page = res://msn.dll/msn
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Start Page = res://msn.dll/index
R0 - HKLM\Software\Microsoft\Intern et Explorer\Search,SearchAssistan t = res://msn.dll/msn
R0 - HKLM\Software\Microsoft\Intern et Explorer\Search,CustomizeSearc h = res://msn.dll/msn
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page = res://msn.dll/index
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Local Page = res://msn.dll/index
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
R3 - Default URLSearchHook is missing
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcv sshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\driv ers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mc mnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mc vsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\m cagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\m cupdate.exe
O4 - HKCU\..\RunOnce: [MS Guard] C:\WINDOWS\sys2747246.exe 320
O6 - HKCU\Software\Policies\Microso ft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra button: @sysiecom.dll,-2100@1036,Traduire (SYSTRAN) - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2102@1036,SYSTRAN: Traduire - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra button: @sysiecom.dll,-2103@1036,Traduire les cadres (SYSTRAN) - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2105@1036,SYSTRAN: Traduire les cadres - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra button: @sysiecom.dll,-2115@1036,Options (SYSTRAN) - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2117@1036,SYSTRAN: Options - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra button: (no name) - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2108@1036,SYSTRAN: Effacer le cache de traduction - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra button: (no name) - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2111@1036,SYSTRAN: Enregistrement - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra button: (no name) - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2114@1036,SYSTRAN: Rechercher les mises à jour - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DL L
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/f...trol_fr_FR.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/sh...4/mcinsctl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/b...ll/xscan53.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {E598AC61-4C6F-4F4D-877F-FAC49CA91FA3} (acpRunner Class) - https://www-3.ibm.com/pc/support/acc...AcpControl.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O21 - SSODL: Sysctl Desktop Handler - {23456789-0000-0020-0900-00AAFF6D2EA4} - C:\WINDOWS\System32\NTOSV.DLL
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcs hield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\m cupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcv srte.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.e xe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\v smon.exe

A côté des smileys et en gras il y a une ligne qui sans doute crée mon problème, j'ai été voir dans la base de registre mais comme il y a des ... à côté de HKEY CURRENT USER (HKCU), je ne vois pas ou trouver cette ligne.
Au moment du scan, il y avait effectivement ce "sys2747246.exe" qui s'était créé dans la dir windows, il ne se trouve pas dans les "running processes" car je l'avais arrêté suite à une demande de connexion.
Est-ce cette ligne le problème?
Si oui comment la localiser?
Et que faire?
Si qqun pouvait annaliser ce logfile, me donner son avis, et répondre à mes questions, ce serait super sympa.
Merci d'avance et A+

[mach3]

Normalement il suffit de cocher la ligne et de faire "fix" dans hijackthis pour l'enlever. Si ça marche pas redemarre en mode sans échec et recherche et supprime les fichiers sys????????.exe que tu trouves. Au pire procure toi bartPE et édite le registre offline, vu que online il a pas l'air de se laisser faire, ça sent le rootkit tout ça (bartPE est un environnement windows sur CD bootable, il permet l'examen du système sans que celui-ci soit lancé).

essaie-ça d'abord pour voir si tu n'es pas infecté par un rootkit : http://www.sysinternals.com/Utilitie...tRevealer.html

m@ch3

[Skippy le Grand Gourou]

Oups ! Pardon, j'avions oublié ce topic... Bah en fait moi j'ai pas le temps de regarder ton log, mais de toutes façons j'y connais pas grand chose. Le mieux, c'est que tu le fasses toi-même, comme moi : il suffit de venir faire un tour ici et de suivre les instructions. Sinon, fais une recherche "hijackthis" sur google, y'a des forums info où les gens sont fans de décryptage de log hijackthis et se battent pour être le premier à répondre (j'exagère à peine...).

[yoda1234]

Bonjour
certaines lignes de ton log indiquent que tu es infecté par un troyen, mais je n'ai pas l'expérience necessaire pour te guider sur un log hijackthis.Essayes cette adresse ,c'est scanner en lignes anti troyens.Utilise IE pour le faire.

[inviteb753ced1]

Salut Cosak,

Je vais essayer de t'aider. Tout d'abord lis le protocole classique d'après mon post (du 13/10)

Quand tu lanceras Hijack, tu cocheras uniquement les cases :

O4 - HKCU\..\RunOnce: [MS Guard] C:\WINDOWS\sys2747246.exe 320
O21 - SSODL: Sysctl Desktop Handler - {23456789-0000-0020-0900-00AAFF6D2EA4} - C:\WINDOWS\System32\NTOSV.DLL

Et tu continueras à suivre la procédure.

---
A la fin, vérifie bien que tu as killé ntosv.dll et ton exe indésirable, en naviguant dans tes répertoires. Il se peut par exemple que le fichier DLL utilise un executable actif, et donc que tu ne puisses pas l'effacer. Mais bon, on verra bien ce que cela va donner. Tu posteras ensuite un nouveauHijackthis log. Good Luck


A+

[cosak]

Bonjour,
bonjour ananda et merci de t'intéresser à mon petit problème. J'ai fais ce que tu as demandé et les deux lignes en question ont bien disparus du log, par contre dans system32 il y a encore ntosv.dll, il y en a même plusieurs et je vais les noter ci-dessous:

ntosv.dll 28ko Extension de l'application 9/04/2005
NTOSV.DLL.conf 1ko Fichier CONF 3/10/2005
NTOSV.DLL.job 1ko Objet Tâche 3/10/2005
NTOSV.DLL.temp 1ko Fichier TMP 18/10/2005 20h56
j'ai mis l'heure pour le dernier car c'est il y a peu.
Je te dis tout de suite, je ne pense pas que je suis capable de faire tout ce qui était dans l'autre topic!!
Ci-dessous le log aprés nettoyage:

Logfile of HijackThis v1.99.1
Scan saved at 21:00:37, on 18/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\netdde.exe
c:\PROGRA~1\mcafee.com\vso\mcv srte.exe
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\SYSTEM32\ZONELABS\v smon.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\driv ers\w32x86\3\hpztsb09.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\mcafee.com\vso\mcv sshld.exe
C:\PROGRA~1\mcafee.com\agent\m cagent.exe
c:\progra~1\mcafee.com\vso\mcv sescn.exe
c:\PROGRA~1\mcafee.com\vso\mcs hield.exe
C:\Documents and Settings\jps\Mes documents\Réception Téléchargement\Analyse Processes etc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = res://msn.dll/index
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Default_Search_U RL = res://msn.dll/index
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Bar = res://msn.dll/msn
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Page = res://msn.dll/index
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = res://msn.dll/index
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = res://msn.dll/index
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Search_U RL = res://msn.dll/msn
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Page = res://msn.dll/msn
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Start Page = res://msn.dll/index
R0 - HKLM\Software\Microsoft\Intern et Explorer\Search,SearchAssistan t = res://msn.dll/msn
R0 - HKLM\Software\Microsoft\Intern et Explorer\Search,CustomizeSearc h = res://msn.dll/msn
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page = res://msn.dll/index
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Local Page = res://msn.dll/index
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
R3 - Default URLSearchHook is missing
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcv sshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\driv ers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mc mnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mc vsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\m cagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\m cupdate.exe
O6 - HKCU\Software\Policies\Microso ft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra button: @sysiecom.dll,-2100@1036,Traduire (SYSTRAN) - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2102@1036,SYSTRAN: Traduire - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra button: @sysiecom.dll,-2103@1036,Traduire les cadres (SYSTRAN) - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2105@1036,SYSTRAN: Traduire les cadres - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra button: @sysiecom.dll,-2115@1036,Options (SYSTRAN) - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2117@1036,SYSTRAN: Options - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra button: (no name) - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2108@1036,SYSTRAN: Effacer le cache de traduction - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra button: (no name) - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2111@1036,SYSTRAN: Enregistrement - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra button: (no name) - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2114@1036,SYSTRAN: Rechercher les mises à jour - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - (no file)
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DL L
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/f...trol_fr_FR.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/sh...4/mcinsctl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/b...ll/xscan53.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {E598AC61-4C6F-4F4D-877F-FAC49CA91FA3} (acpRunner Class) - https://www-3.ibm.com/pc/support/acc...AcpControl.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcs hield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\m cupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcv srte.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.e xe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\v smon.exe

Je n'ai pas encore pu constater si il y avait encore des demandes de connexion par IE.

Merci et bonne lecture.
A+

[inviteb753ced1]

Il faudrait effacer ces fichiers NTOSV. Y arrives-tu ?

[Skippy le Grand Gourou]

Si j'étais à ta place, je cocherais la ligne O6 et les lignes O9 (sauf peut-être celle avec "Console Java" si tu te sers effectivement d'un raccourci dans le menu "outils" d'Internet Explhorreur () et celles contenant "@sysiecom.dll" si tu utilises un truc de traduction par la barre d'outils IE ou le menu "outils"), et enfin je vérifierais les adresses web des lignes O16 : si tu reconnais avoir téléchargé quelque chose à l'adresse tu laisses, sinon tu coches.

En espérant t'être utile...

[cosak]

Re,(comme dirait Bedos)
excuses-moi ananda, je viens de regarder un match de foot à la télé alors je répond seulement, et bien je ne sais pas supprimer "ntosv.dll", les autres oui.
Skippy le Grand Gourou(qui aurait pu choisir un pseudo plus facile à retenir!!), j'utilise en effet un prog de traduction qui est Systran, enfin il y longtemps que je m'en suis servi, mais bon! Pour le reste je vais voir.
Encore merci et A+

[inviteb753ced1]

ça vaut dire que quand tu cliques supprimer NTOSV.DLL, windows te signale "Impossible car (...) est en cours d'utilisation" ? Parceque dans ce cas, on peut feinter.

[Skippy le Grand Gourou]

j'utilise en effet un prog de traduction qui est Systran

Ben chaque ligne O9 contenant "@sysiecom.dll" doit correspondre à un bouton de la barre d'outil d'IE ou du menu "outils" d'IE, te permettant d'accéder directement à un service de Systran. A toi de voir donc si tu veux les garder ou pas (ça ne changera rien à l'installation ou au fonctionnement de Systran lui-même). Tous les autres O9 (sauf Console Java si tu t'en sers) tu peux les zapper (fais attention, il y en a entre certaines lignes de Systran, qui ont l'air de servir à rien).

Sinon pour NTOSV.DLL, redémarre en mode sans échec et tu devrais pouvoir le supprimer.

[cosak]

voila le message indiqué:
accés refusé
Vérifiez que le disque n'est pas plein ou protégé en écriture et que le fichier n'est pas utilisé actuellement.
A ce propos, il y a eu une demande de connexion et les fichiers ntosv.dll.conf et .job se sont recréés et évidemment des fichiers sys...exe!!!!!

[Skippy le Grand Gourou]

voila le message indiqué:
accés refusé
Vérifiez que le disque n'est pas plein ou protégé en écriture et que le fichier n'est pas utilisé actuellement.

Même en mode sans échec ?

[cosak]

excuses-moi Skippy le Grand Gourou, je n'avais point vu qu'il y avait une deuxième page, je n'ai donc pas vu ton message et j'ai répondu à ananda!
Je verrai tout ça demain car je n'ai plus l'esprit très clair
A+

[cosak]

Bonjour,
voilà, j'ai refais surface ananda et Skippy le Grand Gourou, je ne sais pas supprimer ce foutu fichier ntosv.dll même en mode sans échec, message d'erreur identique, j'ai supprimé les lignes 9 concernant Systran car de toute façon il n'était plus installé, j'avais oublié, je vais remettre un log de HijackThis, peut-on me dire à quoi correspondent les lignes 9 qui restent, qu'est ce que "Console Java", et la ligne 6.
Merci et A+

Logfile of HijackThis v1.99.1
Scan saved at 10:37:22, on 19/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\netdde.exe
c:\PROGRA~1\mcafee.com\vso\mcv srte.exe
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\SYSTEM32\ZONELABS\v smon.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\driv ers\w32x86\3\hpztsb09.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\mcafee.com\vso\mcv sshld.exe
C:\PROGRA~1\mcafee.com\agent\m cagent.exe
c:\progra~1\mcafee.com\vso\mcv sescn.exe
c:\PROGRA~1\mcafee.com\vso\mcs hield.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\jps\Mes documents\Réception Téléchargement\Analyse Processes etc\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EX E

R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = res://msn.dll/index
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Default_Search_U RL = res://msn.dll/index
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Bar = res://msn.dll/msn
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Page = res://msn.dll/index
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = res://msn.dll/index
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = res://msn.dll/index
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Search_U RL = res://msn.dll/msn
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Page = res://msn.dll/msn
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Start Page = res://msn.dll/index
R0 - HKLM\Software\Microsoft\Intern et Explorer\Search,SearchAssistan t = res://msn.dll/msn
R0 - HKLM\Software\Microsoft\Intern et Explorer\Search,CustomizeSearc h = res://msn.dll/msn
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page = res://msn.dll/index
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Local Page = res://msn.dll/index
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
R3 - Default URLSearchHook is missing
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcv sshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\driv ers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mc mnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mc vsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\m cagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\m cupdate.exe
O6 - HKCU\Software\Policies\Microso ft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DL L
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/f...trol_fr_FR.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/sh...4/mcinsctl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/b...ll/xscan53.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {E598AC61-4C6F-4F4D-877F-FAC49CA91FA3} (acpRunner Class) - https://www-3.ibm.com/pc/support/acc...AcpControl.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcs hield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\m cupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcv srte.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.e xe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\v smon.exe

[Skippy le Grand Gourou]

Si tu ne sais pas ce qu'est Console Java, c'est que tu ne t'en sers pas... Donc tu peux supprimer cette ligne qui n'est qu'un raccourci (mais bon, ça n'est pas très gênant).

Pour la ligne O6 :

O6 - Accès aux options IE restreints par l'Administrateur
Ce à quoi çà ressemble :

O6 - HKCU\Software\Policies\Microso ft\Internet Explorer\Restrictions present

Que faire :
Sauf si vous avez activé l'option "Lock homepage from changes" (verrouiller le changement de page de démarrage) dans Spybot S&D, ou si votre administrateur système l'a mise en place, faites réparer par HijackThis.

A supprimer, donc.

Pour les lignes O9 :

O9 - Boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE
Ce à quoi çà ressemble :

O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

Que faire :
Si vous ne reconnaissez pas le nom du bouton ou de l'option du menu, faites réparer par HijackThis.

Pour ton NTOSV.dll, je ne vois pas quoi faire pour l'instant...

[Skippy le Grand Gourou]

Si, j'ai peut-être une solution : avec XP je ne crois pas que tu puisses redémarrer en mode MS-DOS, si tu peux le faire fais-le. Sinon, fais-toi une disquette de démarrage et redémarre avec, et je pense que tu pourras alors supprimer ce $%£*§¤@#& de fichier.

[inviteb753ced1]

Salut,

J'ai une proposition : télécharge le logiciel SCANBIN (tape sur google, c'est un freeware) : SCANBIN va t'indiquer quelles sont les executables en cours, et aussi les fichiers DLL sont actifs. Mon hypothèse : ntosv.dll est utilisé par un executable, si bien qu'on ne peut pas l'effacer. Ton objectif sera donc de trouver, via SCANBIN, l'executable en question, de fermer cette application et ensuite tu pourras effacer ntosv.dll. Bien sûr à la fin, tu dois répéter le protocole d'usage (effacer les fichiers temp, hijack etc. : ça mange pas de pain comme on dit)

A+

[cosak]

Bonjour
et merci les gars, apparemment SCANBIN n'est pas utilisable sous XP, je vais essayer la méthode de Skippy.
A+

[cosak]

coucou me revoilou!
sait-on faire une disquette de démarrage sous XP? Pas sur hein!
Si oui comment?

[Skippy le Grand Gourou]

T'insères une disquette, clic droit, formater, et apparemment tu devrais avoir une option à cocher "créer une disquette de démarrage MS-DOS".

[JPL]

Oui, mais si le disque dur est au format NTSF, la disquette DOS ne pourra pas y accéder.