Se connecter / S'enregistrer
Votre question

[Résolu] ouverture de system32 au démarrage de windows

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Juillet 2006 09:28:43

Bonjour à tous

Je viens de réinstaller windows et j'ai toujours le répertoire system32 qui s'ouvre au demarrage de windows.
J'ai fait quelques recherchs sur google et je suis a priori, et malgré les mises à jour windows update, infecté par un spyware/malware/virus.

Le scan par Kaspersky antivirus et négatif.

Je vous poste le log Hijack This :

Logfile of HijackThis v1.99.1
Scan saved at 09:27:36, on 02/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Diskeeper\DkService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Spybot\TeaTimer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
E:\Firefox\firefox.exe
E:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot\SDHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "E:\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [gcasServ] "E:\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [MediaDico] e:\12 Dicos\LanceMediaDICO12.exe Lancement
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [Yahoo! Pager] -quiet
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Diskeeper - Executive Software International, Inc. - E:\Diskeeper\DkService.exe
O23 - Service: kavsvc - Kaspersky Lab - E:\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

Ce genre de log n'etait pas très accessible pour le commun des mortels, merci par avance de votre aide :) 

Autres pages sur : resolu ouverture system32 demarrage windows

2 Juillet 2006 10:57:22

bonjour
pas d'infection visible dans le log
relancer hijack
cocher et fix checked ( sauf si pratique du japonais ou autre langue asiatique);

O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
-------------------
Voir si spy/ mmalware

Télécharger : en anglais gratuit 30 jours
Ewido

le mettre à jour = update now

Redémarrer en mode sans échec . Attention, pas accès à internet dans ce mode
Pour demarrage sans échec : à la mise en route de l’ordi :Tapoter sur la touche F8 ou F5. Puis
En utilisant les touches du curseur, sélectionner le mode sans échec et Entrée.

Scanner , puis Complete System Scan ( c’est assez long) et Supprimer ce qu’il trouve = Apply all actions

Save Report Save report as l’enregistrer sur le bureau
copier le rapport
-------------------
si rien voir une réparation de Windows
a b 8 Sécurité
2 Juillet 2006 12:10:24

Va voir ici.
Contenus similaires
2 Juillet 2006 12:15:03

Merci

Je pratique le japonais donc je n'ai pas coché les 3 éléments.

ewido n'a rien trouvé d'autre que des cookies traceurs, rien de bien mechant :

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 12:00:40 02/07/2006

+ Scan result:



:mozilla.55:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.247realmedia : No action taken.
:mozilla.56:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.247realmedia : No action taken.
:mozilla.57:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.247realmedia : No action taken.
:mozilla.58:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.2o7 : No action taken.
:mozilla.52:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.Addynamix : No action taken.
:mozilla.41:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.Bluestreak : No action taken.
:mozilla.89:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.Burstnet : No action taken.
:mozilla.33:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.Falkag : No action taken.
:mozilla.34:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.Falkag : No action taken.
:mozilla.35:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.Falkag : No action taken.
:mozilla.38:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.Falkag : No action taken.
:mozilla.44:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.Mediaplex : No action taken.
:mozilla.75:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.Questionmarket : No action taken.
:mozilla.76:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.Questionmarket : No action taken.
:mozilla.49:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.Smartadserver : No action taken.
:mozilla.50:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.Tradedoubler : No action taken.
:mozilla.78:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.Tribalfusion : No action taken.
:mozilla.79:C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\5o83fna6.default\cookies.txt -> TrackingCookie.Weborama : No action taken.


::Report end



J'en avais également profité pour faire un hijack en mode sans echec :

Logfile of HijackThis v1.99.1
Scan saved at 11:52:21, on 02/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\ewido anti-spyware 4.0\ewido.exe
E:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot\SDHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "E:\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [gcasServ] "E:\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [!ewido] "E:\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [MediaDico] e:\12 Dicos\LanceMediaDICO12.exe Lancement
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [Yahoo! Pager] -quiet
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Diskeeper - Executive Software International, Inc. - E:\Diskeeper\DkService.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\ewido anti-spyware 4.0\guard.exe
O23 - Service: kavsvc - Kaspersky Lab - E:\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe



Il ne me reste plus que la réparation windows ?
a b 8 Sécurité
2 Juillet 2006 12:16:34

Va voir le lien que je t'ai donne en haut.
2 Juillet 2006 12:42:24

merci pour votre aide

dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
j'ai 3 valeurs entre guillemets :
"E:\ewido anti-spyware 4.0\ewido.exe" /minimized
"E:\Microsoft AntiSpyware\gcasServ.exe"
"E:\Kaspersky Anti-Virus Personal\kav.exe" /minimize

et également 4 valeurs pointant sur le repertoire system32 :
RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC


Dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
il n'y a qu'une valeur pointant sur le repertoire system32 :
C:\WINDOWS\system32\ctfmon.exe


Je dois vraiment supprimer toutes ces valeurs ? Je prefererai être vraiment sûr.
Je fais habituellement toutes mes réinstallations windows de la même façon et avec les même programmes et c'est bien la première fois que ce probléme m'arrive...
2 Juillet 2006 13:46:19

C'est bon merci j'ai trouvé. C'était un programme qui pointait sur le repertoire system32 au démarrage de windows.

il suffit d(enlever la ligne de commande dans la base de registre et c'est bon.

Merci beaucoup :) 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS