CWS.Searchx qui revient toujours!
Bidibull
-
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Salut @ tous,
Voilà, l'accés a certaines pages du net sont polluées par l'apparition d'une page "search for", c'est très desagréable!!! J'ai trouvé la solution pour enlever truc qui provoque ça: j'utilise CWShredder et il me trouve CWS.Searchx qu'il m'enleve aussitot. Mais voilà, je dois recommencer une demi douzaine de fois par jour!!!!! n'y-a-t-il pas un moyen de bloquer ce truc une bonne fois pour toute?
Aidez moi please, c'est très lourd!!!!
Merci d'avance :)
BidiBull
Voilà, l'accés a certaines pages du net sont polluées par l'apparition d'une page "search for", c'est très desagréable!!! J'ai trouvé la solution pour enlever truc qui provoque ça: j'utilise CWShredder et il me trouve CWS.Searchx qu'il m'enleve aussitot. Mais voilà, je dois recommencer une demi douzaine de fois par jour!!!!! n'y-a-t-il pas un moyen de bloquer ce truc une bonne fois pour toute?
Aidez moi please, c'est très lourd!!!!
Merci d'avance :)
BidiBull
A voir également:
- CWS.Searchx qui revient toujours!
- Moteur de recherche yahoo revient toujours ✓ - Forum Google Chrome
- L'image de ma tele se coupe et revient samsung ✓ - Forum TV & Vidéo
- Yahoo a pris pouvoir de Google comme de Firefoxe - Forum Virus
- Pourquoi yahoo revient toujours ✓ - Forum Réseaux sociaux
- Télé qui coupe au bout de 30mn - Forum TNT / Satellite / Réception
18 réponses
salut
Hijackthis : http://209.133.47.200/~merijn/files/ HijackThis.exe
http://pageperso.aol.fr/balltrap34/page%20virus.htm
Fais scan puis save log et colle le contenu du fichier texte qui s'affiche
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Hijackthis : http://209.133.47.200/~merijn/files/ HijackThis.exe
http://pageperso.aol.fr/balltrap34/page%20virus.htm
Fais scan puis save log et colle le contenu du fichier texte qui s'affiche
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Salut,
...voilà mon log:
Logfile of HijackThis v1.98.2
Scan saved at 22:00:54, on 25/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Documents and Settings\ARSYBE\Mes documents\Fichiers Téléchargés\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.voila.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {539C2583-732D-4796-957F-27BCACF8E835} - (no file)
O2 - BHO: (no name) - {593B57CD-75FB-4DDD-836C-AF8BCFE62638} - (no file)
O2 - BHO: (no name) - {AD153777-5056-A782-0C31-88AC0F7495C0} - C:\PROGRA~1\METAGR~1\Build hold.exe (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D92427B3-DE24-488D-A21C-68844CA40BBD} - (no file)
O2 - BHO: (no name) - {DA3B5E92-0C6C-4057-BB2E-ED5099559DDC} - C:\WINDOWS\system32\iaepdba.dll
O2 - BHO: (no name) - {DE79B460-BFAC-411F-9368-6BDBDDF860C5} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [Microsoft Update] mupdate.exe
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097133684125
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.157.152.82/AxisCamControl.ocx
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp01.photoprintit.de/1156/defaults/activex/XUpload.ocx
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FC65A2C-DC37-45CB-9E5E-46054F0FB364}: NameServer = 212.151.136.242 130.244.127.162
O18 - Filter: text/html - {E2DFA50C-AC8C-4A77-BCCB-36B4ADD04326} - C:\WINDOWS\system32\iaepdba.dll
O18 - Filter: text/plain - {E2DFA50C-AC8C-4A77-BCCB-36B4ADD04326} - C:\WINDOWS\system32\iaepdba.dll
....c'est du chinois pour moi tout ça, je vous laisse me guider,
Merci
;)
...voilà mon log:
Logfile of HijackThis v1.98.2
Scan saved at 22:00:54, on 25/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Documents and Settings\ARSYBE\Mes documents\Fichiers Téléchargés\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.voila.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {539C2583-732D-4796-957F-27BCACF8E835} - (no file)
O2 - BHO: (no name) - {593B57CD-75FB-4DDD-836C-AF8BCFE62638} - (no file)
O2 - BHO: (no name) - {AD153777-5056-A782-0C31-88AC0F7495C0} - C:\PROGRA~1\METAGR~1\Build hold.exe (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D92427B3-DE24-488D-A21C-68844CA40BBD} - (no file)
O2 - BHO: (no name) - {DA3B5E92-0C6C-4057-BB2E-ED5099559DDC} - C:\WINDOWS\system32\iaepdba.dll
O2 - BHO: (no name) - {DE79B460-BFAC-411F-9368-6BDBDDF860C5} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [Microsoft Update] mupdate.exe
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097133684125
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.157.152.82/AxisCamControl.ocx
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp01.photoprintit.de/1156/defaults/activex/XUpload.ocx
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FC65A2C-DC37-45CB-9E5E-46054F0FB364}: NameServer = 212.151.136.242 130.244.127.162
O18 - Filter: text/html - {E2DFA50C-AC8C-4A77-BCCB-36B4ADD04326} - C:\WINDOWS\system32\iaepdba.dll
O18 - Filter: text/plain - {E2DFA50C-AC8C-4A77-BCCB-36B4ADD04326} - C:\WINDOWS\system32\iaepdba.dll
....c'est du chinois pour moi tout ça, je vous laisse me guider,
Merci
;)
salut
je te conseil d utiliser spyboot et de bloquer ta page de demarrage avec
la chasse et le balltrap ma vrai passion
voir site perso dans profil
je te conseil d utiliser spyboot et de bloquer ta page de demarrage avec
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Ben ya pas qu'avec ma page de démarrage, mais aussi quand je vais sur yahoo.mail, puis aussi sur certains autres sites, c'est bizarre en fait :(
ma page d'accueil, c'est pas encore le plus important, mais le fait d'etre redirigé vers cette page des que je vais voir mes mails, ou des que j'arrive sur un site interessant, c'est frustrant!!!!
A vos suggestions...
ma page d'accueil, c'est pas encore le plus important, mais le fait d'etre redirigé vers cette page des que je vais voir mes mails, ou des que j'arrive sur un site interessant, c'est frustrant!!!!
A vos suggestions...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
re
tu as l analyse de ton log ici
http://hijackthis.de/logfiles/484d1bbfe297ef814ab549d9b260f879.html
relance hj coche et fix ce qui est en rouge
en mode sans echec recherche les exe des lignes rouge et les dll
et supprime les
ensuite refait un hj
la chasse et le balltrap ma vrai passion
voir site perso dans profil
tu as l analyse de ton log ici
http://hijackthis.de/logfiles/484d1bbfe297ef814ab549d9b260f879.html
relance hj coche et fix ce qui est en rouge
en mode sans echec recherche les exe des lignes rouge et les dll
et supprime les
ensuite refait un hj
la chasse et le balltrap ma vrai passion
voir site perso dans profil
re,
Donc, j'ai fait comme tu m'as dit: j'ai fixé tout ce qui était en rouge dans le rapport, puis j'ai redemarrer sans echec, mais impossible de trouver les dits fichiers pour les effacer manuellement! C'est surtout des cles de registre d'ailleur (enfin, je crois...). J'ai alors passé CWShredder, toujours en mode sans echec, puis ad-aware à jour, et j'ai redémarré après avoir vidé totalement la corbeille.
Apres quelques essais, il semble que cette fameuse page "search for" n'apparaisse plus, youpiiiiiiiii .... j'espere que ça va durer!!!! je vous tien au courant!!!!
Une petite question: suffirait-il alors de supprimer les fichiers nuisibles en mode sans echec pour empecher leur ré-apparition? et à quoi sert exactement le "fix checked" de HighJackThis?
Merci en tous cas pour m'avoir aidé balltrap34, c'est sympa ;)
@++
Donc, j'ai fait comme tu m'as dit: j'ai fixé tout ce qui était en rouge dans le rapport, puis j'ai redemarrer sans echec, mais impossible de trouver les dits fichiers pour les effacer manuellement! C'est surtout des cles de registre d'ailleur (enfin, je crois...). J'ai alors passé CWShredder, toujours en mode sans echec, puis ad-aware à jour, et j'ai redémarré après avoir vidé totalement la corbeille.
Apres quelques essais, il semble que cette fameuse page "search for" n'apparaisse plus, youpiiiiiiiii .... j'espere que ça va durer!!!! je vous tien au courant!!!!
Une petite question: suffirait-il alors de supprimer les fichiers nuisibles en mode sans echec pour empecher leur ré-apparition? et à quoi sert exactement le "fix checked" de HighJackThis?
Merci en tous cas pour m'avoir aidé balltrap34, c'est sympa ;)
@++
re
le fix sert a virer la ligne mais pas l executable
la chasse et le balltrap ma vrai passion
voir site perso dans profil
le fix sert a virer la ligne mais pas l executable
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Grrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrr!!!!
ça revient toujours cette satanée page search for!!! J'arrive à m'en debarrasser, mais que temporairement!! je cherche le moyen de bloquer la faille qui lui permet de toujours revenir sur mon disque dur!!! Please HELP!!!!!!
ça revient toujours cette satanée page search for!!! J'arrive à m'en debarrasser, mais que temporairement!! je cherche le moyen de bloquer la faille qui lui permet de toujours revenir sur mon disque dur!!! Please HELP!!!!!!
salut
on vas voir si une dll ou un services relance la chose
Télécharger ce petit programme qui nous donnera la liste
des services :
http://pageperso.aol.fr/balltrap34/page%20virus.htm
Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.
-------
ensuite celui ci
dllfix
http://pageperso.aol.fr/balltrap34/page%20virus.htm
-Pose-le sur le bureau.
-Double-clique.
-Décompresse-le sur le bureau.
-Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
-Une fois la recherche terminée, un fichier txt doit apparaître sous
le nom "Output.txt" et sera sauvegardé dans le dossier.
-Copie/colle le contenu de "Output.txt" dans ta réponse.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
on vas voir si une dll ou un services relance la chose
Télécharger ce petit programme qui nous donnera la liste
des services :
http://pageperso.aol.fr/balltrap34/page%20virus.htm
Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.
-------
ensuite celui ci
dllfix
http://pageperso.aol.fr/balltrap34/page%20virus.htm
-Pose-le sur le bureau.
-Double-clique.
-Décompresse-le sur le bureau.
-Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
-Une fois la recherche terminée, un fichier txt doit apparaître sous
le nom "Output.txt" et sera sauvegardé dans le dossier.
-Copie/colle le contenu de "Output.txt" dans ta réponse.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
d'abord merci pour ton aide,
alors voilà les rapports des 2 logs:
These are the Current Active Services:
SERVICE DE LA PASSERELLE DE LA COUCHE APPLICATION: ALG
C:\WINDOWS\System32\alg.exe
ATI HOTKEY POLLER: Ati HotKey Poller
C:\WINDOWS\System32\Ati2evxx.exe
AUDIO WINDOWS: AudioSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
EXPLORATEUR D'ORDINATEUR: Browser
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVICES DE CRYPTOGRAPHIE: CryptSvc
C:\WINDOWS\system32\svchost.exe -k netsvcs
CLIENT DHCP: Dhcp
C:\WINDOWS\System32\svchost.exe -k netsvcs
GESTIONNAIRE DE DISQUE LOGIQUE: dmserver
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVICE DE RAPPORT D'ERREURS: ERSvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
SYSTÈME D'ÉVÉNEMENTS DE COM+: EventSystem
C:\WINDOWS\System32\svchost.exe -k netsvcs
AIDE ET SUPPORT: helpsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVEUR: lanmanserver
C:\WINDOWS\System32\svchost.exe -k netsvcs
STATION DE TRAVAIL: lanmanworkstation
C:\WINDOWS\System32\svchost.exe -k netsvcs
CONNEXIONS RÉSEAU: Netman
C:\WINDOWS\System32\svchost.exe -k netsvcs
NLA (NETWORK LOCATION AWARENESS): Nla
C:\WINDOWS\System32\svchost.exe -k netsvcs
GESTIONNAIRE DE CONNEXIONS D'ACCÈS DISTANT: RasMan
C:\WINDOWS\System32\svchost.exe -k netsvcs
PLANIFICATEUR DE TÂCHES: Schedule
C:\WINDOWS\System32\svchost.exe -k netsvcs
CONNEXION SECONDAIRE: seclogon
C:\WINDOWS\System32\svchost.exe -k netsvcs
NOTIFICATION D'ÉVÉNEMENT SYSTÈME: SENS
C:\WINDOWS\system32\svchost.exe -k netsvcs
PARE-FEU WINDOWS / PARTAGE DE CONNEXION INTERNET: SharedAccess
C:\WINDOWS\System32\svchost.exe -k netsvcs
DÉTECTION MATÉRIEL NOYAU: ShellHWDetection
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVICE DE RESTAURATION SYSTÈME: srservice
C:\WINDOWS\System32\svchost.exe -k netsvcs
TÉLÉPHONIE: TapiSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
THÈMES: Themes
C:\WINDOWS\System32\svchost.exe -k netsvcs
CLIENT DE SUIVI DE LIEN DISTRIBUÉ: TrkWks
C:\WINDOWS\system32\svchost.exe -k netsvcs
HORLOGE WINDOWS: W32Time
C:\WINDOWS\System32\svchost.exe -k netsvcs
INFRASTRUCTURE DE GESTION WINDOWS: winmgmt
C:\WINDOWS\system32\svchost.exe -k netsvcs
CENTRE DE SÉCURITÉ: wscsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
MISES À JOUR AUTOMATIQUES: wuauserv
C:\WINDOWS\system32\svchost.exe -k netsvcs
CONFIGURATION AUTOMATIQUE SANS FIL: WZCSVC
C:\WINDOWS\System32\svchost.exe -k netsvcs
C-DILLACDAC11BA: C-DillaCdaC11BA
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
SYMANTEC EVENT MANAGER: ccEvtMgr
"C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
SYMANTEC SETTINGS MANAGER: ccSetMgr
"C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"
LANCEUR DE PROCESSUS SERVEUR DCOM: DcomLaunch
C:\WINDOWS\system32\svchost -k DcomLaunch
SERVICES TERMINAL SERVER: TermService
C:\WINDOWS\System32\svchost -k DComLaunch
CLIENT DNS: Dnscache
C:\WINDOWS\System32\svchost.exe -k NetworkService
JOURNAL DES ÉVÉNEMENTS: Eventlog
C:\WINDOWS\system32\services.exe
PLUG-AND-PLAY: PlugPlay
C:\WINDOWS\system32\services.exe
INCD FILE SYSTEM SERVICE: InCDsrv
C:\Program Files\Ahead\InCD\InCDsrv.exe
ASSISTANCE TCP/IP NETBIOS: LmHosts
C:\WINDOWS\System32\svchost.exe -k LocalService
ACCÈS À DISTANCE AU REGISTRE: RemoteRegistry
C:\WINDOWS\system32\svchost.exe -k LocalService
SERVICE DE DÉCOUVERTES SSDP: SSDPSRV
C:\WINDOWS\System32\svchost.exe -k LocalService
WEBCLIENT: WebClient
C:\WINDOWS\System32\svchost.exe -k LocalService
SERVICE NORTON ANTIVIRUS AUTO-PROTECT: navapsvc
"C:\Program Files\Norton AntiVirus\navapsvc.exe"
NORTON UNERASE PROTECTION: NProtectService
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
SERVICES IPSEC: PolicyAgent
C:\WINDOWS\System32\lsass.exe
EMPLACEMENT PROTÉGÉ: ProtectedStorage
C:\WINDOWS\system32\lsass.exe
GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSs
C:\WINDOWS\system32\lsass.exe
APPEL DE PROCÉDURE DISTANTE (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss
SAVSCAN: SAVScan
"C:\Program Files\Norton AntiVirus\SAVScan.exe"
SOUNDMAX AGENT SERVICE: SoundMAX Agent Service (default)
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
SPOULEUR D'IMPRESSION: Spooler
C:\WINDOWS\system32\spoolsv.exe
ACQUISITION D'IMAGE WINDOWS (WIA): stisvc
C:\WINDOWS\System32\svchost.exe -k imgsvc
SYMWMI SERVICE: SymWSC
"C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe"
TRUEVECTOR INTERNET MONITOR: vsmon
C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
et le deuxieme:
ya eu des chtites erreur pendant la recherche, du genre:
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\SYSTEM32\AUTOEXEC.NT. Le fichier systeme ne convient pas a l'execution des applications MS-DOS ou Microsoft Windows. Choisissez "fermer" pour mettre fin à l'application
, puis voilà 'output":
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
30/10/2004
14:29
System Info:
Microsoft Windows XP [version 5.1.2600]
C: "" (7497:AEF5) - FS:NTFS clusters:4k
Total: 122 926 776 320 [114G] - Free: 50 566 160 384 [47G]
*IE version and Service packs:
6.0.2900.2180 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.2180 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.3250 C:\Program Files\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP2;
Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
Scanning for main Hijacker:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{539C2583-732D-4796-957F-27BCACF8E835}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{593B57CD-75FB-4DDD-836C-AF8BCFE62638}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AD153777-5056-A782-0C31-88AC0F7495C0}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D92427B3-DE24-488D-A21C-68844CA40BBD}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D9E16C50-DA2C-4511-95B9-2CBC396E3952}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DE79B460-BFAC-411F-9368-6BDBDDF860C5}]
REGEDIT4
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{5CB59584-4540-4ED1-824E-84D9B06F8FBD}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{5CB59584-4540-4ED1-824E-84D9B06F8FBD}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ
*Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read BUILTIN\Utilisateurs
(IO) ALLOW Read BUILTIN\Utilisateurs
(NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access BUILTIN\Administrateurs
(NI) ALLOW Full access AUTORITE NT\SYSTEM
(IO) ALLOW Full access AUTORITE NT\SYSTEM
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access CREATEUR PROPRIETAIRE
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Read BUILTIN\Utilisateurs avec pouvoir
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM
voilà, bonne chance! ;)
alors voilà les rapports des 2 logs:
These are the Current Active Services:
SERVICE DE LA PASSERELLE DE LA COUCHE APPLICATION: ALG
C:\WINDOWS\System32\alg.exe
ATI HOTKEY POLLER: Ati HotKey Poller
C:\WINDOWS\System32\Ati2evxx.exe
AUDIO WINDOWS: AudioSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
EXPLORATEUR D'ORDINATEUR: Browser
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVICES DE CRYPTOGRAPHIE: CryptSvc
C:\WINDOWS\system32\svchost.exe -k netsvcs
CLIENT DHCP: Dhcp
C:\WINDOWS\System32\svchost.exe -k netsvcs
GESTIONNAIRE DE DISQUE LOGIQUE: dmserver
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVICE DE RAPPORT D'ERREURS: ERSvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
SYSTÈME D'ÉVÉNEMENTS DE COM+: EventSystem
C:\WINDOWS\System32\svchost.exe -k netsvcs
AIDE ET SUPPORT: helpsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVEUR: lanmanserver
C:\WINDOWS\System32\svchost.exe -k netsvcs
STATION DE TRAVAIL: lanmanworkstation
C:\WINDOWS\System32\svchost.exe -k netsvcs
CONNEXIONS RÉSEAU: Netman
C:\WINDOWS\System32\svchost.exe -k netsvcs
NLA (NETWORK LOCATION AWARENESS): Nla
C:\WINDOWS\System32\svchost.exe -k netsvcs
GESTIONNAIRE DE CONNEXIONS D'ACCÈS DISTANT: RasMan
C:\WINDOWS\System32\svchost.exe -k netsvcs
PLANIFICATEUR DE TÂCHES: Schedule
C:\WINDOWS\System32\svchost.exe -k netsvcs
CONNEXION SECONDAIRE: seclogon
C:\WINDOWS\System32\svchost.exe -k netsvcs
NOTIFICATION D'ÉVÉNEMENT SYSTÈME: SENS
C:\WINDOWS\system32\svchost.exe -k netsvcs
PARE-FEU WINDOWS / PARTAGE DE CONNEXION INTERNET: SharedAccess
C:\WINDOWS\System32\svchost.exe -k netsvcs
DÉTECTION MATÉRIEL NOYAU: ShellHWDetection
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVICE DE RESTAURATION SYSTÈME: srservice
C:\WINDOWS\System32\svchost.exe -k netsvcs
TÉLÉPHONIE: TapiSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
THÈMES: Themes
C:\WINDOWS\System32\svchost.exe -k netsvcs
CLIENT DE SUIVI DE LIEN DISTRIBUÉ: TrkWks
C:\WINDOWS\system32\svchost.exe -k netsvcs
HORLOGE WINDOWS: W32Time
C:\WINDOWS\System32\svchost.exe -k netsvcs
INFRASTRUCTURE DE GESTION WINDOWS: winmgmt
C:\WINDOWS\system32\svchost.exe -k netsvcs
CENTRE DE SÉCURITÉ: wscsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
MISES À JOUR AUTOMATIQUES: wuauserv
C:\WINDOWS\system32\svchost.exe -k netsvcs
CONFIGURATION AUTOMATIQUE SANS FIL: WZCSVC
C:\WINDOWS\System32\svchost.exe -k netsvcs
C-DILLACDAC11BA: C-DillaCdaC11BA
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
SYMANTEC EVENT MANAGER: ccEvtMgr
"C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
SYMANTEC SETTINGS MANAGER: ccSetMgr
"C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"
LANCEUR DE PROCESSUS SERVEUR DCOM: DcomLaunch
C:\WINDOWS\system32\svchost -k DcomLaunch
SERVICES TERMINAL SERVER: TermService
C:\WINDOWS\System32\svchost -k DComLaunch
CLIENT DNS: Dnscache
C:\WINDOWS\System32\svchost.exe -k NetworkService
JOURNAL DES ÉVÉNEMENTS: Eventlog
C:\WINDOWS\system32\services.exe
PLUG-AND-PLAY: PlugPlay
C:\WINDOWS\system32\services.exe
INCD FILE SYSTEM SERVICE: InCDsrv
C:\Program Files\Ahead\InCD\InCDsrv.exe
ASSISTANCE TCP/IP NETBIOS: LmHosts
C:\WINDOWS\System32\svchost.exe -k LocalService
ACCÈS À DISTANCE AU REGISTRE: RemoteRegistry
C:\WINDOWS\system32\svchost.exe -k LocalService
SERVICE DE DÉCOUVERTES SSDP: SSDPSRV
C:\WINDOWS\System32\svchost.exe -k LocalService
WEBCLIENT: WebClient
C:\WINDOWS\System32\svchost.exe -k LocalService
SERVICE NORTON ANTIVIRUS AUTO-PROTECT: navapsvc
"C:\Program Files\Norton AntiVirus\navapsvc.exe"
NORTON UNERASE PROTECTION: NProtectService
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
SERVICES IPSEC: PolicyAgent
C:\WINDOWS\System32\lsass.exe
EMPLACEMENT PROTÉGÉ: ProtectedStorage
C:\WINDOWS\system32\lsass.exe
GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSs
C:\WINDOWS\system32\lsass.exe
APPEL DE PROCÉDURE DISTANTE (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss
SAVSCAN: SAVScan
"C:\Program Files\Norton AntiVirus\SAVScan.exe"
SOUNDMAX AGENT SERVICE: SoundMAX Agent Service (default)
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
SPOULEUR D'IMPRESSION: Spooler
C:\WINDOWS\system32\spoolsv.exe
ACQUISITION D'IMAGE WINDOWS (WIA): stisvc
C:\WINDOWS\System32\svchost.exe -k imgsvc
SYMWMI SERVICE: SymWSC
"C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe"
TRUEVECTOR INTERNET MONITOR: vsmon
C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
et le deuxieme:
ya eu des chtites erreur pendant la recherche, du genre:
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\SYSTEM32\AUTOEXEC.NT. Le fichier systeme ne convient pas a l'execution des applications MS-DOS ou Microsoft Windows. Choisissez "fermer" pour mettre fin à l'application
, puis voilà 'output":
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
30/10/2004
14:29
System Info:
Microsoft Windows XP [version 5.1.2600]
C: "" (7497:AEF5) - FS:NTFS clusters:4k
Total: 122 926 776 320 [114G] - Free: 50 566 160 384 [47G]
*IE version and Service packs:
6.0.2900.2180 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.2180 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.3250 C:\Program Files\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP2;
Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
Scanning for main Hijacker:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{539C2583-732D-4796-957F-27BCACF8E835}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{593B57CD-75FB-4DDD-836C-AF8BCFE62638}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AD153777-5056-A782-0C31-88AC0F7495C0}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D92427B3-DE24-488D-A21C-68844CA40BBD}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D9E16C50-DA2C-4511-95B9-2CBC396E3952}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DE79B460-BFAC-411F-9368-6BDBDDF860C5}]
REGEDIT4
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{5CB59584-4540-4ED1-824E-84D9B06F8FBD}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{5CB59584-4540-4ED1-824E-84D9B06F8FBD}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ
*Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read BUILTIN\Utilisateurs
(IO) ALLOW Read BUILTIN\Utilisateurs
(NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access BUILTIN\Administrateurs
(NI) ALLOW Full access AUTORITE NT\SYSTEM
(IO) ALLOW Full access AUTORITE NT\SYSTEM
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access CREATEUR PROPRIETAIRE
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Read BUILTIN\Utilisateurs avec pouvoir
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM
voilà, bonne chance! ;)
bon apparament rien refait un hj et met le rapport
(ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm
la chasse et le balltrap ma vrai passion
voir site perso dans profil
(ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm
la chasse et le balltrap ma vrai passion
voir site perso dans profil
voilà:
Logfile of HijackThis v1.98.2
Scan saved at 14:33:54, on 02/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Alfascript V2.52\alfascript.exe
C:\Program Files\Quizz2\WQuizz.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\ARSYBE\Mes documents\Fichiers Téléchargés\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.voila.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {539C2583-732D-4796-957F-27BCACF8E835} - (no file)
O2 - BHO: (no name) - {593B57CD-75FB-4DDD-836C-AF8BCFE62638} - (no file)
O2 - BHO: (no name) - {AD153777-5056-A782-0C31-88AC0F7495C0} - C:\PROGRA~1\METAGR~1\Build hold.exe (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D92427B3-DE24-488D-A21C-68844CA40BBD} - (no file)
O2 - BHO: (no name) - {DE79B460-BFAC-411F-9368-6BDBDDF860C5} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097133684125
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.157.152.82/AxisCamControl.ocx
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp01.photoprintit.de/1156/defaults/activex/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FC65A2C-DC37-45CB-9E5E-46054F0FB364}: NameServer = 212.151.136.242 130.244.127.162
merci^^
@++
Logfile of HijackThis v1.98.2
Scan saved at 14:33:54, on 02/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Alfascript V2.52\alfascript.exe
C:\Program Files\Quizz2\WQuizz.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\ARSYBE\Mes documents\Fichiers Téléchargés\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.voila.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {539C2583-732D-4796-957F-27BCACF8E835} - (no file)
O2 - BHO: (no name) - {593B57CD-75FB-4DDD-836C-AF8BCFE62638} - (no file)
O2 - BHO: (no name) - {AD153777-5056-A782-0C31-88AC0F7495C0} - C:\PROGRA~1\METAGR~1\Build hold.exe (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D92427B3-DE24-488D-A21C-68844CA40BBD} - (no file)
O2 - BHO: (no name) - {DE79B460-BFAC-411F-9368-6BDBDDF860C5} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097133684125
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.157.152.82/AxisCamControl.ocx
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp01.photoprintit.de/1156/defaults/activex/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FC65A2C-DC37-45CB-9E5E-46054F0FB364}: NameServer = 212.151.136.242 130.244.127.162
merci^^
@++
hello!
pas encore là Balltrap, ce soir ou ? ^_^
tu peux fixer ces lignes ou attendre le retour de Balltrap ; tu n'as rien de particulièrement virulents dans ton log -?- tu as quelles sortes de problèmes en ce moment??
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
(attention! 4 entrèes, fixe-les toutes)
O2 - BHO: (no name) - {539C2583-732D-4796-957F-27BCACF8E835} - (no file)
O2 - BHO: (no name) - {593B57CD-75FB-4DDD-836C-AF8BCFE62638} - (no file)
O2 - BHO: (no name) - {D92427B3-DE24-488D-A21C-68844CA40BBD} - (no file)
O2 - BHO: (no name) - {DE79B460-BFAC-411F-9368-6BDBDDF860C5} - (no file)
fixe toutes les 016 pour faire du ménage
O2 - BHO: (no name) -
{AD153777-5056-A782-0C31-88AC0F7495C0} - C:\PROGRA~1\METAGR~1\Build hold.exe (file missing) <-- ?? tu reconnais ce soft?
c'est tout @+
Coucou spécial à Balltrap ^_^
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
pas encore là Balltrap, ce soir ou ? ^_^
tu peux fixer ces lignes ou attendre le retour de Balltrap ; tu n'as rien de particulièrement virulents dans ton log -?- tu as quelles sortes de problèmes en ce moment??
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
(attention! 4 entrèes, fixe-les toutes)
O2 - BHO: (no name) - {539C2583-732D-4796-957F-27BCACF8E835} - (no file)
O2 - BHO: (no name) - {593B57CD-75FB-4DDD-836C-AF8BCFE62638} - (no file)
O2 - BHO: (no name) - {D92427B3-DE24-488D-A21C-68844CA40BBD} - (no file)
O2 - BHO: (no name) - {DE79B460-BFAC-411F-9368-6BDBDDF860C5} - (no file)
fixe toutes les 016 pour faire du ménage
O2 - BHO: (no name) -
{AD153777-5056-A782-0C31-88AC0F7495C0} - C:\PROGRA~1\METAGR~1\Build hold.exe (file missing) <-- ?? tu reconnais ce soft?
c'est tout @+
Coucou spécial à Balltrap ^_^
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
hello!
pas encore là Balltrap, ce soir ou ? ^_^
tu peux fixer ces lignes ou attendre le retour de Balltrap ; tu n'as rien de particulièrement virulents dans ton log -?- tu as quelles sortes de problèmes en ce moment??
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
(attention! 4 entrèes, fixe-les toutes)
O2 - BHO: (no name) - {539C2583-732D-4796-957F-27BCACF8E835} - (no file)
O2 - BHO: (no name) - {593B57CD-75FB-4DDD-836C-AF8BCFE62638} - (no file)
O2 - BHO: (no name) - {D92427B3-DE24-488D-A21C-68844CA40BBD} - (no file)
O2 - BHO: (no name) - {DE79B460-BFAC-411F-9368-6BDBDDF860C5} - (no file)
fixe toutes les 016 pour faire du ménage
O2 - BHO: (no name) -
{AD153777-5056-A782-0C31-88AC0F7495C0} - C:\PROGRA~1\METAGR~1\Build hold.exe (file missing) <-- ?? tu reconnais ce soft?
c'est tout @+
Coucou spécial à Balltrap ^_^
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
pas encore là Balltrap, ce soir ou ? ^_^
tu peux fixer ces lignes ou attendre le retour de Balltrap ; tu n'as rien de particulièrement virulents dans ton log -?- tu as quelles sortes de problèmes en ce moment??
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
(attention! 4 entrèes, fixe-les toutes)
O2 - BHO: (no name) - {539C2583-732D-4796-957F-27BCACF8E835} - (no file)
O2 - BHO: (no name) - {593B57CD-75FB-4DDD-836C-AF8BCFE62638} - (no file)
O2 - BHO: (no name) - {D92427B3-DE24-488D-A21C-68844CA40BBD} - (no file)
O2 - BHO: (no name) - {DE79B460-BFAC-411F-9368-6BDBDDF860C5} - (no file)
fixe toutes les 016 pour faire du ménage
O2 - BHO: (no name) -
{AD153777-5056-A782-0C31-88AC0F7495C0} - C:\PROGRA~1\METAGR~1\Build hold.exe (file missing) <-- ?? tu reconnais ce soft?
c'est tout @+
Coucou spécial à Balltrap ^_^
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
