A voir également:
- Plusieurs SVCHOST dans un log HijackThis ?
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Svchost - Guide
- Vpn no log - Guide
- Andie veut accéder à internet dans son nouveau logement - Forum Réseaux sociaux
- [Nouveau logement] RJ45 non fonctionnel pour internet - Forum câblage
14 réponses
b'soir,
C:\WINDOWS\system32\svchost.exe <-- tt à fait normal d'avoir plusieurs svchost en route et pas seulement dans un log hijackthis
svchost.exe situé toujours dans system32 situé ailleurs = virus ou trojan -
http://www.faqxp.com/f/33.asp
Le processus svchost.exe (svchost signifiant Service Host Process) est un processus générique de Windows 2000/XP servant d'hôtes pour les autres processus dont le fonctionnement repose sur des librairies dynamiques (DLLs). Il existe ainsi autant d'entrées svchost qu'il y a de processus qui l'utilisent. ...
http://www.commentcamarche.net/processus/svchost-exe.php3
Internet explorer dans un log hijack est présent 2 fois :
*C:\windows\explorer.exe
*C:\Program Files\Internet Explorer\iexplore.exe <--si celui-ci se répète, c'est une probable infection et détournement de ta page de démarrage
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
C:\WINDOWS\system32\svchost.exe <-- tt à fait normal d'avoir plusieurs svchost en route et pas seulement dans un log hijackthis
svchost.exe situé toujours dans system32 situé ailleurs = virus ou trojan -
http://www.faqxp.com/f/33.asp
Le processus svchost.exe (svchost signifiant Service Host Process) est un processus générique de Windows 2000/XP servant d'hôtes pour les autres processus dont le fonctionnement repose sur des librairies dynamiques (DLLs). Il existe ainsi autant d'entrées svchost qu'il y a de processus qui l'utilisent. ...
http://www.commentcamarche.net/processus/svchost-exe.php3
Internet explorer dans un log hijack est présent 2 fois :
*C:\windows\explorer.exe
*C:\Program Files\Internet Explorer\iexplore.exe <--si celui-ci se répète, c'est une probable infection et détournement de ta page de démarrage
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
pi! grofox arrête le multi-posts please!!
http://www.commentcamarche.net/forum/affich-1270527-detourn-I-E-passe-Hijackthis-Adaware-amp-SpyBo#2005-02-01%2023%3A12%3A31
ton log hijack sur le post au-dessus est périmé (poil au nez!)
version 1.99
http://www.zebulon.fr/articles/HijackThis.php
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
http://www.commentcamarche.net/forum/affich-1270527-detourn-I-E-passe-Hijackthis-Adaware-amp-SpyBo#2005-02-01%2023%3A12%3A31
ton log hijack sur le post au-dessus est périmé (poil au nez!)
version 1.99
http://www.zebulon.fr/articles/HijackThis.php
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
ben moi j'en sais pas tant !
merci : clair net concis !
cependant , domage je n'ai pas iexplorer dans mon log HJT et je cherche desesperement comment me debarrasser d'une page ww qui se lance au boot . domage !
encore merci.
merci : clair net concis !
cependant , domage je n'ai pas iexplorer dans mon log HJT et je cherche desesperement comment me debarrasser d'une page ww qui se lance au boot . domage !
encore merci.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
cependant , domage je n'ai pas iexplorer dans mon log HJT et je cherche desesperement comment me debarrasser d'une page ww qui se lance au boot . domage ! <-- ben! voyons...n'importe quoi!!
un copié/collé de ton log de ton autre post
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE<--1 fois
C:\Program Files\Internet Explorer\IEXPLORE.EXE <--2 fois
donc? réponseuuuh!?? ..... ta page de démarrage est piratée! lol ^_^
un copié/collé de ton log de ton autre post
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE<--1 fois
C:\Program Files\Internet Explorer\IEXPLORE.EXE <--2 fois
donc? réponseuuuh!?? ..... ta page de démarrage est piratée! lol ^_^
contrairement a ce que j'ecris plus bas (sic !!) ,
J'AI
C:\Program Files\Internet Explorer\IEXPLORE.EXE
2 fois dans mon log HJT ! !
comment faire pour n'n avoir qu'1 ? (je suppose qu'en fermant le process en cours , il reapparaitra ?)
J'AI
C:\Program Files\Internet Explorer\IEXPLORE.EXE
2 fois dans mon log HJT ! !
comment faire pour n'n avoir qu'1 ? (je suppose qu'en fermant le process en cours , il reapparaitra ?)
va faire des conneries toi!!
poste ton log hijack ICI (ne crée pas un 3ème post...)
la version 1.99 me balance pas ta version périmée!!
@+
poste ton log hijack ICI (ne crée pas un 3ème post...)
la version 1.99 me balance pas ta version périmée!!
@+
oui chef !
(nb : on est plus dans le sujet du titre du post , mais bon comme j'suis pas au fait des usses&coutumes du forum...et pas tres doué en + ...)
bref : voici mon log :
Logfile of HijackThis v1.99.0
Scan saved at 23:41:30, on 01/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\recycler\mActivex.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\wuampd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\Office10\EXCEL.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\TEST\Mes documents\___SYNCHRO____\AAAA\hijackthis\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.voila.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = LE BON IE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [REGRUN] C:\recycler\mActivex.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Registration-Studio 8 SE.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c15.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
(nb : on est plus dans le sujet du titre du post , mais bon comme j'suis pas au fait des usses&coutumes du forum...et pas tres doué en + ...)
bref : voici mon log :
Logfile of HijackThis v1.99.0
Scan saved at 23:41:30, on 01/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\recycler\mActivex.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\wuampd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\Office10\EXCEL.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\TEST\Mes documents\___SYNCHRO____\AAAA\hijackthis\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.voila.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = LE BON IE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [REGRUN] C:\recycler\mActivex.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Registration-Studio 8 SE.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c15.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
1) tu fais les fix dans le log et 2) les suppressions
1) dans le log fixer
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = LE BON IE <--késako? c'est toi qui a mis ça?
pour les lignes 04
1) ctrl/alt/supp : arrêt des processus dans le gestionnaire des tâches
2) tu repasses sur le log et tu fixes (coches)
O4 - HKLM\..\Run: [REGRUN] C:\recycler\mActivex.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe (1)
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe (2)
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe (3)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http$$://static.windupdates.com/cab/CD.... <--worm!
après les fix -->options internet/onglet Général/Paramètres/afficher les objet<--regarde si tu trouves encore un activX avec ce n° : {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} <--clic droit/supprimer!
2) rechercher et supprimer
C:\recycler\mActivex.exe <-- RBOT WORM!
C:\WINDOWS\System32\wuampd.exe <--RBOT.UM WORM!.
FAIRE :
1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs
2) affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>[[!! coche!!]] "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>>[[ !!décoche!!]] la case "Masquer les fichiers protégés du système d'exploitation" *
3) passe en mode sans échec :
donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php
4) recherche et supprime
dans l'explorateur windows-->déplie (+) C--> recycler<-- situé ICI et C:-->WINDOWS-->SYSTEM32<--situé ICI
C:\recycler\--> supprime mActivex.exe
C:\WINDOWS\System32\--> supprime wuampd.exe
5) redémarre en mode normal - vide ton cache internet (options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)
6) réactive ta restauration système
*ferme TOUS les programmes
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
>>>R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = LE BON IE <--késako? c'est toi qui a mis ça?
heu ...oui en fait c'est moi .
avec Spybot . C'etait pour voir si la page www recalcitrante utilisait le meme IE que la page de demarrage "officielle" . (la question est suremlent idiote mais je savais plus a quel saint me vouer...)
je la remetrai comme avant (quoique ca fait du bien de plus voir "microsoft internt explorer" dans la barre bleue ...) .
heu ...oui en fait c'est moi .
avec Spybot . C'etait pour voir si la page www recalcitrante utilisait le meme IE que la page de demarrage "officielle" . (la question est suremlent idiote mais je savais plus a quel saint me vouer...)
je la remetrai comme avant (quoique ca fait du bien de plus voir "microsoft internt explorer" dans la barre bleue ...) .
Bon : merci BEAUCOUP de ta reponse . Ca fait tres pro ! (et sympa)
Je vais imprimer tout ca et m'y lancer (de jour) j'en ai bien pour 2 3 heures .
encore merci BEAUCOUP de ton aide .
Je vais imprimer tout ca et m'y lancer (de jour) j'en ai bien pour 2 3 heures .
encore merci BEAUCOUP de ton aide .
mais non! ça parait fastidieux mais ça ne l'est pas, la procédure pour les suppressions à l'air longue mais... elle est incontournable, n'attend pas sinon ton log va encore évoluer dans le mauvais sens, fait tout ça maintenant (éh! vi)
exemple : O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe (3)
ça va se répéter si tu tardes.... met ton ordi en veille alors, ne l'éteind pas - demain relance l'hijack, compare les 2 logs etc.... qd tu auras fais les fix tu reposteras un nouveau log
@+ je quitte pour ce souèr :-)
exemple : O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe (3)
ça va se répéter si tu tardes.... met ton ordi en veille alors, ne l'éteind pas - demain relance l'hijack, compare les 2 logs etc.... qd tu auras fais les fix tu reposteras un nouveau log
@+ je quitte pour ce souèr :-)
cher Dolly.dagger, je voulais te remercier encore ue fois : ca semble fonctionner car je n'ai plus cette page ww a la c... !
Mais comme je suis un mauvais eleve , j'ai pas pu faire toutes les manips indiquées . Voici un resumé :
( mes commentaires notés par ">>>>" )
pour les lignes 04
1) ctrl/alt/supp : arrêt des processus dans le gestionnaire des tâches
2) tu repasses sur le log et tu fixes (coches)
O4 - HKLM\..\Run: [REGRUN] C:\recycler\mActivex.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe (1)
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe (2)
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe (3)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http$$://static.windupdates.com/cab/CD.... <--worm!
>>> j'ai pas les processus AdmanCtl et 1seul wuampd sur les 3 .
>>> Par contre les 6 fixés .
regarde si tu trouves encore un activX...
{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}
clic droit/supprimer!
>>> j'en ai pas !
2) rechercher et supprimer
C:\recycler\mActivex.exe <-- RBOT WORM!
C:\WINDOWS\System32\wuampd.exe <--RBOT.UM WORM!.
>>> FAIT .
FAIRE :
1) désactive ta restauration système
>>> PAS FAIT ( dsl mais trop important pour moi , on m'a dit trop grave si prblm... )
2) affiche les dossiers cachés :
>>>OK
3) passe en mode sans échec :
>>> PAS FAIT car l'ordi bloque (?!?!?) reboot en normal apres frayeur de ma vie ...
4) recherche et supprime
C:\recycler\--> supprime mActivex.exe
C:\WINDOWS\System32\--> supprime wuampd.exe
>>> Mais ... il n'y en a plus puisque je les ai deja supprimés au >>> 2) !?!? donc j'ai vérifié et de fait ils n'y sont plus .
5) redémarre en mode normal -
>>> hum...
vide ton cache internet
vide la corbeille
effectue un nettoyage de disque
>>> FAIT.
6) réactive ta restauration système
>>> Hum ....
*ferme TOUS les programmes
*fixe les lignes trouvées dans l'hijack
>>> lesquelles ? celles de la liste en haut j'ai supposé .
>>> saperlipopette : wuampd est encore là 3 fois !!
*ferme l'hijack / reboot ton ordi /nettoie le cache internet ..... vide ta corbeille /effectue un nettoyage de disque .
>>> OUF !
>>> Ca marche!
>>> merci DD !
Mais comme je suis un mauvais eleve , j'ai pas pu faire toutes les manips indiquées . Voici un resumé :
( mes commentaires notés par ">>>>" )
pour les lignes 04
1) ctrl/alt/supp : arrêt des processus dans le gestionnaire des tâches
2) tu repasses sur le log et tu fixes (coches)
O4 - HKLM\..\Run: [REGRUN] C:\recycler\mActivex.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe (1)
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe (2)
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe (3)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http$$://static.windupdates.com/cab/CD.... <--worm!
>>> j'ai pas les processus AdmanCtl et 1seul wuampd sur les 3 .
>>> Par contre les 6 fixés .
regarde si tu trouves encore un activX...
{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}
clic droit/supprimer!
>>> j'en ai pas !
2) rechercher et supprimer
C:\recycler\mActivex.exe <-- RBOT WORM!
C:\WINDOWS\System32\wuampd.exe <--RBOT.UM WORM!.
>>> FAIT .
FAIRE :
1) désactive ta restauration système
>>> PAS FAIT ( dsl mais trop important pour moi , on m'a dit trop grave si prblm... )
2) affiche les dossiers cachés :
>>>OK
3) passe en mode sans échec :
>>> PAS FAIT car l'ordi bloque (?!?!?) reboot en normal apres frayeur de ma vie ...
4) recherche et supprime
C:\recycler\--> supprime mActivex.exe
C:\WINDOWS\System32\--> supprime wuampd.exe
>>> Mais ... il n'y en a plus puisque je les ai deja supprimés au >>> 2) !?!? donc j'ai vérifié et de fait ils n'y sont plus .
5) redémarre en mode normal -
>>> hum...
vide ton cache internet
vide la corbeille
effectue un nettoyage de disque
>>> FAIT.
6) réactive ta restauration système
>>> Hum ....
*ferme TOUS les programmes
*fixe les lignes trouvées dans l'hijack
>>> lesquelles ? celles de la liste en haut j'ai supposé .
>>> saperlipopette : wuampd est encore là 3 fois !!
*ferme l'hijack / reboot ton ordi /nettoie le cache internet ..... vide ta corbeille /effectue un nettoyage de disque .
>>> OUF !
>>> Ca marche!
>>> merci DD !
bueno,
la restauration système note que j'ai écris aussi :
1) désactive ta restauration système
6) réactive ta restauration système
windows risque de refuser la suppression d'un dossier si cette fonction au moment de la suppression d'un fichier est active et au reboot va s'acharner à restaurer ce fichier qu'il soit infecté ou pas, il s'en fout, son job c'est de restaurer.....
pour le mode sans échec/lit bien la procédure, il ne faut pas appuyer comme un "sourd" sur la touche F8 non plus sinon on se retrouve sur le boot, du doigté-du doigté....
tu devrais reposter un nouveau log hijack pour voir si tout est clean
@+
la restauration système note que j'ai écris aussi :
1) désactive ta restauration système
6) réactive ta restauration système
windows risque de refuser la suppression d'un dossier si cette fonction au moment de la suppression d'un fichier est active et au reboot va s'acharner à restaurer ce fichier qu'il soit infecté ou pas, il s'en fout, son job c'est de restaurer.....
pour le mode sans échec/lit bien la procédure, il ne faut pas appuyer comme un "sourd" sur la touche F8 non plus sinon on se retrouve sur le boot, du doigté-du doigté....
tu devrais reposter un nouveau log hijack pour voir si tout est clean
@+
