Log avec hijack SVP AIDEZ-MOI ?!!

Résolu
Joe Lavallée -  
 miriame -
Logfile of HijackThis v1.98.2
Scan saved at 19:14:25, on 17/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\User\Bureau\Anti Spyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.ca
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.google.ca
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - :C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {BF71FB62-9119-4E18-998E-2AFC4AE45F24} - C:\WINDOWS\System32\kld.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] :C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\User\LOCALS~1\Temp\se.dll,DllInstall
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9717.dll' missing
O15 - Trusted Zone: *.mt-download.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} - http://install.wildtangent.com/hitthepros03/shockwave/wtinst.cab
O16 - DPF: {E123BED4-B8C7-42BB-958F-F13CA77EF95D} (Anark Client ActiveX Control) - http://update.anark.com/client/version2-beta/windows-ie/en/AMClient.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3724307B-1600-4B48-A6C9-A1EBF8EC1A75}: NameServer = 198.235.216.110 209.226.175.224
O17 - HKLM\System\CS1\Services\Tcpip\..\{3724307B-1600-4B48-A6C9-A1EBF8EC1A75}: NameServer = 198.235.216.110 209.226.175.224
O18 - Filter: text/html - {3DFC97A6-29EE-4910-8884-EBA0B7A5229B} - C:\WINDOWS\System32\kld.dll
O18 - Filter: text/plain - {3DFC97A6-29EE-4910-8884-EBA0B7A5229B} - C:\WINDOWS\System32\kld.dll
Configuration: AMD Athlon(TM) XP 2400+

Windows XP professionel SP1

29 réponses

  • 1
  • 2
Résumé de la discussion

Le fil porte sur l’interprétation et la prise en charge d’un log HijackThis sur Windows XP SP1, avec des entrées problématiques comme se.dll, egpn.dll et des éléments O4 et O3 à évaluer. Des échanges soulignent qu’il faut éviter de supprimer la ligne O3 - Toolbar msdxm.ocx et que msdxm.ocx peut être un fichier Microsoft, tout en proposant des outils comme AdAware et SpySweeper pour nettoyer et vérifier. En cas de persistance, le conseil est de sauvegarder les données, d’exécuter un nettoyage en profondeur (CWSHredder, EasyCleaner) puis de relancer HiJackThis et de partager un nouveau log pour ajuster le diagnostic.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. sylvanohe Messages postés 1052 Statut Contributeur 83
     
    Salut,

    un bon antivirus ou simplement un format c:

    tcahw
    0
  2. Joe Lavallée
     
    PAS SÉRIEUX !!! :(

    et tu es sure que c'est la solution finale?
    0
  3. Anaël Vodis Messages postés 273 Statut Membre 19
     
    Hello Joe !!!

    Non il n'y a pas beaucoup de choses de "méchantes" sur ton système. Je vois que tu as Spybot Search & Destroy alors fais-en la mise à jour et la mise à jour des définitions puis "scan" ton disque (parce que la ligne O10 - Broken Internet access because of LSP provider 'xfire_lsp_9717.dll' missing laisse croire qu'il y resterait peut-être des traces de spywares).

    Quand ce sera fait, alors avec Spybot S&D, alors Lance HiJackThis et Fixes:
    cocher au début de chaques lignes valider avec fix checked
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - :C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
    O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
    O10 - Broken Internet access because of LSP provider 'xfire_lsp_9717.dll' missing
    O15 - Trusted Zone: *.mt-download.com

    Mais tu pourrais aussi fixer les lignes suivantes (c'est toi qui peux déterminer si ces entrée sont nécessaires pour toi car ce sont des Activex qui peuvent te dire quelque chose):
    O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} - http://install.wildtangent.com/hitthepros03/shockwave/wtinst.cab
    O16 - DPF: {E123BED4-B8C7-42BB-958F-F13CA77EF95D} (Anark Client ActiveX Control) - http://update.anark.com/client/version2-beta/windows-ie/en/AMClient.cab

    À la fin du "fix" tu redémarres ton ordi tu repasses HiJackThis (à propos tu pourrais en profiter pour télécharger la dernière version de HiJackThis à partir de : http://www.hijackthis.de/downloads/hijackthis_199.zip ) et tu recolles ici le log qu'il t'a généré.

    Et ne t'en fais pas trop car les ligne qui sont spécifiés ci-haut ne sont pour la plupart que des entrées inutiles alors cela va "nettoyer".

    A+ !
    Anaël
    0
    1. Joe
       
      Bonjour Anael,
      merci pour tes directives, j'ai donc fait ce que tu m'a dit et revoici mon dernier log d'Hijackthis...

      Logfile of HijackThis v1.99.1
      Scan saved at 22:29:54, on 19/02/2005
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\System32\rundll32.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\System32\CTsvcCDA.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Outlook Express\msimn.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Documents and Settings\User\Bureau\Anti Spyware\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.ca
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.google.ca
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {28430C76-7153-4687-9E68-27F1EA3C51D5} - C:\WINDOWS\System32\egpn.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
      O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
      O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] :C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
      O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\User\LOCALS~1\Temp\se.dll,DllInstall
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O10 - Broken Internet access because of LSP provider 'xfire_lsp_9717.dll' missing
      O15 - Trusted IP range: 64.127.104.144
      O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
      O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
      O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
      O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
      O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
      O18 - Filter: text/html - {68A9CC8A-4169-4487-A6FD-72016F65B5B9} - C:\WINDOWS\System32\egpn.dll
      O18 - Filter: text/plain - {68A9CC8A-4169-4487-A6FD-72016F65B5B9} - C:\WINDOWS\System32\egpn.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      0
      1. Anaël Vodis Messages postés 273 Statut Membre 19 > Joe
         
        Hello Joe !!!

        Je ne sais pas si tu as pû lire le commentaire de balltrap34 (c'est un expert). Il a écrit:
        "salut
        pour c ette ligne il est en missing donc en theorie juste a cocher avec hijack
        mais pour lspfix
        il faut le lancer et faire ceci
        -Tu le lances.
        -Tu coches "I know what I'm doing"
        -Tu fais passer dans "remove" tout ce qui a trait à 'xfire_lsp_9717.dll'
        Et surtout rien d'autre!
        -Tu cliques "finish". "

        Balltrap43 te donne la procédure avec lspfix: pour faire ce lspfix scan, il faut bien suivre la procédure qu'il décrit un peu plus haut.

        On va aussi détruire un Brower Helper Object par le fichier se.dll et qui est considéré comme "malsain". voir à ce titre la page : http://www.greatis.com/appdata/d/s/se.dll.htm

        Bon, après ton lspfix, on va maintenant procéder au "fix".

        1. Désactives la restauration. Redémarres en mode sans échec (coups sur touche F8 lors du démarrage et choisir le mode sans échec).

        2. Lances hijackthis et Fixes (cocher au début de chaques lignes valider avec fix checked):
        O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\User\LOCALS~1\Temp\se.dll,DllInstall
        O10 - Broken Internet access because of LSP provider 'xfire_lsp_9717.dll' missing
        O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

        3. Tu vas rechercher et détruire avec l'explorateur de windows et dans le répertoire C:\documents and settings toutes les occurences du fichier se.dll

        4. Tu vides ensuite:
        c:\documents and settings\pour chaque utilisateurs\local settings\temp <= tous les fichiers à l'intérieur(pas les dossiers)
        c:\windows\temp <= tous les fichiers à l'intérieur(pas les dossiers)

        5. Tu vides la corbeille.

        6. Tu redémarres en mode normal, tu réactives la restauration et tu essaies un certain temps pour voir si ton problème est réglé (tu nous en fait part) et refais un scan HiJack et tu recolles le log ici !

        Ah ! oui j'ai aussi quelques questions:
        A. Est-ce que la zone identifiée par l'adresse IP 64.127.104.144 te dis quelque chose (est-ce ton FAI ou une adresse Intranet) ???
        B. Est-ce que la dll dénommée egpn.dll et située dans le répertoire C:\Windows\System32 te dis quelque chose (souvent une dll personnelle) ?
        C. Pourquoi n'as-tu pas la SP2 de Windows d'installé: est-ce parce que tu as rencontré certains problèmes avec ce SP2 ???

        Bye et a+
        Anaël
        0
  4. Anaël Vodis Messages postés 273 Statut Membre 19
     
    Hello Joe !!!

    Ouh ! on a une autre opération à faire dans ton cas avant de procéder à la procédure par HiJackThis. Tu as un trouble au niveau du Winsock...

    Ce ne sera pas long à faire. D'abord télécharges l'utilitaire (lspfix.exe) de réparation du Winsock via : http://www.cexx.org/lspfix.htm Télécharges aussi le fichier lspfix.txt qui contient des indications élémentaire...

    Ensuite exécutes-le sur ton ordi. Re-démarre ton ordi, refais un HiJackThis (pour que je puisse bien voir que le Winsock est OK) et recolles-le ici !!! On va essayer ensemble, si tu as le temps bien sûr, de te débarrasser d'ici 1 heure ou 2 de tous tes problèmes...

    A+ !
    Anaël
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    pour c ette ligne il est en missing donc en theorie juste a ocher avec hijack
    mais pour lspfix
    il faut le lancer et faire ceci
    Tu le lances.
    Tu coches "I know what I'm doing"
    Tu fais passer dans "remove" tout ce qui a trait à 'xfire_lsp_9717.dll'
    Et surtout rien d'autre!
    Tu cliques "finish".
    0
    1. Anaël Vodis Messages postés 273 Statut Membre 19
       
      Hello balltrap ;-) !!!

      Merci beaucoup pour tes conseils avisés !!!
      Bye!
      Anaël
      0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    de rien
    a++
    0
  8. Joe
     
    Re-bonjour Anaël,
    J'ai fait ce que tu m'a dicté, sauf que je n'ai jamais trouvé la trace de se.dll ? (est-ce bon signe?)

    et pour répondre à tes question ;
    1- je ne saurais te dire ce que l'adresse IP mentionnée représente
    2- la dll au nom de egpn.dll ne me dis absoluement rien;
    3- je n'ai pas installé se SP2 parce que bocoup de personnes m'ont conseillé de ne pas l'installé et que je trouve qu'il installe pas mal de programme qui ne m'inspire pas confiance ! (mais je peux me tromper, je ne suis pas un grand connaisseur!)

    je te remercie pour ton aide et je te colle mon HIJACKTHIS

    Joe
    ------------------------

    Logfile of HijackThis v1.99.1
    Scan saved at 23:01:53, on 20/02/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\System32\CTsvcCDA.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\User\Bureau\Anti Spyware\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.ca
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {28430C76-7153-4687-9E68-27F1EA3C51D5} - C:\WINDOWS\System32\egpn.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] :C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\User\LOCALS~1\Temp\se.dll,DllInstall
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O15 - Trusted IP range: 64.127.104.144
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3724307B-1600-4B48-A6C9-A1EBF8EC1A75}: NameServer = 198.235.216.110 209.226.175.224
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3724307B-1600-4B48-A6C9-A1EBF8EC1A75}: NameServer = 198.235.216.110 209.226.175.224
    O18 - Filter: text/html - {68A9CC8A-4169-4487-A6FD-72016F65B5B9} - C:\WINDOWS\System32\egpn.dll
    O18 - Filter: text/plain - {68A9CC8A-4169-4487-A6FD-72016F65B5B9} - C:\WINDOWS\System32\egpn.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    0
  9. Anaël Vodis Messages postés 273 Statut Membre 19
     
    Hello Joe !!!

    La ligne O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\User\LOCALS~1\Temp\se.dll,DllInstall est revenue !!! Il faut s'en débarrasser !!!

    Pour le reste tout semble OK (sauf bien sûr les questions que je t'avais posées mais on y reviendra plus tard...).

    Pour le moment, pourrais-tu télécharger AdAware qui est gratuit (à partir du site www.lavasoft.us et tu peux choisir le drapeau français pour télécharger la version française de "personal AdAware6"), le mettre à jour, scanner ton ordi et détruire toutes les traces qu'il va t'indiquer.

    Ensuite, tu vas télécharger la version demo du logiciel SpySweeper (http://www.webroot.com/fr/downloads/). Elle est parfaitement fonctionnelle pour 30 jours. Tu vas l'installer, mettre à jour ses définitions puis lui faire "scanner" ton ordi. Tu détruis tout ce qu'il va détecter y compris la section "quarantaine".

    Puis avec HiJackthis tu refixes la ligne suivante:
    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\User\LOCALS~1\Temp\se.dll,DllInstall

    Tu redémarres ton ordi puis tu refait un log HiJackThis et tu le repostes ici.

    Merci et A+ !
    Anaël
    0
    1. Joe
       
      Hello Anaël,
      J'ai passé Adaware dans mon système, il a trouvé 2 fichiers; sp.dll
      mais pour Spy sweeper, vu que je l'avais déja installé dans le passé, il ne me reste donc aucune journée d'essai ! :(

      Et ce spyware semble s'installer ausitot que je suis sur internet; j'ai souvent des popups me disant que je suis infecté bla blabla...
      et lorsque je veux aller vérifier mes mail avec homail, des pages genre coolwebsearch apparaissent au lieu de mes e-mail...

      J'ai donc télécahrger CWShredder. Ca fonctionne mais juste pour un certain temps genre 1 h.

      J'arrête ici, je vais travailler et ce soir, je m'y remettrai, si bien sur tu as répondu a mon message.

      Merci encore de m'aider...

      Jonathan Lavallée.
      0
      1. Anaël Vodis Messages postés 273 Statut Membre 19 > Joe
         
        Hello Joe !!!

        En fait je crois que j'avais oublié une étape qui était de faire afficher les fichiers cachés. Ce qui explique que tu ne réussissais pas à voir se.dll et ça expliquerait son retour...

        1. Il faut faire afficher les fichiers cachés. Tu trouveras la procédure à l'adresse http://www.mon-ordi.com/fichierscachwme.htm

        2. Désactives la restauration. Redémarres en mode sans échec (coups sur touche F8 lors du démarrage et choisir le mode sans échec).

        3. Lances hijackthis et Fixes (cocher au début de chaques lignes valider avec fix checked):
        O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\User\LOCALS~1\Temp\se.dll,DllInstall

        4. Tu vas rechercher et détruire avec l'explorateur de windows et sur tout le disque C:\ toutes les occurences du fichier se.dll

        5. Tu vides ensuite:
        c:\documents and settings\pour chaque utilisateurs\local settings\temp <= tous les fichiers à l'intérieur(pas les dossiers)
        c:\windows\temp <= tous les fichiers à l'intérieur(pas les dossiers)

        6. Tu vides la corbeille.

        7. Tu redémarres en mode normal, tu réactives la restauration et tu essaies un certain temps pour voir si ton problème est réglé (tu nous en fait part) et refais un scan HiJack et tu recolles le log ici !

        Merci pour ta patience !!!
        Anaël
        0
      2. Anaël Vodis Messages postés 273 Statut Membre 19 > Joe
         
        Hello Joe !!!

        Si l'essai que je t'ai mentionné un peu plus tôt ne fonctionne pas alors télécharges a2free et a2HijackFree (http://www.emsisoft.net/fr/software/download/) et fais-leur scanner ton ordi. Détruis toutes les traces qu'ils vont t'indiquer !!!

        Refais un scan et repostes-le (noublies pas avant de faire l'étape que je t'ai décrite précédemment en plus du log HiJack de cette étape précédente) !!!

        Bye et A+
        Anaël
        0
      3. Anaël Vodis Messages postés 273 Statut Membre 19 > Joe
         
        Hello Joe !!!

        J'avais oublié aussi de te mentionner que lorsqu'on fait un FIX par HiJackThis, il faut que toutes les fenêtres Internet Explorer SOIENT FERMÉES (Internet Explorer complètement FERMÉ) sinon cela ne fonctionne pas...

        Bye et redonnes-moi des nouvelles..
        Anaël
        0
  10. Joe
     
    Mauvaises nouvelles !!!!

    J'ai tout fait ce que tu m'a demandé de faire...
    A2 free n'a trouvé aucun malware, A2 HijackFree; j'analyse et ca ne fait rien, et meme quand je suprime ...se.dll, et bien il revient instantanément !!!

    Je ne sais plus quoi faire... je te poste tout de meme mon log...

    Merci, (en espérant que ton taux horaire ne soit pas trop élevé!!!)

    Jonathan
    -----------------------

    Logfile of HijackThis v1.99.1
    Scan saved at 22:29:05, on 22/02/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\System32\CTsvcCDA.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Documents and Settings\User\Bureau\Anti Spyware\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.ca
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {4B25BCB6-D2CC-4082-A6A4-8D8FA0EF7872} - C:\WINDOWS\System32\fedp.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] :C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\User\LOCALS~1\Temp\se.dll,DllInstall
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O15 - Trusted IP range: 64.127.104.144
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
    O18 - Filter: text/html - {214714A2-9AF4-4D73-977B-9CD2122354A5} - C:\WINDOWS\System32\fedp.dll
    O18 - Filter: text/plain - {214714A2-9AF4-4D73-977B-9CD2122354A5} - C:\WINDOWS\System32\fedp.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    0
  11. Anaël Vodis Messages postés 273 Statut Membre 19
     
    Hello Joe !!!

    Ne perdons pas patience !!! Il se peut qu'en réalité il ne reste que des traces de se.dll seulement dans la base de registre. N'oublies pas te faire la sauvegarde de toutes tes données et tous tes fichiers importants sur CD-Rom (CD-R ou CD-R/W)...

    Télécharges EasyCleaner2 (gratuit) à partir de l'adresse http://www.01net.com/telecharger/windows/Utilitaire/registre/fiches/8351.html N'utilises jamais l'outil des "doublons" car son utilisation demande bonne connaissance du système d'exploitation: une utilisation "inconsciente" va donner des résultats catastrophique !!!

    Télécharges aussi la version gratuite de ZoneAlarm pro V 4.5 à partir de l'adresse http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/18128.html Installes-le sur ton ordi et mets-le à jour. Toutes les fois qu'un logiciel ou un exécutable de ton ordi va demander l'utilisation d'un port de communications de ton ordi Zone Alarm va te le signaler: si c'est un programme ou un exécutable que tu connais alors tu lui permet de "passer" sinon tu bloques la communication. Si tu as des doutes alors tu peux chercher par Google le nom de l'exécutable qui veux y accéder et tu trouveras des références à consulter à savoir si cet exécutable est malicieux ou non...

    Alors installes EasyCleaner2 sur ton ordi puis passes un "coup" de CWSHredder. Utilises l'outil de nettoyage de la base de registres de Easycleaner2 qui lui va t'indiquer toutes les entrées inutiles dans la base de registres.

    Redémarres ton ordi en mode sans échec puis avec HJT tu vas "fixer" les lignes suivantes:
    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\User\LOCALS~1\Temp\se.dll,DllInstall
    O15 - Trusted IP range: 64.127.104.144

    Détruis tous les fichiers situés dans tous les répertoires temporaires:
    C:\Windows\temp
    C:\Documents and Settings\Nom Usager(pour tous les usagers)\Cookies
    C:\Documents and Settings\Nom Usager(pour tous les usagers)\Local Settings\Temp
    C:\Documents and Settings\Nom Usager(pour tous les usagers)\Local Settings\Temporary Internet Files

    Vides la corbeille et redémarres en mode normal... Passe ton anti-virus mis à jour et Spybot Search & Destroy mis à jour.

    Refais un HJT et repostes-le ici
    J'attend ta réponse pour ce soir !!! Si le problème persiste alors on va donner un bon coup de bazooka lol !!! (n'oublies pas de faire des backups de toutes tes données et de tous tes fichiers importants et conservés à l'extérieur de ton ordi (sur des CD-R ou CD-R/W)...

    Merci de ta patience !!! Et il n'y a pas de frais de service lol !!!
    Anaël
    0
  12. Joe
     
    Salut Anaël, voici mon save log... (je pense que c'est bon cette fois-ci)

    Logfile of HijackThis v1.99.1
    Scan saved at 00:15:02, on 24/02/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\System32\CTsvcCDA.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Documents and Settings\User\Bureau\Anti Spyware\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.ca
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] :C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O15 - Trusted IP range: 64.127.104.144
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3724307B-1600-4B48-A6C9-A1EBF8EC1A75}: NameServer = 198.235.216.110 209.226.175.224
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3724307B-1600-4B48-A6C9-A1EBF8EC1A75}: NameServer = 198.235.216.110 209.226.175.224
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    0
    1. Anaël Vodis Messages postés 273 Statut Membre 19
       
      Hello Joe !!!

      C'est déjà beaucoup mieux ! Ton problème majeur ne semble plus là mais il est apparu de nouvelles entrées (les lignes O17) : est-ce que les adrssses te disent quelque chose ??? Est des adresses de ton fournisseur Internet ??? (si tu ne sais pas alors dis-moi qui est ton fournisseur et je vérifierai...

      A+ !
      Anaël
      0
    2. Anaël Vodis Messages postés 273 Statut Membre 19
       
      Hello Joe !

      Les entrées en O17 indique que ton FAI est Sympatico ADSL (via Bellnexxia) est-ce le cas ?

      Merci !
      Anaël
      0
  13. Superman
     
    Bonjour,
    Voici mon log hithisjack, je supprime sans cesse R2 - BHO, mais il revient sans cesse dès que je vais sur le net, de même que les 015, cela ne disparaisse même pas. Y'aurait-il autre chose à supprimer ?

    MErci de votre aide

    Logfile of HijackThis v1.99.1
    Scan saved at 13:23:03, on 24/02/2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\Explorer.EXE
    C:\Program Files\Altiris\AClient\AClntUsr.EXE
    C:\PROGRA~1\NavNT\vptray.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\All Users\Desktop\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\dnxlw.dll/sp.html#28129
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\dnxlw.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\dnxlw.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\dnxlw.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\dnxlw.dll/sp.html#28129
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\dnxlw.dll/sp.html#28129
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\dnxlw.dll/sp.html#28129
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by The Walt Disney Company
    O2 - BHO: (no name) - {9FE8B428-CFF6-913E-B4C1-5F2935D99DA6} - C:\WINNT\d3ej.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [AClntUsr] C:\Program Files\Altiris\AClient\AClntUsr.EXE
    O4 - HKLM\..\Run: [wksname] :C:\WINNT\BGinfo\bginfo /iC:\WINNT\bginfo\default.bgi /timer:00
    O4 - HKLM\..\Run: [AeXAgentLogon] "C:\PROGRAM FILES\ALTIRIS\NS CLIENT\AeXAgentActivate.exe" /logon
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
    O4 - HKLM\..\Run: [javacq.exe] C:\WINNT\javacq.exe
    O4 - HKLM\..\RunOnce: [SAVSetup] cmd.exe /c "rmdir /s /q "C:\TEMP\Clt-Inst""
    O4 - HKCU\..\Run: [MSMSGS] :"C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [HijackThis startup scan] C:\Documents and Settings\All Users\Desktop\HijackThis.exe /startupscan
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O15 - Trusted Zone: *.frame.crazywinnings.com
    O15 - Trusted Zone: *.static.topconverting.com
    O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
    O15 - Trusted Zone: *.static.topconverting.com (HKLM)
    O20 - AppInit_DLLs: AMInit.dll
    O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
    O23 - Service: Altiris Client Service (AClient) - Altiris, Inc. - C:\Program Files\Altiris\AClient\AClient.exe
    O23 - Service: Altiris Agent (AeXNSClient) - Altiris, Inc. - C:\PROGRAM FILES\ALTIRIS\NS CLIENT\AeXNSAgent.exe
    O23 - Service: Altiris Carbon Copy (CarbonCopy32) - Altiris - C:\WINNT\system32\ccsrvc.exe
    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\NavNT\DefWatch.exe
    O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\NavNT\rtvscan.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
    0
    1. Anaël Vodis Messages postés 273 Statut Membre 19
       
      Hello Superman !

      Pourrais-tu, S.-V.-P. reposter dans un nouveau message car celui-ci appartiens à Joe et ça va être dur à gérer... Alors poste ton HJT dans un nouveau message et ne t'en fais pas tu vas avoir une réponse.

      A+ !
      Anaël
      0
  14. Utilisateur anonyme
     
    Superman/Log (mais bien sûrrrr ;-]]]] )

    Running processes: <-- il est pas complet ton log ? t'as que ça comme programmes??

    passe en mode sans échec et fixe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\dnxlw.dll/sp.html#28129
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\dnxlw.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\dnxlw.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\dnxlw.dll/sp.html#28129
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\dnxlw.dll/sp.html#28129
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\dnxlw.dll/sp.html#28129
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\dnxlw.dll/sp.html#28129

    O2 - BHO: (no name) - {9FE8B428-CFF6-913E-B4C1-5F2935D99DA6} - C:\WINNT\d3ej.dll

    O4 - HKLM\..\Run: [wksname] :C:\WINNT\BGinfo\bginfo /iC:\WINNT\bginfo\default.bgi /timer:00<-- c'est koi ce truc ?? de tte façon c'est inutile en démarrage (décoche ce programmes/je sais pas comment par contre avec W2000)

    les lignes 04
    1) arrête les processus par ctrl/alt/supp avant de repasser sur l'hijack et de 2) fixer

    O4 - HKLM\..\Run: [javacq.exe] C:\WINNT\javacq.exe
    O4 - HKLM\..\RunOnce: [SAVSetup] cmd.exe /c "rmdir /s /q "C:\TEMP\Clt-Inst""

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present <---si c'est pas toi ou un logiciel qui a mis ces restrictions/coche ces lignes

    O15 - Trusted Zone: *.frame.crazywinnings.com
    O15 - Trusted Zone: *.static.topconverting.com
    O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
    O15 - Trusted Zone: *.static.topconverting.com (HKLM)

    t'as un drole d' OS ça doit être dû à : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by The Walt Disney Company
    c'est un OS comique.... ^_^

    mode sans échec :
    donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
    http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php

    reboot en mode normal après les fix et vide ton cache internet (options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)
    @+

    URGENT!!
    télécharger Ad-aware.SE/ Spybot.s&d 1.3
    http://www.lavasoftusa.com/software/adaware/
    http://www.safer-networking.org/fr/index.html

    * le tuto ad-aware :
    **http://41822.aceboard.net/41822-232-6216-0-Tutorial-Aware-Personal.htm
    * les tutos spybot 1.3 : http://tomcoyote.com/SPYBOT/indexfr.php
    **http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php

    ++++ Profite des offres pour effectuer un grand nettoyage

    a² d'Emisoft (anti-trojans à dl pour 30 jours d'essai)
    http://www.emsisoft.net/fr/software/download/

    SpySweeper 1.3/anti-spywares (30 jours d'essai)
    http://www.webroot.com/fr/index.php
    http://www.webroot.com/

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  15. joe
     
    Salut Anael.... voici un save log de HJT apres avoir passer 3 heures sur internet...

    Logfile of HijackThis v1.99.1
    Scan saved at 22:36:08, on 24/02/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\System32\CTsvcCDA.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Documents and Settings\User\Bureau\zlsSetup_45_594_000.exe
    C:\Documents and Settings\User\Bureau\Anti Spyware\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.ca
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] :C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O15 - Trusted IP range: 64.127.104.144
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    0
  16. Anaël Vodis Messages postés 273 Statut Membre 19
     
    Hello Joe !

    Ton log est très propre !

    Je vois que tu as téléchargé ZoneAlarm : excellente décision !

    Salut !
    Anaël
    0
  17. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    est ce que c est toi qui a mis cette ip en zone de confiance
    O15 - Trusted IP range: 64.127.104.144
    0
  18. Joe
     
    Je ne sais pas? comment j'aurais pu faire pour mettre cet ip en zone de confiance ? peut-être que oui, peut-être que non...

    Bye...

    Joe Lavallée
    0
  19. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    par securite fait ceci
    telecharge et ensuite tu fait clik droit dessus et executer
    cela devrait remettre comme il faut la zone de securite
    http://mvps.org/winhelp2002/DelDomains.inf
    ----
    redemarre et refait un hijack pour voir
    0
  20. Joe
     
    Voici mon save log, mais je pense que le probleme est revenu...:(

    Logfile of HijackThis v1.99.1
    Scan saved at 18:08:46, on 25/02/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\System32\CTsvcCDA.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Documents and Settings\User\Bureau\Anti Spyware\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.ca
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {1F08ED24-A9F9-4987-A5C0-0071D8B66D29} - C:\WINDOWS\System32\mfgioid.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] :C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\User\LOCALS~1\Temp\se.dll,DllInstall
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3724307B-1600-4B48-A6C9-A1EBF8EC1A75}: NameServer = 198.235.216.110 209.226.175.224
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3724307B-1600-4B48-A6C9-A1EBF8EC1A75}: NameServer = 198.235.216.110 209.226.175.224
    O18 - Filter: text/html - {F935F038-94BD-440F-8564-5187BF551176} - C:\WINDOWS\System32\mfgioid.dll
    O18 - Filter: text/plain - {F935F038-94BD-440F-8564-5187BF551176} - C:\WINDOWS\System32\mfgioid.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    0
  21. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    tous d abord imprime ceci pour ne rien oublier et tous faire
    ---------------
    demarre en mode sans echec
    relance hijack coche ces lignes et fix
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.ca
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.ca
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.google.ca
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {1F08ED24-A9F9-4987-A5C0-0071D8B66D29} - C:\WINDOWS\System32\mfgioid.dll
    O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\User\LOCALS~1\Temp\se.dll,DllInstall
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O18 - Filter: text/html - {F935F038-94BD-440F-8564-5187BF551176} - C:\WINDOWS\System32\mfgioid.dll
    O18 - Filter: text/plain - {F935F038-94BD-440F-8564-5187BF551176} - C:\WINDOWS\System32\mfgioid.dll

    ----------------------
    desactive ta restauration systeme
    pour ça tu fais clic droit sur poste de travail
    propriété tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique
    ------------
    recherche et vide le contenue du dossier prefetch sauf le fichier layout.ini
    -----------
    assure toi de ceci
    Affiche tous les fichiers et dossiers :
    cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer
    ---------------
    recherche et suppr ceci
    C:\WINDOWS\System32\mfgioid.dll
    C:\DOCUME~1\User\LOCALS~1\Temp\se.dll,DllInstall

    ---------------

    vide tes fichiers temps et tempory internet file sur tous les utilisateur

    cela se situe sur c:document and setting/ administrateur/local setting /temp
    c:document and setting/ administrateur/local setting /temporary internet
    c:document and setting/ default users/local setting /temp
    c:document and setting/ default users/local setting /temporary internet
    c:document and setting/ ton nom/local setting /temp
    c:document and setting/ ton nom/local setting /temporary internet
    c:document and setting/ local service/local setting /temp
    c:document and setting/ local service/local setting /temporary internet

    C:\WINDOWS\TEMP
    -------------

    ---------
    tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

    --
    0
  • 1
  • 2