Virus bizarre ?

[dex 0]

Voilà, je viens de débarquer chez mon père et comme par hasard, y'a un des pcs qui à un problême !

Viandage de connexion Free, impossibilité de réinstaller le réseau wifi netgear qui partage la connexion entre les différents pcs de la maison.

Lorsque je lance le setup pour réinstaller le wifi, il m'affiche la config' de l'imprimante Epson ... bref il fait n'imp', Avast ne trouve rien.

Firefox est à jour, windows update à l'air de l'être ... je ne sais vraiment pas d'ou ça vient !

Alors j'ai fais un scan avec hijack this, vérifié les processus qui me semblaient suspicieux mais non, rien du tout ... je l'ai passé là : http://www.hijackthis.de/fr. Rien de suspicieux detecté.

Je vous copie quand même le log au cas ou vous trouveriez quelque chose ...

Logfile of HijackThis v1.99.1

Scan saved at 12:16:45, on 25/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32spoolsv.exe

C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe

C:Program FilesAlwil SoftwareAvast4ashServ.exe

C:WINDOWSSystem32nvsvc32.exe

C:WINDOWSSystem32svchost.exe

C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe

C:WINDOWSExplorer.EXE

C:Program FilesAlwil SoftwareAvast4ashWebSv.exe

C:WINDOWSSystem32spoolDRIVERSW32X863E_FATI9CE.EXE

C:PROGRA~1ALWILS~1Avast4ashDisp.exe

C:WINDOWSsystem32RUNDLL32.EXE

C:WINDOWSSOUNDMAN.EXE

C:Program FilesiTunesiTunesHelper.exe

C:Program FilesQuickTimeqttask.exe

E:Program FilesWinampwinampa.exe

C:Program FilesJavajre1.5.0_06binjusched.exe

C:Program FilesiPodbiniPodService.exe

C:WINDOWSsystem32ctfmon.exe

C:Program FilesAdobeAcrobat 5.0DistillrAcroTray.exe

C:Program FilesLarousse MultimédiaLCADbinhiAksMultiling.exe

C:PROGRA~1LAROUS~1Sharedbinhisrv.exe

C:Program FilesAlwil SoftwareAvast4ashSimpl.exe

C:Documents and SettingsMiles.MAGNOLIABureauHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.lemonde.fr/

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0AcrobatActiveXAcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:Program FilesSpybot - Search & DestroySDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06binssv.dll

O4 - HKLM..Run: [EPSON Stylus Photo RX420 Series] C:WINDOWSSystem32spoolDRIVERSW32X863E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [nwiz] nwiz.exe /install

O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit

O4 - HKLM..Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"

O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime

O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OBrealsched.exe" -osboot

O4 - HKLM..Run: [WinampAgent] E:Program FilesWinampwinampa.exe

O4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_06binjusched.exe

O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:Program FilesAdobeAcrobat 5.0DistillrAcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:Program FilesFichiers communsAdobeCalibrationAdobe Gamma Loader.exe

O4 - Global Startup: Ask Larousse Chambers.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:Program FilesiPodbiniPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe

Voilà, si vous pouviez y jeter un coup d'oeil ça serait sympa parce que là je suis perdu.

[moicmoi 0]

Platform: Windows XP SP2

Le voilà ton virus :sorry

:run:

[dex 0]

wé oh ça va hein ... c'est pas mon pc non plus

nan sérieux je ne trouve rien ... par contre est-ce normal qu'il y ait un script pour windows NT nommé medctrro dans le dossier C:/ehome ?

[moicmoi 0]

Après une petite recherche : http://www.programchecker.com/file/466.aspx

Ca ne semble pas être un virus, mais qui sait ?

[tetrinet 0]

j'ai trouvé :

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.lemonde.fr/

est a remplacé par :

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.post-posse.info/

:sorry

[dex 0]

wé j'avais trouvé la même page mais elle ne m'a pas appris grand chose ...

C'est ça qui est bizarre : y'a un virus c'est quasi obligé ... mais avast! ne trouve rien, hijack this non plus ... à la limite qu'est ce que je pourrais utiliser d'autre ?

[dex 0]

Quand j'essaie de réinstaller le netgear, il me propose deux drivers présent sur le hd :

oem0.inf et netma101xp.inf dans c:windowsinf.

Sur google, ce dernier est inconnu au bataillon (louche ?) et le premier est associé à une erreur de réinstallation de drivers pour une marque obscure ... dois-je supprimer ces deux .inf et tenter de réinstaller aprés ?

edit : wep ça devait venir de ça en fait ... j'ai installé à partir d'un .inf présent sur le cd et le netgear remarche, la connection internet également ...

[pat 0]

J'ai eu il y a quelque temps, un problème du genre similaire. En fait il n'y avait pas de virus, mais j'avais simplement essayé d'optimiser la connexion internet avec le super programme genre "optimisez votre connexion" (chui un peu con des fois...)

Résultat : plantages en série de la connexion, réseau foireux, etc...

Dépannage : j'ai supprimé toutes les connexions réseau, internet, j'ai carrément enlevé la carte réseau du PC, et puis après j'ai tout reconfiguré

[momo 18]

au vu de mon observation personelle, winXP est quand même bien plus fragile que 2000 ...

(et c'est bien parce que j'ai la flemme que je ne repasse pas sous ce dernier)

[thev 0]

Disons qu'en offrant plus de fonctionnalités, il se fragilise forcément.

@+

[Evangelion 0]

Faut pas pousser non plus et être de mauvaise foie.

J'ai des XP (2 pro et un home) à la maison et j'ai pas de soucis avec (et pourtant j'en installe des merdes).

Par contre quand je fait des essais sous Linux, j'arrive a avoir pas mal de merdes avec comme les problèmes de reconnaissance pour les deux cartes graphique (qui n'a jamais fonctionné chez moi).