Searchassistant
STAF
-
staf -
staf -
Bonsoir !
voila en faite ma valeur de SEARCHASSISTANT a été modifier
avant = 0x
Maintenant = http://www.jprdlbvcijzlyjzmnbnox.com/zaQuLAXMQKjnWpjU7apeQD8DgAf9/vJIKup_VT19PKxf8Q3ZuKwegSCBoLj5N3jT.jsp
G deja Utilisé HijackThis.exe, prevx, Ad-Aware SE Personal et Spybot - Search & destroy, G aussi mofifié la valeur dans la base de registre (remis l'ancienne, celle qui m'avais été donner par PREVX )
mais rien a faire la valeur reste la meme dans le searchassistant de la base de registre
Bon c'est vrai que mainteant je n'ai plus de petite fenetre qui s'ouvre au meme moment que j'ouvre internet mais je voudrai quand meme reglé le soucy completement
COMMENT FAIRE ??? merci de vos reponse
voila en faite ma valeur de SEARCHASSISTANT a été modifier
avant = 0x
Maintenant = http://www.jprdlbvcijzlyjzmnbnox.com/zaQuLAXMQKjnWpjU7apeQD8DgAf9/vJIKup_VT19PKxf8Q3ZuKwegSCBoLj5N3jT.jsp
G deja Utilisé HijackThis.exe, prevx, Ad-Aware SE Personal et Spybot - Search & destroy, G aussi mofifié la valeur dans la base de registre (remis l'ancienne, celle qui m'avais été donner par PREVX )
mais rien a faire la valeur reste la meme dans le searchassistant de la base de registre
Bon c'est vrai que mainteant je n'ai plus de petite fenetre qui s'ouvre au meme moment que j'ouvre internet mais je voudrai quand meme reglé le soucy completement
COMMENT FAIRE ??? merci de vos reponse
46 réponses
Toujours OP a cette heure ci apres avoir encore netoyer un coup
Merci encore les mecs
a bientot peut etre
++
Merci encore les mecs
a bientot peut etre
++
MAIS voila malgret tout ça IL est revenu
et oui
regardez moi ça :
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Program Files\PREVX\Prevx Home\PXAgent.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\iRiver\iHP100\iHPDetect.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\PREVX\Prevx Home\SAGUI.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Soulseek\slsk.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://web.djbgpomfqqbjildh.net/zaQuLAXMQKjnWpjU7apeQD8DgAf9/vJIKup_VT19PKzhctkNuITLJyCBoLj5N3jT.jpg
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [POINTER] C:\Program Files\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iHP-100] C:\Program Files\iRiver\iHP100\iHPDetect.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Prevx Home.lnk = C:\Program Files\PREVX\Prevx Home\SAGUI.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38052.5114467593
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D1BC292-89FA-4C48-AEF3-3B607B8F689F}: NameServer = 212.27.39.2 212.27.32.177
et oui
regardez moi ça :
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Program Files\PREVX\Prevx Home\PXAgent.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\iRiver\iHP100\iHPDetect.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\PREVX\Prevx Home\SAGUI.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Soulseek\slsk.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://web.djbgpomfqqbjildh.net/zaQuLAXMQKjnWpjU7apeQD8DgAf9/vJIKup_VT19PKzhctkNuITLJyCBoLj5N3jT.jpg
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [POINTER] C:\Program Files\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iHP-100] C:\Program Files\iRiver\iHP100\iHPDetect.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Prevx Home.lnk = C:\Program Files\PREVX\Prevx Home\SAGUI.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38052.5114467593
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D1BC292-89FA-4C48-AEF3-3B607B8F689F}: NameServer = 212.27.39.2 212.27.32.177
voila j'arrive a le bloquer avec Spy Sweeper mais a chaue fois je suis obliger de faire
RESTOR donc c pas trés pratique
ou alors je fait la meme avec Prevx mais ça revien toujours
comment faire alors ???
RESTOR donc c pas trés pratique
ou alors je fait la meme avec Prevx mais ça revien toujours
comment faire alors ???
alors voila a cette heure ci
le problem est toujours là
en faite maintenant que modifié la valeur dans la base de registre
Searchassistant REG_SZ http://www.nwfysndjqxnrvfynmwxc.net/zaQuLAXMQKjnWpjU7apeQD8DgAf9/vJIKup_VT19PKyoCNfTa4AH7SCBoLj5N3jT.html
mais par contre plus aucune page s'affiche en meme temps a l'ouverture de la premiere page d'internet
par contre j'ai pu constater quelque chose de vraiment etrange
juste en fesant plusieur analyse avec HijackThis.exe l'adresse du Searchassistant ce modifie sasn meme faire quoi que ce soit
J'ai fait plusieur analyse de suite c'est a dire plusieur a la minute
donc apres je fesais a nouveau un regedit est la je constatais que l'adresse dans la base de registre avez changer aussi
mais je voulais dire aussi que j'avasi ça dans ma base de registre
EST CE NORMAL ?
CustomizeSearch REG_SZ suivie d'un adresse de type http : //www.ie.search.msn.com...............
voila sinon je voulais savoir est normal que dans mon log il est ça ???
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
je ne pense pas et vous ?
voila en je pense que c'est tout ce qu'il y a
alors que faire ???
le problem est toujours là
en faite maintenant que modifié la valeur dans la base de registre
Searchassistant REG_SZ http://www.nwfysndjqxnrvfynmwxc.net/zaQuLAXMQKjnWpjU7apeQD8DgAf9/vJIKup_VT19PKyoCNfTa4AH7SCBoLj5N3jT.html
mais par contre plus aucune page s'affiche en meme temps a l'ouverture de la premiere page d'internet
par contre j'ai pu constater quelque chose de vraiment etrange
juste en fesant plusieur analyse avec HijackThis.exe l'adresse du Searchassistant ce modifie sasn meme faire quoi que ce soit
J'ai fait plusieur analyse de suite c'est a dire plusieur a la minute
donc apres je fesais a nouveau un regedit est la je constatais que l'adresse dans la base de registre avez changer aussi
mais je voulais dire aussi que j'avasi ça dans ma base de registre
EST CE NORMAL ?
CustomizeSearch REG_SZ suivie d'un adresse de type http : //www.ie.search.msn.com...............
voila sinon je voulais savoir est normal que dans mon log il est ça ???
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
je ne pense pas et vous ?
voila en je pense que c'est tout ce qu'il y a
alors que faire ???
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut
commence par ceci
http://d21c.com/Tom41/get_active_services_179_161.zip
Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.
---------
Télécharger "FINDnFIX" sur:
http://downloads.subratam.org/FINDnFIX.exe
-le double cliquer, il va se décompresser dans un dossier c:\FINDnFIX
-Lancer le fichier !Log!.bat
-Il va rechercher quelques instants
-Il va éditer un fichier texte : Log.txt
-Poste le contenu de ce Log.txt.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
commence par ceci
http://d21c.com/Tom41/get_active_services_179_161.zip
Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.
---------
Télécharger "FINDnFIX" sur:
http://downloads.subratam.org/FINDnFIX.exe
-le double cliquer, il va se décompresser dans un dossier c:\FINDnFIX
-Lancer le fichier !Log!.bat
-Il va rechercher quelques instants
-Il va éditer un fichier texte : Log.txt
-Poste le contenu de ce Log.txt.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
voici le contenu du fichier zip que tu ma dit de DL
mais ça sert a quoi
quand j'ai doubli cliké dessus mon antivirus a trouver un virus
pourquoi ?
get active services.vbs
sinon voici le contenu de du "FINDnFIX"
Sun 19 Sep 04 12:23:56
»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»
*System:
Microsoft Windows XP Home Edition 5.1 Service Pack 1 (Build 2600)
*IE version:
6.0.2800.1106 SP1-Q824145-Q330994-Q832894-Q831167-Q837009-Q823353-Q867801
MS-DOS Version 5.00.500
*command.com test passed!
__________________________________
!!*Creating backups...!!
The operation completed successfully
12:23:55,84 19/09/2004
__________________________________
*Local time:
dimanche 19 septembre 2004 (19/09/2004)
12:23, Paris, Madrid (heure d'été)
*Uptime:
12:23:58 up 0 days, 8:38:38
*Path:
C:\FINDnFIX
----------------------------------------------------
»»Member of...: ("ADMIN" logon + group match required!)
User is a member of group SY3PUNF07\Aucun.
User is a member of group \Tout le monde.
User is a member of group BUILTIN\Administrateurs.
User is a member of group BUILTIN\Utilisateurs.
User is a member of group \LOCAL.
User is a member of group AUTORITE NT\INTERACTIF.
User is a member of group AUTORITE NT\Utilisateurs authentifiés.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
User: [SY3PUNF07\Propriétaire], is a member of:
BUILTIN\Administrateurs
SY3PUNF07\Aucun
Running in WORKSTATION MODE.
SystemDrive is C:
SystemRoot is C:\WINDOWS
Logon Domain is SY3PUNF07
Administrator's Name is Propri‚taire
Computer Name is SY3PUNF07
LOGON SERVER is \\SY3PUNF07
»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!
The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder
______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________
......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Read access error(s)...
»»»»» (*2*) »»»»»........
»»»»» (*3*) »»»»»........
No matches found.
unknown/hidden files...
No matches found.
»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
SNiF 1.34 statistics
Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
»»»»»(*5*)»»»»»
»»»»»(*6*)»»»»»
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL
____________________________________________________________________________
*By size and date...
No matches found.
No matches found.
No matches found.
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
SNiF 1.34 statistics
Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
SNiF 1.34 statistics
Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
SNiF 1.34 statistics
Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
BHO search and other files...
No matches found.
No matches found.
--*sp.html in temp folder was NOT FOUND!--
*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)
--(*text/html Subkey was NOT FOUND!)--
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)
--(*text/plain Subkey was NOT FOUND!)--
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)
Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450
»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!
Value Matches
________________________________
»»Comparing *saved* key with *original*...
REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)
Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).
Value "AppInit_DLLs" in key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" has different lengths (1 vs 0)
»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 300
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = (*** MISSING TRAILING NULL CHARACTER ***)
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 300
USERProcessHandleQuota = REG_DWORD 0x00002710
»»Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM
»»Performing string scan....
00001150: orum vk f AppInit_DLLs G
00001190: h vk UDeviceNotSelectedTimeout 1 5
000011D0: o 3 0 0 X[ vk ' GDIProcessHandle
00001210:Quota, 2 vk 8 Spoolerw y e s =p h
00001250: ` vk . swapdisk vk
00001290: J TransmissionRetryTimeout h `
000012D0: vk ' :USERProcessHandleQuota span class="
00001310:Texte"> Forum Internet</span><br><input type="radio" name="cat"
00001350:value="7"checked><span class="Texte"> Forum Virus/Sécurit
00001390:é</span><br><input type="radio" name="cat" value="11"><sp
000013D0:an class="Texte"> Forum Windows</span><br><input type="radio" na
00001410:me="cat" value="13"><span class="Texte"> Forum Linux/Unix</span>
00001450:<br><input type="radio" name="cat" value="8"><span class="Texte"
00001490:> Forum Actualités</span><br><input type="radio" name="ca
000014D0:t" value="9"><span class="Texte"> Forum Suggestions</span></td>
00001510: <td bgcolor="#D6DEF7"><br><input name="auto" type="check
00001550:box" CHECKED><span class="Texte">Recevoir les réponses pa
00001590:r mail</span> </td> </tr> </table>
000015D0: <br> Message:<br> <tabl
---------- WIN.TXT
fùAppInit_DLLsÖæG
--------------
--------------
$01180: AppInit_DLLs
$011AF: UDeviceNotSelectedTimeout
$01200: GDIProcessHandleQuota
$01298: TransmissionRetryTimeout
$012E8: USERProcessHandleQuota
$016B7: informatique'
$017AC: informatique'
$018A2: informatique'
$0199C: informatique'
$01EC6: configuration
$01EE4: d'exploitation
$01F67: connaissance
$01FA6: d'utilisation
--------------
--------------
entVersion\Windows
--------------
--------------
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="300"
"USERProcessHandleQuota"=dword:00002710
.............
A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 0 bytes, including the 2 for string termination.
[AppInitDLLs]
Ansi string : "\]^_`abcdefghijklmno2"
-----------------------
»»»»»»Backups list...»»»»»»
12:30:05 up 0 days, 8:44:45
-----------------------
Sun 19 Sep 04 12:30:05
C:\FINDNFIX\
keyback.hiv Sun 19 Sep 2004 12:23:56 A.... 8 192 8,00 K
1 item found: 1 file, 0 directories.
Total of file sizes: 8 192 bytes 8,00 K
C:\FINDNFIX\KEYS1\
winkey.reg Sun 19 Sep 2004 12:23:58 A.... 288 0,28 K
1 item found: 1 file, 0 directories.
Total of file sizes: 288 bytes 0,28 K
*Temp backups...
"C:\Documents and Settings\Propri‚taire\Local Settings\Temp\Backs2\"
keyback2.hi_ 19 Sep 2004 8192 "keyback2.hi_"
winkey2.re_ 19 Sep 2004 288 "winkey2.re_"
2 items found: 2 files, 0 directories.
Total of file sizes: 8 480 bytes 8,28 K
-D---- JUNKXXX 00000000 12:23.56 19/09/2004
A----- STARTIT .BAT 00000060 12:23.56 19/09/2004
________________________________________________________________________________
***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)'
AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS!
MINIMAL REQUIREMENTS INCLUDE:
_________XP HOME/PRO; SP1; IE6/SP1
_________2K/SP4; IE6/SP1
________________________________________________________________________________
»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»
-----END------
Sun 19 Sep 04 12:30:07
mais ça sert a quoi
quand j'ai doubli cliké dessus mon antivirus a trouver un virus
pourquoi ?
get active services.vbs
sinon voici le contenu de du "FINDnFIX"
Sun 19 Sep 04 12:23:56
»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»
*System:
Microsoft Windows XP Home Edition 5.1 Service Pack 1 (Build 2600)
*IE version:
6.0.2800.1106 SP1-Q824145-Q330994-Q832894-Q831167-Q837009-Q823353-Q867801
MS-DOS Version 5.00.500
*command.com test passed!
__________________________________
!!*Creating backups...!!
The operation completed successfully
12:23:55,84 19/09/2004
__________________________________
*Local time:
dimanche 19 septembre 2004 (19/09/2004)
12:23, Paris, Madrid (heure d'été)
*Uptime:
12:23:58 up 0 days, 8:38:38
*Path:
C:\FINDnFIX
----------------------------------------------------
»»Member of...: ("ADMIN" logon + group match required!)
User is a member of group SY3PUNF07\Aucun.
User is a member of group \Tout le monde.
User is a member of group BUILTIN\Administrateurs.
User is a member of group BUILTIN\Utilisateurs.
User is a member of group \LOCAL.
User is a member of group AUTORITE NT\INTERACTIF.
User is a member of group AUTORITE NT\Utilisateurs authentifiés.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
User: [SY3PUNF07\Propriétaire], is a member of:
BUILTIN\Administrateurs
SY3PUNF07\Aucun
Running in WORKSTATION MODE.
SystemDrive is C:
SystemRoot is C:\WINDOWS
Logon Domain is SY3PUNF07
Administrator's Name is Propri‚taire
Computer Name is SY3PUNF07
LOGON SERVER is \\SY3PUNF07
»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!
The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder
______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________
......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Read access error(s)...
»»»»» (*2*) »»»»»........
»»»»» (*3*) »»»»»........
No matches found.
unknown/hidden files...
No matches found.
»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
SNiF 1.34 statistics
Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
»»»»»(*5*)»»»»»
»»»»»(*6*)»»»»»
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL
____________________________________________________________________________
*By size and date...
No matches found.
No matches found.
No matches found.
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
SNiF 1.34 statistics
Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
SNiF 1.34 statistics
Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
SNiF 1.34 statistics
Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
BHO search and other files...
No matches found.
No matches found.
--*sp.html in temp folder was NOT FOUND!--
*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)
--(*text/html Subkey was NOT FOUND!)--
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)
--(*text/plain Subkey was NOT FOUND!)--
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)
Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450
»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!
Value Matches
________________________________
»»Comparing *saved* key with *original*...
REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)
Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).
Value "AppInit_DLLs" in key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" has different lengths (1 vs 0)
»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 300
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = (*** MISSING TRAILING NULL CHARACTER ***)
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 300
USERProcessHandleQuota = REG_DWORD 0x00002710
»»Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM
»»Performing string scan....
00001150: orum vk f AppInit_DLLs G
00001190: h vk UDeviceNotSelectedTimeout 1 5
000011D0: o 3 0 0 X[ vk ' GDIProcessHandle
00001210:Quota, 2 vk 8 Spoolerw y e s =p h
00001250: ` vk . swapdisk vk
00001290: J TransmissionRetryTimeout h `
000012D0: vk ' :USERProcessHandleQuota span class="
00001310:Texte"> Forum Internet</span><br><input type="radio" name="cat"
00001350:value="7"checked><span class="Texte"> Forum Virus/Sécurit
00001390:é</span><br><input type="radio" name="cat" value="11"><sp
000013D0:an class="Texte"> Forum Windows</span><br><input type="radio" na
00001410:me="cat" value="13"><span class="Texte"> Forum Linux/Unix</span>
00001450:<br><input type="radio" name="cat" value="8"><span class="Texte"
00001490:> Forum Actualités</span><br><input type="radio" name="ca
000014D0:t" value="9"><span class="Texte"> Forum Suggestions</span></td>
00001510: <td bgcolor="#D6DEF7"><br><input name="auto" type="check
00001550:box" CHECKED><span class="Texte">Recevoir les réponses pa
00001590:r mail</span> </td> </tr> </table>
000015D0: <br> Message:<br> <tabl
---------- WIN.TXT
fùAppInit_DLLsÖæG
--------------
--------------
$01180: AppInit_DLLs
$011AF: UDeviceNotSelectedTimeout
$01200: GDIProcessHandleQuota
$01298: TransmissionRetryTimeout
$012E8: USERProcessHandleQuota
$016B7: informatique'
$017AC: informatique'
$018A2: informatique'
$0199C: informatique'
$01EC6: configuration
$01EE4: d'exploitation
$01F67: connaissance
$01FA6: d'utilisation
--------------
--------------
entVersion\Windows
--------------
--------------
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="300"
"USERProcessHandleQuota"=dword:00002710
.............
A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 0 bytes, including the 2 for string termination.
[AppInitDLLs]
Ansi string : "\]^_`abcdefghijklmno2"
-----------------------
»»»»»»Backups list...»»»»»»
12:30:05 up 0 days, 8:44:45
-----------------------
Sun 19 Sep 04 12:30:05
C:\FINDNFIX\
keyback.hiv Sun 19 Sep 2004 12:23:56 A.... 8 192 8,00 K
1 item found: 1 file, 0 directories.
Total of file sizes: 8 192 bytes 8,00 K
C:\FINDNFIX\KEYS1\
winkey.reg Sun 19 Sep 2004 12:23:58 A.... 288 0,28 K
1 item found: 1 file, 0 directories.
Total of file sizes: 288 bytes 0,28 K
*Temp backups...
"C:\Documents and Settings\Propri‚taire\Local Settings\Temp\Backs2\"
keyback2.hi_ 19 Sep 2004 8192 "keyback2.hi_"
winkey2.re_ 19 Sep 2004 288 "winkey2.re_"
2 items found: 2 files, 0 directories.
Total of file sizes: 8 480 bytes 8,28 K
-D---- JUNKXXX 00000000 12:23.56 19/09/2004
A----- STARTIT .BAT 00000060 12:23.56 19/09/2004
________________________________________________________________________________
***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)'
AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS!
MINIMAL REQUIREMENTS INCLUDE:
_________XP HOME/PRO; SP1; IE6/SP1
_________2K/SP4; IE6/SP1
________________________________________________________________________________
»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»
-----END------
Sun 19 Sep 04 12:30:07
re ne t inquiete pas pour le virus normal c est du vbs
tu nas pas fait cela
commence par ceci
http://d21c.com/Tom41/get_active_services_179_161.zip
Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
tu nas pas fait cela
commence par ceci
http://d21c.com/Tom41/get_active_services_179_161.zip
Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
voici le resultat
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
SERVICES IPSEC: PolicyAgent
C:\WINDOWS\System32\lsass.exe
EMPLACEMENT PROTÉGÉ: ProtectedStorage
C:\WINDOWS\system32\lsass.exe
GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSs
C:\WINDOWS\system32\lsass.exe
PREVX AGENT: PREVXAgent
"C:\Program Files\PREVX\Prevx Home\PXAgent.exe" -f -af
APPEL DE PROCÉDURE DISTANTE (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss
SAVSCAN: SAVScan
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
SPEED DISK SERVICE: Speed Disk service
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
SPOULEUR D'IMPRESSION: Spooler
C:\WINDOWS\system32\spoolsv.exe
ACQUISITION D'IMAGE WINDOWS (WIA): stisvc
C:\WINDOWS\System32\svchost.exe -k imgsvc
c'est ça que tu voulais ?
je fait quoi maintenant ???
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
SERVICES IPSEC: PolicyAgent
C:\WINDOWS\System32\lsass.exe
EMPLACEMENT PROTÉGÉ: ProtectedStorage
C:\WINDOWS\system32\lsass.exe
GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSs
C:\WINDOWS\system32\lsass.exe
PREVX AGENT: PREVXAgent
"C:\Program Files\PREVX\Prevx Home\PXAgent.exe" -f -af
APPEL DE PROCÉDURE DISTANTE (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss
SAVSCAN: SAVScan
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
SPEED DISK SERVICE: Speed Disk service
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
SPOULEUR D'IMPRESSION: Spooler
C:\WINDOWS\system32\spoolsv.exe
ACQUISITION D'IMAGE WINDOWS (WIA): stisvc
C:\WINDOWS\System32\svchost.exe -k imgsvc
c'est ça que tu voulais ?
je fait quoi maintenant ???
staf soit patient tu n est pas tous seul et je n ai pas que cela a faire j ai une vie derrire mon pc
bon tu as mis la totalite du rapport pour ceci
http://d21c.com/Tom41/get_active_services_179_161.zip
je le trouive tros court
sinon vas la et au milieu de la page
telecharge remove search et utilise le
la chasse et le balltrap ma vrai passion
voir site perso dans profil
bon tu as mis la totalite du rapport pour ceci
http://d21c.com/Tom41/get_active_services_179_161.zip
je le trouive tros court
sinon vas la et au milieu de la page
telecharge remove search et utilise le
la chasse et le balltrap ma vrai passion
voir site perso dans profil
voici tout là
dsl pour mon impatience
These are the Current Active Services:
ADSLAUTOCONNECT: ADSLAutoconnect
"C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z
AVERTISSEMENT: Alerter
C:\WINDOWS\System32\svchost.exe -k LocalService
ASSISTANCE TCP/IP NETBIOS: LmHosts
C:\WINDOWS\System32\svchost.exe -k LocalService
SERVICE DE DÉCOUVERTES SSDP: SSDPSRV
C:\WINDOWS\System32\svchost.exe -k LocalService
WEBCLIENT: WebClient
C:\WINDOWS\System32\svchost.exe -k LocalService
ATI HOTKEY POLLER: Ati HotKey Poller
C:\WINDOWS\System32\Ati2evxx.exe
AUDIO WINDOWS: AudioSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
EXPLORATEUR D'ORDINATEUR: Browser
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVICES DE CRYPTOGRAPHIE: CryptSvc
C:\WINDOWS\system32\svchost.exe -k netsvcs
CLIENT DHCP: Dhcp
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVICE DE RAPPORT D'ERREURS: ERSvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
SYSTÈME D'ÉVÉNEMENTS DE COM+: EventSystem
C:\WINDOWS\System32\svchost.exe -k netsvcs
COMPATIBILITÉ AVEC LE CHANGEMENT RAPIDE D'UTILISATEUR: FastUserSwitchingCompatibility
C:\WINDOWS\System32\svchost.exe -k netsvcs
AIDE ET SUPPORT: helpsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVEUR: lanmanserver
C:\WINDOWS\System32\svchost.exe -k netsvcs
STATION DE TRAVAIL: lanmanworkstation
C:\WINDOWS\System32\svchost.exe -k netsvcs
CONNEXIONS RÉSEAU: Netman
C:\WINDOWS\System32\svchost.exe -k netsvcs
NLA (NETWORK LOCATION AWARENESS): Nla
C:\WINDOWS\System32\svchost.exe -k netsvcs
GESTIONNAIRE DE CONNEXIONS D'ACCÈS DISTANT: RasMan
C:\WINDOWS\System32\svchost.exe -k netsvcs
PLANIFICATEUR DE TÂCHES: Schedule
C:\WINDOWS\System32\svchost.exe -k netsvcs
CONNEXION SECONDAIRE: seclogon
C:\WINDOWS\System32\svchost.exe -k netsvcs
NOTIFICATION D'ÉVÉNEMENT SYSTÈME: SENS
C:\WINDOWS\system32\svchost.exe -k netsvcs
PARE-FEU DE CONNEXION INTERNET (ICF) / PARTAGE DE CONNEXION INTERNET (ICS): SharedAccess
C:\WINDOWS\System32\svchost.exe -k netsvcs
DÉTECTION MATÉRIEL NOYAU: ShellHWDetection
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVICE DE RESTAURATION SYSTÈME: srservice
C:\WINDOWS\System32\svchost.exe -k netsvcs
TÉLÉPHONIE: TapiSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVICES TERMINAL SERVER: TermService
C:\WINDOWS\System32\svchost.exe -k netsvcs
THÈMES: Themes
C:\WINDOWS\System32\svchost.exe -k netsvcs
CLIENT DE SUIVI DE LIEN DISTRIBUÉ: TrkWks
C:\WINDOWS\system32\svchost.exe -k netsvcs
GESTIONNAIRE DE TÉLÉCHARGEMENT: uploadmgr
C:\WINDOWS\System32\svchost.exe -k netsvcs
HORLOGE WINDOWS: W32Time
C:\WINDOWS\System32\svchost.exe -k netsvcs
INFRASTRUCTURE DE GESTION WINDOWS: winmgmt
C:\WINDOWS\system32\svchost.exe -k netsvcs
MISES À JOUR AUTOMATIQUES: wuauserv
C:\WINDOWS\system32\svchost.exe -k netsvcs
CONFIGURATION AUTOMATIQUE SANS FIL: WZCSVC
C:\WINDOWS\System32\svchost.exe -k netsvcs
C-DILLACDAC11BA: C-DillaCdaC11BA
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
SYMANTEC EVENT MANAGER: ccEvtMgr
"C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
SYMANTEC SETTINGS MANAGER: ccSetMgr
"C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"
CLIENT DNS: Dnscache
C:\WINDOWS\System32\svchost.exe -k NetworkService
JOURNAL DES ÉVÉNEMENTS: Eventlog
C:\WINDOWS\system32\services.exe
PLUG-AND-PLAY: PlugPlay
C:\WINDOWS\system32\services.exe
GHOSTSTARTSERVICE: GhostStartService
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
SERVICE NORTON ANTIVIRUS AUTO-PROTECT: navapsvc
"C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe"
NORTON UNERASE PROTECTION: NProtectService
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
SERVICES IPSEC: PolicyAgent
C:\WINDOWS\System32\lsass.exe
EMPLACEMENT PROTÉGÉ: ProtectedStorage
C:\WINDOWS\system32\lsass.exe
GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSs
C:\WINDOWS\system32\lsass.exe
PREVX AGENT: PREVXAgent
"C:\Program Files\PREVX\Prevx Home\PXAgent.exe" -f -af
APPEL DE PROCÉDURE DISTANTE (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss
SAVSCAN: SAVScan
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
SPEED DISK SERVICE: Speed Disk service
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
SPOULEUR D'IMPRESSION: Spooler
C:\WINDOWS\system32\spoolsv.exe
ACQUISITION D'IMAGE WINDOWS (WIA): stisvc
C:\WINDOWS\System32\svchost.exe -k imgsvc
dsl pour mon impatience
These are the Current Active Services:
ADSLAUTOCONNECT: ADSLAutoconnect
"C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z
AVERTISSEMENT: Alerter
C:\WINDOWS\System32\svchost.exe -k LocalService
ASSISTANCE TCP/IP NETBIOS: LmHosts
C:\WINDOWS\System32\svchost.exe -k LocalService
SERVICE DE DÉCOUVERTES SSDP: SSDPSRV
C:\WINDOWS\System32\svchost.exe -k LocalService
WEBCLIENT: WebClient
C:\WINDOWS\System32\svchost.exe -k LocalService
ATI HOTKEY POLLER: Ati HotKey Poller
C:\WINDOWS\System32\Ati2evxx.exe
AUDIO WINDOWS: AudioSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
EXPLORATEUR D'ORDINATEUR: Browser
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVICES DE CRYPTOGRAPHIE: CryptSvc
C:\WINDOWS\system32\svchost.exe -k netsvcs
CLIENT DHCP: Dhcp
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVICE DE RAPPORT D'ERREURS: ERSvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
SYSTÈME D'ÉVÉNEMENTS DE COM+: EventSystem
C:\WINDOWS\System32\svchost.exe -k netsvcs
COMPATIBILITÉ AVEC LE CHANGEMENT RAPIDE D'UTILISATEUR: FastUserSwitchingCompatibility
C:\WINDOWS\System32\svchost.exe -k netsvcs
AIDE ET SUPPORT: helpsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVEUR: lanmanserver
C:\WINDOWS\System32\svchost.exe -k netsvcs
STATION DE TRAVAIL: lanmanworkstation
C:\WINDOWS\System32\svchost.exe -k netsvcs
CONNEXIONS RÉSEAU: Netman
C:\WINDOWS\System32\svchost.exe -k netsvcs
NLA (NETWORK LOCATION AWARENESS): Nla
C:\WINDOWS\System32\svchost.exe -k netsvcs
GESTIONNAIRE DE CONNEXIONS D'ACCÈS DISTANT: RasMan
C:\WINDOWS\System32\svchost.exe -k netsvcs
PLANIFICATEUR DE TÂCHES: Schedule
C:\WINDOWS\System32\svchost.exe -k netsvcs
CONNEXION SECONDAIRE: seclogon
C:\WINDOWS\System32\svchost.exe -k netsvcs
NOTIFICATION D'ÉVÉNEMENT SYSTÈME: SENS
C:\WINDOWS\system32\svchost.exe -k netsvcs
PARE-FEU DE CONNEXION INTERNET (ICF) / PARTAGE DE CONNEXION INTERNET (ICS): SharedAccess
C:\WINDOWS\System32\svchost.exe -k netsvcs
DÉTECTION MATÉRIEL NOYAU: ShellHWDetection
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVICE DE RESTAURATION SYSTÈME: srservice
C:\WINDOWS\System32\svchost.exe -k netsvcs
TÉLÉPHONIE: TapiSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVICES TERMINAL SERVER: TermService
C:\WINDOWS\System32\svchost.exe -k netsvcs
THÈMES: Themes
C:\WINDOWS\System32\svchost.exe -k netsvcs
CLIENT DE SUIVI DE LIEN DISTRIBUÉ: TrkWks
C:\WINDOWS\system32\svchost.exe -k netsvcs
GESTIONNAIRE DE TÉLÉCHARGEMENT: uploadmgr
C:\WINDOWS\System32\svchost.exe -k netsvcs
HORLOGE WINDOWS: W32Time
C:\WINDOWS\System32\svchost.exe -k netsvcs
INFRASTRUCTURE DE GESTION WINDOWS: winmgmt
C:\WINDOWS\system32\svchost.exe -k netsvcs
MISES À JOUR AUTOMATIQUES: wuauserv
C:\WINDOWS\system32\svchost.exe -k netsvcs
CONFIGURATION AUTOMATIQUE SANS FIL: WZCSVC
C:\WINDOWS\System32\svchost.exe -k netsvcs
C-DILLACDAC11BA: C-DillaCdaC11BA
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
SYMANTEC EVENT MANAGER: ccEvtMgr
"C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
SYMANTEC SETTINGS MANAGER: ccSetMgr
"C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"
CLIENT DNS: Dnscache
C:\WINDOWS\System32\svchost.exe -k NetworkService
JOURNAL DES ÉVÉNEMENTS: Eventlog
C:\WINDOWS\system32\services.exe
PLUG-AND-PLAY: PlugPlay
C:\WINDOWS\system32\services.exe
GHOSTSTARTSERVICE: GhostStartService
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
SERVICE NORTON ANTIVIRUS AUTO-PROTECT: navapsvc
"C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe"
NORTON UNERASE PROTECTION: NProtectService
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
SERVICES IPSEC: PolicyAgent
C:\WINDOWS\System32\lsass.exe
EMPLACEMENT PROTÉGÉ: ProtectedStorage
C:\WINDOWS\system32\lsass.exe
GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSs
C:\WINDOWS\system32\lsass.exe
PREVX AGENT: PREVXAgent
"C:\Program Files\PREVX\Prevx Home\PXAgent.exe" -f -af
APPEL DE PROCÉDURE DISTANTE (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss
SAVSCAN: SAVScan
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
SPEED DISK SERVICE: Speed Disk service
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
SPOULEUR D'IMPRESSION: Spooler
C:\WINDOWS\system32\spoolsv.exe
ACQUISITION D'IMAGE WINDOWS (WIA): stisvc
C:\WINDOWS\System32\svchost.exe -k imgsvc
mince je pensai trouver un mauvais service
je te met ce lien et au milieu de la page
telecharge remove search
http://adwareaway.com/
et utilise le
la chasse et le balltrap ma vrai passion
voir site perso dans profil
je te met ce lien et au milieu de la page
telecharge remove search
http://adwareaway.com/
et utilise le
la chasse et le balltrap ma vrai passion
voir site perso dans profil
salut je pense qu'il fauderai netoyer ta base de registre pour ce la il te faudera un programe du genre "regcleaner" ( je suis pas sure de l'orthographe ). desque je trouve le lien pour le telecharger je te le met ici ;-)
@+++++++++
@+++++++++
C'est fait j'ai utilisé lle truc meme si j'ai pas tout suivi
d'ailleur rien que pour l'installer j'ai galeré car il ne fonctionnais pas
enfin j'ai fait ce que je pensais etre bon
un SCAN ensuite FAST FIX de ce qu'il avasi trouver
en tout il en as trouvé 2
voila sinon a l'installation meme si elle avasi deconné il ma ouvert un fichier *.txt qui est le suivant
IMPORTANT HELP!!!
Thank you for using Adware Away. Before you use it,
please read the following statement carefully.
1. "Adware Away" is a product of FYJ Software Inc.
2. "Adware Away" is absolutely different from "NoAdware".
Adware Away is not only a malware removal program, but also a
diagnostic tool for Windows operating system. Our goals is to
target all hard-to-kill malwares. Many people get a solution
by Adware Away when they find their other anti-malware tools
can't help them.
Recently we found several hard-to-kill browser hijackers which
no other program can completely remove them except Adware Away.
If you choose Adware Away is for removing these malwares, you are
right, please exactly follow the instructions in our help page:
1. Remove about:blank hijacker
http://www.AdwareAway.com/aboutblank.htm
2. Remove ssearch.biz hijacker
http://www.AdwareAway.com/ssearchbiz.htm
3. Remove NewDotNet spyware
http://www.AdwareAway.com/newdotnet.htm
4. Remove huntbar adware
http://www.AdwareAway.com/huntbar.thm
5. Remove look2me hijacker
http://www.AdwareAway.com/look2me.htm
6. Other malware
http://www.AdwareAway.com
NOTE:
If you feel difficulty in removing malware from your computer,
we provide a customzing service which let us be able to customize
a removal tool for you, this customized removal tool will let
you remove all malwares by one click. What you need to do is
to submit your global scan log file to us:
1. Run Adware Away
2. Click 'Scan' to do a global scan
3. After it finishes, click 'Submit'
4. Fill in your name and email
5. Click 'Send by my email client'
6. Copy and paste all content to your email program
7. Send it to : submit@AdwareAway.com
Once we receive your log file, we will help you.
Thanks again.
Best Regards,
The Development team of Adware Away.
voila et dans ma base de registre l'adresse est tjs aussi bizzard et l'analyse de HijackThis.exe est tjs la meme
Logfile of HijackThis v1.97.7
Scan saved at 13:52:58, on 19/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Program Files\PREVX\Prevx Home\PXAgent.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\iRiver\iHP100\iHPDetect.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\PREVX\Prevx Home\SAGUI.exe
C:\Program Files\Soulseek\slsk.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.juvyxtznmjy.org/zaQuLAXMQKjnWpjU7apeQD8DgAf9/vJIKup_VT19PKzIf12XSnYepiCBoLj5N3jT.html
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [POINTER] C:\Program Files\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iHP-100] C:\Program Files\iRiver\iHP100\iHPDetect.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [FORD RECT] C:\PROGRA~1\WINONL~1\Armyokay.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Prevx Home.lnk = C:\Program Files\PREVX\Prevx Home\SAGUI.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38052.5114467593
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D1BC292-89FA-4C48-AEF3-3B607B8F689F}: NameServer = 212.27.39.2 212.27.32.177
d'ailleur rien que pour l'installer j'ai galeré car il ne fonctionnais pas
enfin j'ai fait ce que je pensais etre bon
un SCAN ensuite FAST FIX de ce qu'il avasi trouver
en tout il en as trouvé 2
voila sinon a l'installation meme si elle avasi deconné il ma ouvert un fichier *.txt qui est le suivant
IMPORTANT HELP!!!
Thank you for using Adware Away. Before you use it,
please read the following statement carefully.
1. "Adware Away" is a product of FYJ Software Inc.
2. "Adware Away" is absolutely different from "NoAdware".
Adware Away is not only a malware removal program, but also a
diagnostic tool for Windows operating system. Our goals is to
target all hard-to-kill malwares. Many people get a solution
by Adware Away when they find their other anti-malware tools
can't help them.
Recently we found several hard-to-kill browser hijackers which
no other program can completely remove them except Adware Away.
If you choose Adware Away is for removing these malwares, you are
right, please exactly follow the instructions in our help page:
1. Remove about:blank hijacker
http://www.AdwareAway.com/aboutblank.htm
2. Remove ssearch.biz hijacker
http://www.AdwareAway.com/ssearchbiz.htm
3. Remove NewDotNet spyware
http://www.AdwareAway.com/newdotnet.htm
4. Remove huntbar adware
http://www.AdwareAway.com/huntbar.thm
5. Remove look2me hijacker
http://www.AdwareAway.com/look2me.htm
6. Other malware
http://www.AdwareAway.com
NOTE:
If you feel difficulty in removing malware from your computer,
we provide a customzing service which let us be able to customize
a removal tool for you, this customized removal tool will let
you remove all malwares by one click. What you need to do is
to submit your global scan log file to us:
1. Run Adware Away
2. Click 'Scan' to do a global scan
3. After it finishes, click 'Submit'
4. Fill in your name and email
5. Click 'Send by my email client'
6. Copy and paste all content to your email program
7. Send it to : submit@AdwareAway.com
Once we receive your log file, we will help you.
Thanks again.
Best Regards,
The Development team of Adware Away.
voila et dans ma base de registre l'adresse est tjs aussi bizzard et l'analyse de HijackThis.exe est tjs la meme
Logfile of HijackThis v1.97.7
Scan saved at 13:52:58, on 19/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Program Files\PREVX\Prevx Home\PXAgent.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\iRiver\iHP100\iHPDetect.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\PREVX\Prevx Home\SAGUI.exe
C:\Program Files\Soulseek\slsk.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.juvyxtznmjy.org/zaQuLAXMQKjnWpjU7apeQD8DgAf9/vJIKup_VT19PKzIf12XSnYepiCBoLj5N3jT.html
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [POINTER] C:\Program Files\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iHP-100] C:\Program Files\iRiver\iHP100\iHPDetect.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [FORD RECT] C:\PROGRA~1\WINONL~1\Armyokay.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Prevx Home.lnk = C:\Program Files\PREVX\Prevx Home\SAGUI.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38052.5114467593
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D1BC292-89FA-4C48-AEF3-3B607B8F689F}: NameServer = 212.27.39.2 212.27.32.177
salut j'ai trouver le lien pour telecharger regclean http://telecharger.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html
au debut tu va dans options / language choisi frensh pour le mettre en francais
ensuite va dans outils/ netoyage du registre / tout faire . laisse l'option crée une sauvegarde coché en sais jamais ;-)
avant de faire cette manip fait un scan sur ravantivirus je pense qu'il y 'a un trojan qui remet a chaque fois cette page de demarage apres l'analyse copie colle le raport ici. donc fait comme ceci :
Ajouté par balltrap34(27/05/2004 à 22:59 GMT+1)
salut
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.
Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.
on te diras quoi faire ensuite
@+++
au debut tu va dans options / language choisi frensh pour le mettre en francais
ensuite va dans outils/ netoyage du registre / tout faire . laisse l'option crée une sauvegarde coché en sais jamais ;-)
avant de faire cette manip fait un scan sur ravantivirus je pense qu'il y 'a un trojan qui remet a chaque fois cette page de demarage apres l'analyse copie colle le raport ici. donc fait comme ceci :
Ajouté par balltrap34(27/05/2004 à 22:59 GMT+1)
salut
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.
Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.
on te diras quoi faire ensuite
@+++
Ok merci la je fait le scan et apres j'utiliserais reg cleaner que j'avais deja mais merci quand meme
je vous tiens au courant
je vous tiens au courant
bonjour a tous,
c'est seulement pour vous dire que j'ai exactement le meme problème que je n'arrive pas a resoudre,, en activant teatimer (enfin le surveillant de spybot,) , j'ai un message de spybot toute les x minutes me disant que la clé SEARCHASSISTANT essaie d''étre changer ,et meme en choississant deny et se souvenir de la reponse , ca réapparait a chaque fois ,je veux bien modifier le registre en remettant la valeur ,mais cela n'expliques pas coment ce truc est résidant,,
merci pr avance , si vous trouvé la solution
c'est seulement pour vous dire que j'ai exactement le meme problème que je n'arrive pas a resoudre,, en activant teatimer (enfin le surveillant de spybot,) , j'ai un message de spybot toute les x minutes me disant que la clé SEARCHASSISTANT essaie d''étre changer ,et meme en choississant deny et se souvenir de la reponse , ca réapparait a chaque fois ,je veux bien modifier le registre en remettant la valeur ,mais cela n'expliques pas coment ce truc est résidant,,
merci pr avance , si vous trouvé la solution
salut christophe voila comment faire pour se debarasser de search assistant :
1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)
2. desactive ta restaraution (si ta le xp ) comme ceci :
clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique
ensuite va dans
poste de travaille / lecteur C/ programe files / suprime le dossier nomée "windowSA"
ensuite vide la corbeille
@++++++
1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)
2. desactive ta restaraution (si ta le xp ) comme ceci :
clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique
ensuite va dans
poste de travaille / lecteur C/ programe files / suprime le dossier nomée "windowSA"
ensuite vide la corbeille
@++++++
