Help ! Fermé

Question

Bonjour tout le monde,

Les spyware ont encore envahi mon ordi sous Windows XP.

Habitué, j'ai tout ratissé au Spybot, Ad Aware, Hijack et Shredder et ca a beaucoup amélioré les choses.

Malgré tout, il reste dans le log Hijack quelques lignes impossibles à "fixer".

Les voilà :
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvwrd32.exe
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

Comment puis-je me débarrasser de ces saloperies ?

Merci beaucoup

Fisherprice · Answer

Salut!la moitié c'est pas des spyware...normale que tu n'arrive pas a les fixer...    ^^@+____________________________________________________________~-[=====> "L'amour est un égoïsme à deux..." <=====]-~

moe · Answer

salut flvMet ton log en entier sinon ca va etre difficile de te voir tout ce qu'il faut supprimer.a+

FLV · Answer

Merci Moe ! :-)Le voilà : Logfile of HijackThis v1.97.7Scan saved at 11:15:34, on 05/02/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\CTsvcCDA.EXEC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\WINDOWS\System32\P2P Networking\P2P Networking.exeC:\WINDOWS\isrvs\desktop.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeC:\Documents and Settings\François\Bureau\HijackThis.exeC:\WINDOWS\isrvs\desktop.exeC:\Program Files\Internet Explorer\iexplore.exeO2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dllO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTARTO4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exeO4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exeO4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvwrd32.exeO9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)O15 - Trusted Zone: *.finefind.nettraffic2cash.bizIndices : -Le fichier "isrvs " est bien un intrus : j'ai vérifié son contenu  sous mon c/ et il  refuse déséspéremment d'aller à la poubelle.-J'ai toujours une barre de recherche "search the web" sur mon bureau !

moe · Answer

retelecharge la nouvelle version 1.99 d'hijackthis ici (plus complete):http://telechargement.zebulon.fr/138-HijackThis-1.99.htmlet reposte un log .

moe · Answer

Salut Démarre en mode sans echec: redemarrer l'ordinateur et appuyer plusieurs fois sur F8 Termine les processus douteux: Ouvrir le gestionnaire des taches: CTRL+ALT+SUPPR Clic-droit sur le processus et choisir terminer le processus. Termine: C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\WINDOWS\isrvs\desktop.exe Fixe avec hijackthis: cocher au début de chaques lignes valider avec fix checked R3 - Default URLSearchHook is missing O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvwrd32.exe O15 - Trusted Zone: *.finefind.nettraffic2cash.biz O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file) O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\ipyd.exe Avant de supprimer les fichiers douteux: - Afficher les dossiers cachés et fichiers système: panneau de configuration > options des dossiers > onglet affichage cocher " afficher les fichiers et dossiers cachés " décocher " masquer les extentions des fichiers dont le type est connu décocher " masquer les fichiers protégés du système" clic sur demarrer>rechercher dans les options avancées, vérifier que: rechercher dans les dossiers systeme, dans les fichiers et dossiers cachés, dans les sous-dossiers soient cochés. Supprimer (si présent): C:\WINDOWS\System32\P2P Networking <= dossier en entier C:\WINDOWS\isrvs <= dossier entier C:\windows\system32\kalvwrd32.exe C:\WINDOWS\system32\ipyd.exe Redemarrer et refaire un scan hijack pour vérifier si tout et ok recocher " masquer les fichiers protégés du système" dans les options des dossiers. a+

FLV · Answer

OK, j'essaie tout ca et je te tiens au courant sur ce forum.Merci, pour tout moe !

FLV · Answer

hello moe,Voici le dernier log depuis que j'ai effectué les manip que tu m'as préconisées : Logfile of HijackThis v1.99.0Scan saved at 13:19:23, on 05/02/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\CTsvcCDA.EXEC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\WINDOWS\System32	askmgr.exeC:\Documents and Settings\François\Bureau\HijackThis.exeO2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dllO2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dllO3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dllO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exeO4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exeO4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvwrd32.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO15 - Trusted Zone: *.finefind.nettraffic2cash.bizO18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXEO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: PCTEL Speaker Phone - Unknown - C:\WINDOWS\system32\pctspk.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exeA NOTER : La barre "search the web" disparait bien une fois la manip des processus douteux réalisée. Elle réapparait cependant après un redémarrage.

Utilisateur anonyme · Answer

saluten mode sans echeccocher et fixer ces lignesO2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll 	O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dllO3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dllO4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exeO4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvwrd32.exeO15 - Trusted Zone: *.finefind.nettraffic2cash.bizO18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file) ensuite rechercher les exe et dll en gras et les supprimer.......

FLV · Answer

SI CA PEUT T'AIDER : Tous les fichiers correspondants à cette merde de barre de tâche sont visibles sous mon C: mais imposs de les supprimer :"impossible de supprimer desktop.exe : accès refusé  Vérifiez que le disque n'est pas plein ou protégé en écritue et que     le fichier n'est pas utilisé actuellement."

Teddy-Bear · Answer

Bonjourvire aussi ffisearch.exe   (iSearch "Desktop Search" hijacker)sur le lien suivant:http://tasklist.org/downloadscanner.php?id=1048962

FLV · Answer

Je dois être un boulet mais Keske le mode "Sans échec".Peux-tu me décrire précisemment comment on l'active ?Ca doit venir de là parce que sinon je fais bien tout ce que tu me conseilles mais il m'est impossible de supprimer les fichiers correspondants. Tjrs le même messsage d'erreur : impossible de supprimer desktop.exe : accès refusé Vérifiez que le disque n'est pas plein ou protégé en écritue et que le fichier n'est pas utilisé actuellement."Merci.

Utilisateur anonyme · Answer

Non tu n'es pas un boulet mais tu vas trop viteAjouté par moe (05/02/2005 à 12:52 GMT+1) SalutDémarre en mode sans echec:redemarrer l'ordinateur et appuyer plusieurs fois sur F8 c'est pour cela que tu n'arrives pas a supprimer les fichiers .....une fois fait reprends la procedure du post 10 ......

flv · Answer

Apuyyer sur F8 plusieurs fois OK mais à quel moment ?Au redémarrage ?Une fois le bureau affiché ?Ke se passera-t-il une fois que j'aurais appuyé ?On m'indiquera que je suis passé en mode "sans échec ?Merci Moe

Utilisateur anonyme · Answer

presser F8 des l'allumage du pc/ il te sera proposé plusieurs sortes de demarrages/tu prend le mode sans echec avec les fleches haut_bas du clavier /et tu valides par "entrée".....et tu y es....

flv · Answer

J'appuie sur F8 juste après avoir appuyé sur le bouton d'allumage du PC mais rien de ce que tu me dis ne se produit.Y-a-t -il une autre soluce pour passer en mode "sans échec "?

moe · Answer

salutessaye comme ceci:Cliquez sur Démarrer, puis sur Exécutertapez msconfig puis cliquez sur OKchoisis l'onglet boot.iniSélectionnez l'option "/SAFEBOOT"repond oui a tout les messagesune boite de dialogue va te demander si tu veux redemarrer. une fois les manips faites avec hijack tu refais demarrer executer, msconfig, onglet boot.ini et tu DECOCHE "/SAFEBOOT"a+

Utilisateur anonyme · Answer

ou encore>>demarrer/executer/tapes msconfig/coches demarrer en mode diagnostic/valides /rebootes.....

flv · Answer

Autant pour moi : La méthode du F8 fonctionne : j'ai réussi à supprimer les fichiers et la barre ne parait plus au démarrage. Tout parait OK pour la partie visible et la circulation internet mais hijack signale toujours les mêmes merdes.Je vais maintenant essayé de me débrouiller pour que le log n'affiche plus tous ces parasites.MERCI A TOUS POUR VOTRE PRECIEUSE AIDE !!C'EST VRAIMENT SUPER D'ACCORDER UN PEU DE VOTRE TEMPS LIBRE AUX NOOBS !!!

moe · Answer

reposte un log pour finir de nettoyer.

flv · Answer

Voilà le dernier log : (TOUT EST OK POURTANT AU NIVEAU DE MON PC ! )C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\CTsvcCDA.EXEC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Outlook Express\msimn.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\François\Bureau\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing)O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exeO4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exeO4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvwrd32.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO15 - Trusted Zone: *.finefind.nettraffic2cash.bizO17 - HKLM\System\CCS\Services\Tcpip\..\{BDD2C30E-309C-4ED7-AD8F-E230F71D3B40}: NameServer = 80.10.246.1 80.10.246.132O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXEO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: PCTEL Speaker Phone - Unknown - C:\WINDOWS\system32\pctspk.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

moe · Answer

salut

il en reste encore

1- Démarre en mode sans echec (important):
redemarrer l'ordinateur et appuyer plusieurs fois sur F8

2- Termine les processus douteux:
Ouvrir le gestionnaire des taches: CTRL+ALT+SUPPR
Clic-droit sur le processus et choisir terminer le processus.

Termine si présent:
desktop.exe
ffisearch.exe
kalvwrd32.exe

4- Fixe :
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing)
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvwrd32.exe
O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

5- Avant de supprimer les fichiers douteux:

- Afficher les dossiers cachés et fichiers système:
panneau de configuration > options des dossiers > onglet affichage

cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"

Supprimer:

desktop.exe
ffisearch.exe
kalvwrd32.exe
C:\WINDOWS\isrvs <=le dossier

Redemarrer et reposte un log pour vérifier si tout et ok
recocher " masquer les fichiers protégés du système" dans les options des dossiers

anthémys · Answer

j'ai eu isrvs, comme tu la dit les spyware ne peuvent rien faire, que sa soit spybot ou un autre, il est impossible de l éffacé, ya une solution qui est sur a 100% celà n enlèvra pas les clefs :

HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\windows\currentsearch\run deskop search HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\windows\currentsearch\run ffisearch

ces lignes permettent de lancer les setups au démarrage de windows
mais elles aussi demeurent impossible à éffacer, vous pouvez toujour aller les voir dans démarrer, Executer tapé : regedit
ou alors vous pouvez les regardé Executer taper msconfig, vou pourré sélectioné les programme que vous souhaité lancer au démarrage de votre windows mais la encor bien qu el on puisse décoché les case de deskop et ffisearch elle ce recocheron comme par magie au prochain démarrage

doncccccccc

ya une solution heureusement, mais pour cela il vous fau un deuxième disc dur,si vous en avez un c cool sinon aller chez un pote ( il chopera pas isrvs vous en faite pas)
vous mettez votre disc en slave, l'autre disc dur en master, conclusion c le windows du disc en master qui va ce lancer, et la vous pourré tranquillement aller sur votre disc rentré dans windows\isrv et suprimé ce dossier, par contre je ne sais pas commen on fai pour allé dans les clé du registre.. a partir d'un autre disc... mais bon

Betty2005 · Answer

BonjourJ'ai lu le message précédant concernant HIJACK THIS et j'ai décidé de le télécharger à mon tour. Ayant fait plusieurs scans déjà avec AVAST antivirus, SPYBOTS, AD-AWARE SE et bien d'autres, mon ordinateur est toujours plus lent qu'à l'habitude. J'aurais une question: "À quelle fréquence doit-on activer HIJACK THIS et, pour une analyse détaillée, l'insérer dans notre message"?. J'imagine qu'il faut être expert pour comprendre ce "charabia"? Maintenant, j'ai fait ce que vous aviez suggéré précédemment et je m'apprête à faire ce copier-coller. Merci de votre analyse Betty2005 Logfile of HijackThis v1.99.1 Scan saved at 23:27:35, on 2005-04-23 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32
vsvc32.exe C:\PROGRA~1\Toolbar\TBPS.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\BearShare\BearShare.exe C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\PROGRA~1\Toolbar\PIB.exe C:\PROGRA~1\Toolbar\RADIO.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\explorer.exe C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-ca\msnappau.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe C:\PROGRA~1\HIJACK~1\HIJACK~1.EXE C:\Program Files\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.fr.msn.ca/0SEFRCA/SAOS01 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IBBHO Class - {12BA043E-293E-4CE4-A8C7-8460934FE801} - C:\Program Files\IncrediBar\bin\IBBHO.dll O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file) O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll O2 - BHO: - {9D15FA82-56FD-4095-A445-19CE81F86DA4} - C:\WINDOWS\lbbho.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll O3 - Toolbar: IncrediBar - {D8073790-84C7-4602-BF77-C6ACBF1612E4} - C:\Program Files\IncrediBar\bin\IBTBar.dll O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file) O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\binesources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html O9 - Extra button: IncrediBar - {023FA804-DCE1-4817-94ED-6BA4200F9AF2} - C:\Program Files\IncrediBar\bin\IBTBar.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: GloPhone - {C9B8ABB6-1CC3-4957-9CA3-053036B2EE3A} - C:\DOCUME~1\ALLUSE~1\Bureau\Glophone.lnk (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (file missing) (HKCU) O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://1078387586000.kit.sexequalite.com/21429/CD/BellesRousses.exe O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8/fr/AccesMembre.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exeConfiguration: Windows XP Professionnel