analyse hijack

Question

Bonjour à tous,je rencontre quelques soucis : page internet indésirable qui revient sans cesse au démarrage, accès impossible à mes mails.j'ai lancé AdAwware et Spybot.puis HijackThis v1.99.1.http://www.hijackthis.de/ me permet de voir d'où viennent les soucis...qui reviennent aussitot après avoir appliqué Fix Checked (mode sans échec ou pas).je crois que celà vient surtout du fait que je ne suis pas expert...si vous pouviez m'aider, je vous en remercie grandement par avance.mon log est le suivant :Logfile of HijackThis v1.99.1Scan saved at 18:08:52, on 01/03/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Sygate\SPF\smc.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.exeC:\Program Files\Logitech\iTouch\iTouch.exeC:\Program Files\Winamp3\winampa.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\WINDOWS\System32\dwwin.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Outlook Express\msimn.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\iexplore.exeC:\PROGRA~1\WINZIP\winzip32.exeC:\Documents and Settings\Administrateur\Local Settings\Temp\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.comR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe monitor.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [nofaviv] C:\WINDOWS
ofaviv.exeO4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startguiO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInitO4 - HKCU\..\Run: [monitor] monitor.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeO4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO12 - Plugin for .mpga: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\path.mht!http://64.200.26.76/d1/arctaa.chm::/painter.exeO16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{9782B763-E62A-468F-8C0B-441B12174719}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exemerci beaucoup par avance.

tufs · Answer

salutlance   hijack  et  tu  scannes  suite<<<hijackthis< config < misc  tools < open  process  manager selectionne:  nofaviv.exe<<   kill  processclique  sur  back  puis  sur  scan  et  coche  ses  lignesR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated) O4 - HKLM\..\Run: [nofaviv] C:\WINDOWS
ofaviv.exe   	O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=  	O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=  	ferme   tout  les  programmes  en  cours  et  fait  fix  chekedredemarre  en  mode  sans  echec  ( session  administr  si  possible  )  tapotte  sur  touche  f8  au  demarrage  du  pc  assure  toi  d  avoir  acces  aux  fichiers  cacherexplorateur  windows  - outil - option  des  dossier - affichagecoche:  afficher  les  fichiers  cacher  .....decoche: masquer  les  extentions  des  fichiers.....decoche:  masquer  les  fichiers.... recherche et  supprime  manuellement  ce  qui  est  en  grasC:\WINDOWS\ nofaviv.exe vide  ta  corbeil  remet  l  affichage  par  defaut   reboot  pc  et  relance  hijack  pour  verif

scou · Answer

merci pour l'aide.j'ai suivi les conseils : seule la ligne O4 - HKLM\..\Run: [nofaviv] C:\WINDOWS
ofaviv.exe n'apparait plus en relançant HijackThis.mais je ne peux tjs pas lire mes mails (plantage lors de la connexion) et http://search-area.com se trouve tjs dans ma page de démarrage.Hijack redonne donc les lignes néfastes :R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated) O4 - HKLM\..\Run: [nofaviv] C:\WINDOWS
ofaviv.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my= O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my= que dois-je faire ? est-ce moi qui est mal procédé (j'ai suivi les consignes) ou faut-il aller plus loin.merci pour vos réponses par avance.

scou · Answer

j'ai aussi C:\WINDOWS\system32\kb32.exe qui essaie e ma lancer des applications internet.qu'est-ce que c'est que ce truc kb32.exe ? je n'arrive pas à en trouver l'utilité. serait-ce lié à mes problèmes cités plus haut.merci à ceux qui pourront me répondre et me dépanner.

Teddy-Bear · Answer

Bonsoir,Kb32.exe est un interface Browser pour les enfants ......si t'as pas de gosses ....alors Kill.... Ce ne doit pas etre bien utile et peut certainement cacher des M...ES

tufs · Answer

okdemarre  en  mode  sans  echec   lance  hijack   puis  fixe  ses  lignes R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.comR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated) O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my= et  recolle  un  nouveau  hijack  pour  verif  ont  verras  pour  ça  aussiC:\WINDOWS\system32\kb32.exe<<

scou · Answer

j'ai fait comme indiqué par tufs : les lignes indiquées et fixées reviennent au log suivant.ou plus exactement : je lance Hijack en mode sans échec, je fixe les lignes, je relance Hijack dans la foulée en mode sans échec => elles n'y sont plus.mais si je ferme Hijack, je le relance immédiatement : les revoilà.que fais-je ? merci bien en tout cas de m'aider.pour kb32.exe : on peut pas le supprimer mais c'est pas grave.détail du log :Logfile of HijackThis v1.99.0Scan saved at 21:47:23, on 01/03/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\savedump.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\kb32.exeC:\WINDOWS\Explorer.exeC:\Documents and Settings\Administrateur\Mes documents\david.bidou\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.comR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhostR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe monitor.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startguiO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInitO4 - HKCU\..\Run: [monitor] monitor.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeO4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO12 - Plugin for .mpga: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\path.mht!http://64.200.26.76/d1/arctaa.chm::/painter.exeO16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{9782B763-E62A-468F-8C0B-441B12174719}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Telnet - Unknown - C:\WINDOWS\System32	lntsvr.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

tufs · Answer

ok  va  faire  un  tour  chez  windows  update  et  remet  ton  system  a  jour   ton  navigateur +  exactement  et  apres  recolle ton  log  hijacket  re fixe    les  lignes  pour  voir

scou · Answer

t'es sur  ? car il faut bien avouer que la version de Windows installée sur mon pc m'a été prêtée lors de l'installation (autrement dit, j'ai pas l'original).

Teddy-Bear · Answer

Arrete dans le gestionnaire de tacheC:\WINDOWS\System32\kb32.exeafficher les dossiers cachés et protégés du système		"Demarrer"		"Poste de travail"		"outil"		"options des dossiers"		"affichage"		"Afficher les fichiers et dossiers caches"relance Hijack et fixe les lignes suivantes:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.comR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my= O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=  	 O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\path.mht!http://64.200.26.76/d1/arctaa.chm::/painter.exe Ellimine manuellementC:\WINDOWS\System32\kb32.exeEt refait un log avec la BONNE VERSION d'hijackthis (1.99.1)http://www.hijackthis.de/downloads/hijackthis_199.zipEt met a jour windows xp...tu es encore au remps de la prehistoire ,Nous somme en service pack2 NOW...tu n'as meme pas le service pack 1 d'installéEt pui installe un Firewall sinon ton PC ne restera pas "propre" longtemps

tufs · Answer

ok  essaye  de  telecharger  cette  utilitaire   gratuit  http://www.majorgeeks.com/download4086.htmltu  arretes  tes  applis  tu  te  met  hors  connection  et  tu  scannes

scou · Answer

recommandations de Teedy-Bear suivies : ça ne change rien du tout et le log suivant est xeactement le même.pour kb32 : il n'apparait pas dans le gestionnaire des taches et n'est pas supprimable manuellement.merci pour votre patiente.on continue ?

tufs · Answer

oui  essaye  le  post  10

scou · Answer

j'ai téléchargé et lancé CWShredder et le scan donne :WShredder v1.59.1 scan only reportPlease understand that a CWShredder 'Scan only' reportmight not be sufficient to troubleshoot an infected system.You can use HijackThis for that:http://www.merijn.org/files/hijackthis.ziphttp://www.spywareinfo.com/~merijn/files/hijackthis.zipWindows XP (5.01.2600 )Windows dir: C:\WINDOWSWindows system dir: C:\WINDOWS\System32AppData folder: C:\Documents and Settings\Administrateur\Application DataUsername: AdministrateurInfected Registry value:HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistantInfected data: http://search-area.com/?my= (obfuscated)Infected Registry value:HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearchInfected data: http://search-area.com/?my= (obfuscated)Infected Registry value:HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes,www,http://Infected data: http://search-area.com/?my= (obfuscated)Found Hosts file: C:\WINDOWS\System32\drivers\etc\hosts (902 bytes, A)Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe monitor.exeUserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,Registry value: DefaultPrefix [] http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=Registry value: WWW Prefix [www] http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=Found Win.ini file: C:\WINDOWS\win.ini (814 bytes, A)Found System.ini file: C:\WINDOWS\system.ini (231 bytes, A)- END OF REPORT -et après ?encore merci pour votre disponibilité et votre patience.

moe · Answer

salutPour cwshredder ferme tout les prog en cours (surtout IE) et clic sur FIX.a+

tufs · Answer

oui  exact  moe  a  etait  rapide   et  apres  relance  hijack  pour   verif

scou · Answer

j'ai bien lancé cwshredder et fixé : ça m'indiqueDone!Removed from your system:- CWS.Svchost32- 4 infected IE registry valuesWindows XP (5.01.2600 )CWShredder v1.59.1Written by Merijn - merijn@spywareinfo.commais en relançant Hijack, toujours les mêmes merdes sont là.le log est donc le même :Logfile of HijackThis v1.99.0Scan saved at 23:06:19, on 01/03/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Sygate\SPF\smc.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.exeC:\Program Files\Logitech\iTouch\iTouch.exeC:\Program Files\Winamp3\winampa.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\WINDOWS\System32\dwwin.exeC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Microsoft Office\Office10\WINWORD.EXEC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Administrateur\Mes documents\david.bidou\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.comR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe monitor.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startguiO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInitO4 - HKCU\..\Run: [monitor] monitor.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeO4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO12 - Plugin for .mpga: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{9782B763-E62A-468F-8C0B-441B12174719}: NameServer = 80.10.246.130 80.10.246.3O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Telnet - Unknown - C:\WINDOWS\System32	lntsvr.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exeon continue à jouer ? on s'amuse bien quand même, vous trouvez pas ?

tufs · Answer

oui  maitenant    tu  te  met  en  mode  sans  echec  et  tu  re  fixes  les  lignes  indiquer  si  dessus   ( plus  haut )

moe · Answer

salut tufJe crois que ces 2 sont à fixer aussi:F2 - REG:system.ini: Shell=Explorer.exe monitor.exe O4 - HKCU\..\Run: [monitor] monitor.exe et supprimer monitor.exe http://castlecops.com/startuplist-6980.htmlTu en pense quoi ?a+

tufs · Answer

re   moemais  je  trouve  ça  aussi    c  est  ça  le   problem    monitor.exe <<http://www.liutilities.com/products/wintaskspro/processlibrary/monitor/alors   j  ai  pas  pris  le  risque  moe  de  mon  cote  je  suis  pas  sur  a  100/100 en  attendant  peut  etre   je  ne  refute  rien ....

scou · Answer

cwshredder lancé, fixé puis Hijack relancé en mode sans échec : toujours exactement pareil.autant de fois je relance Hijack aprs avoir fixé les lignes inciminées, autant de fois elles réapparaissent au lancement suivant.pareil pour cwshredder : autant de fois je le relance, autant de fois il met :Done! Removed from your system: - CWS.Svchost32 - 4 infected IE registry values ça revient sans cesse ! c'est pas un truc (dll ou exe) installé dans un répertoire ?que me proposez-vous maintenant ?merci bien.

scou · Answer

j'ai regardé : j'ai 2 monitorune application monitor.exe version 5.6.0.17 liée à Wanadooune 2e sous Windows monitor.exe version 8.0.0.4477 qui lance Windows Media Playerdonc je suis pas sur qu'il faille virer ces monitor.exevous croyez pas ?

tufs · Answer

ecoute  essayons  la  methode de  moe  au  cas  ou  en  peut  restorer post   18

moe · Answer

salutcelui de wanadoo il est ok.Par contre jamais entendu parler de monitor.exe qui lance le Media playerL'autre tu peux le faire analyser ici pour etre sur:http://virusscan.jotti.org/a+

scou · Answer

mais malheureusement toujours pareil avec Hijack.analyse post 23 détecte rien d'anormal.une dernière idée ?en tout cas, on peut dire que vous suivez mon problème depuis 2 heures et je vous en remercierai jamais assez.

tufs · Answer

ok  daccord    fait  un  scanne  a  cette  adresse  et  colle  ton  rapporthttp://www.ravantivirus.com/scan/

scou · Answer

ça donne ça :Scan started at 02/03/2005 00:07:00 Scanning memory...Scanning boot sectors...Scanning files...C:\Documents and Settings\Administrateur\Local Settings\Temp\hijackthis.log - Exploit:HTML/MhtRedir.gen* -> InfectedC:\Documents and Settings\Administrateur\Local Settings\Temp\backups\backup-20050129-170132-200 - Exploit:HTML/MhtRedir.gen* -> InfectedC:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\WJJNUGHD\CA4TMZWX.HTM - Exploit:HTML/MhtRedir.gen* -> InfectedC:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\WJJNUGHD\CA9VJHOK.HTM - Exploit:HTML/MhtRedir.gen* -> InfectedC:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\WJJNUGHD\CACHIJK5.HTM - Exploit:HTML/MhtRedir.gen* -> InfectedC:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\WJJNUGHD\CAGDYP1A.HTM - Exploit:HTML/MhtRedir.gen* -> InfectedC:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\WJJNUGHD\CAM3STO5.HTM - Exploit:HTML/MhtRedir.gen* -> InfectedC:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\WJJNUGHD\CATSOV95.HTM - Exploit:HTML/MhtRedir.gen* -> InfectedC:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\WJJNUGHD\CAX83Q3Z.HTM - Exploit:HTML/MhtRedir.gen* -> InfectedC:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\WJJNUGHD\CAYBOHUB.HTM - Exploit:HTML/MhtRedir.gen* -> InfectedC:\Documents and Settings\Administrateur\Mes documents\david.bidou\backups\backup-20050301-223108-629 - Exploit:HTML/MhtRedir.gen* -> InfectedC:\WINDOWS\Downloaded Program Files\bridge.dll_tobedeleted - TrojanSpy:Win32/Briss.B -> InfectedC:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\01QFODM3\md[1].htm->(SCRIPT0000) - JS/DialogArg.B* -> InfectedC:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\NMWMFYDI\CA0TQFWL.HTM - Exploit:HTML/MhtRedir.gen* -> InfectedScanned============================	Objects: 56219	Directories: 2938	Archives: 3689	Size(Kb): 1221420	Infected files: 14Found============================	Viruses found: 3	Suspicious files: 0	Disinfected files: 0	Mail files: 1304ça donne quoi ?bon, je vais vous laisser en remerciant beaucoup tous ceux qui m'ont donné un gros coup de main, même si les problèmes sont intacts.je reviendrai dans la journée pour d'autres suggestions.merci à tous.

scou · Answer

bonjour,je suis de retour avec toujours les mêmes soucis.quelqu'un aurait-il une idée (tjs http://search-area.com sur la page de démarrage malgré suppressions des lignes en R0 R1 et 013  et mails par Wanadoo pas accesibles) ?merci encore par avance pour votre aide.

scou · Answer

ce matin au démarrage, mon firewall Sygate Personnel Firewall avait disparu, j'ai du le réinstaller.même si je suis pas un pro de l'informatique, je sais que je n'y ai pas touché, qaund même.mes problèmes de départ ne seraient pas plus graves que prévu ?merci pour votre aide car je commence à me faire du soucis.

Teddy-Bear · Answer

Bonjour,fais nous un log hijack que l'on puisse constater "la fugue" de ton Sygate......etonnant quand meme .....il a due etre vexer !!!!! et c'est tiré ailleur lol....

scou · Answer

merci de ton soutien.ça m'a énormément étonné moi aussi cette "disparition" du firewall car y'a pas de surprise normalement. il est réinstallé.mon log par Hijack est :Logfile of HijackThis v1.99.0Scan saved at 09:40:22, on 02/03/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Sygate\SPF\smc.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Logitech\iTouch\iTouch.exeC:\Program Files\Winamp3\winampa.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\WINDOWS\System32\dwwin.exeC:\Program Files\Wanadoo\Watch.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\a2 free\a2start.exeC:\Program Files\a2 free\a2scan.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Administrateur\Mes documents\david.bidou\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.comR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startguiO4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInitO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeO4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO12 - Plugin for .mpga: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{9782B763-E62A-468F-8C0B-441B12174719}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Telnet - Unknown - C:\WINDOWS\System32	lntsvr.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Teddy-Bear · Answer

re,Le fugueur est toujours la :C:\Program Files\Sygate\SPF\smc.exeO23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exePar contre un consuil:Fait les mise a jour ...."urgent" de Windows .....nous somme en SP2 et tu n'as meme pas SP1 d'installerTelecharge ce logiciel histoire de faire un peux de nettoyage dans les "squateurs"Telecharge Adwareawayshttp://www.adwareaway.com/Mode d'emploi:Executer adwareAwayCliquer sur "Remove HIJACKERS"Cliquer sur "Scan all".... a la fin du scan .......Cliquer sur "RemoveRepeter l'operation pour :"Remove Adware""Remove Spyware""Remove Trojan et Worm"  Ton probleme est que tu vas te faire reinfecter tant que tu n'auras pas Windows a jour

scou · Answer

je vais suivre tes conseils en téléchargeant Adwareaways.pour la mise à jour de Windows, comme dit hier, je n'ai qu'une version prêtée. je vais pas avoir des ennuis en me connectant sur le site de Microsoft pour la MAJ ?merci bcq pour ton aide et tes conseils précieux. ça va bien finir par réussir...

Teddy-Bear · Answer

Et repost nous le log hijack

scou · Answer

risqué ou pas quand on a pas l'original en main ?

scou · Answer

je fais Remove HIJACKERS "scan all" , il trouve plein de malwares mais à la fin du scan en cliquant sur Remove il ne se passe rien. normal ??? merci de me suivre : mon pc est mon outil de "travail" puisque je suis en recherhce d'emploi et que tout (candidatures...) se font par le net. si mon pc se dérègle, je suis foutu...

Teddy-Bear · Answer

Re,En fait il indique entre [] le nombre d'exemplaire qu'il trouve...verifie avec le log "result"Le liste du scan passe tres vite....ce sont les elements controllés pas forcement les problemes qu'il trouve

scou · Answer

j'avais pas lu ton post.je fais tout ça et je te tiens au courant.un immense merci.on (tu car je ne fais qu'appliquer les consignes) va y arriver.

scou · Answer

recommandations suivies :cleanmgr, suppression des dossiers sauf le fichier index data et nouveau scan rav. résultat du scan :Scan started at 02/03/2005 10:57:52 Scanning memory...Scanning boot sectors...Scanning files...C:\Documents and Settings\Administrateur\Local Settings\Temp\hijackthis.log - Exploit:HTML/MhtRedir.gen* -> InfectedC:\Documents and Settings\Administrateur\Local Settings\Temp\backups\backup-20050129-170132-200 - Exploit:HTML/MhtRedir.gen* -> InfectedC:\Documents and Settings\Administrateur\Mes documents\david.bidou\backups\backup-20050301-223108-629 - Exploit:HTML/MhtRedir.gen* -> InfectedC:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\01QFODM3\md[1].htm->(SCRIPT0000) - JS/DialogArg.B* -> InfectedC:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\NMWMFYDI\CA0TQFWL.HTM - Exploit:HTML/MhtRedir.gen* -> InfectedScanned============================	Objects: 28799	Directories: 2948	Archives: 3522	Size(Kb): 742664	Infected files: 5Found============================	Viruses found: 2	Suspicious files: 0	Disinfected files: 0	Mail files: 1196on continue mes amis ?

Teddy-Bear · Answer

Re,c'est deja mieux !!!Demmarage en mode sans echecFait affichage de tout les dossiers cachésil te reste a nettoyer TOUT tes fichiers Temporaires, corbeille,cache etcTu peus le faire avec les outils standard de windows

tufs · Answer

okrefait  ça  pannaeu  de  config  connection  et  reseaux  internet  option  internet   et  supprimes  les  fichier  a  faire  en  hors  connectionpuis  menu  demarrer  accessoire  outil  system   et  nettoyage  du  discet  refait  la  manip  avec  cleanmgr   en  hors  connection

scou · Answer

post 41 effectué (le cache : celui dans Internet explorer ?).post 42 : je trouve pas ce que vous me dites.vous pouvez détailler svp.pour l'instant : j'ai à nouveau accès à ma boite mails Wanadoo donc c'est déjà excellent.mais toujours la page  http://search-area.com au démarrage et donc tjs lignes R0 R1 et 013 sous Hijack.merci pour votre ténacité.

moe · Answer

SalutCa s'améliore, on dirait!!- Rend visible les fichiers cachés et systemes:panneau de configuration > options des dossiers > onglet affichage cocher  " afficher les fichiers et dossiers cachés "décocher  " masquer les extentions des fichiers dont le type est     connu décocher  " masquer les fichiers protégés du système"C:\Documents and Settings\Administrateur\Local Settings\Temp <= tu peux supprimer touts les fichiers à l'intérieur (pas les dossiers)=======================C:\Documents and Settings\Administrateur\Local Settings\Temp\backups\backup-20050129-170132-200 -  C:\Documents and Settings\Administrateur\Mes documents\david.bidou\backups\backup-20050301-223108-629 -Ces 2, se sont les backups de hijackthis, si tu est sur de pas avoir fixer de mauvaises lignes tu peux supprimer tout se qui se trouve à l'interieur du dossier backups=========================Pour les 2 autres, C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5 suis le chemin ci dessus et supprime tout le contenu du dossier Content.IE5 sauf le fichier index.data+

tufs · Answer

tu   vas  menu   demarrer  <<  panneau  de  configuration<<connexion  et  reseaux  internet<<puis  option  internet   <<  apres  tu  auras  une  fenetre   tu  vas  onglet  generale   et  la  tu  clique  sur  supprimer  les  fichiers..  voilamenu  demarrer  <<  accessoir<< outil  system<<  et  nettoyage  disc  par  defaut  disc  c  et  tu  reponds  ok  a  tout  voila  ..

scou · Answer

je suis en train de suivre le post 44 :sous C:\Documents and Settings\Administrateur\Local Settings\Temp je supprime vraiment tout (sauf les dossiers) , car hormis les tmp, j'ai des exe comme djprot1150, f-netsky, f-sasser, f-mydoom, jkill,mmsetup, whenu ?

tufs · Answer

oui   tu  supprimes  tout  surtout  cela  ils  sont  tres mechantdjprot1150, f-netsky, f-sasser, f-mydoom, jkill,mmsetup, whenu ?

scou · Answer

j'en suis au post 42 ou 45 :menu demarrer << panneau de configuration<<connexion et reseaux internet<<puis option internet << supprimer fichiers : OK mais j'ai pas menu demarrer << accessoir : j'ai pas le sous-menu accessoires. car on a pas la mêm version de Windows ?à moins que ce soit vers panneau de config<<performances et maintenance<< puis système ou outils d'administration ? ? ? c'est par là ?je commence à fatiguer mais je lacherai pas.merci à vous pour la 30e fois.

moe · Answer

salut scouje crois que tufs voulait dire:Panneau de configuration>options internet > clic sur supprimer les fichier, cocher supprimer le contenu hors connection et valider okDans le panneau de config, si tu ne vois pas options internet, clic sur basculer vers l'affichage classique (en haut à gauche)ensuite tu fais demarrer>executer > tapes : cleanmgrclique sur fichiers temporaires internet puis sur afficher les fichiers et la tu supprimes tout les dossiers sauf le fichier index.datpuis vide la corbeille

scou · Answer

j'ai pris le temps de tout faire les posts 41 à 49, j'ai aussi mis à jour Windows.qu'est-ce que je fais maintenant ?un nouvel Hijack ? la page indésirable au démarrage d'Internet est toujours là donc je suppose que l'on va retrouver les fameuses lignes R0, R1 et 013 avec le log.

moe · Answer

tu as refais un scan chez RAV pour vérifier ?si non, refais un scan et poste le rapport

scou · Answer

je viens de faire un scan chez rav : c'est excellent / scans précédents.ça avance, c'est encourageant !la suite, maitre ?Scan started at 02/03/2005 15:11:34 Scanning memory...Scanning boot sectors...Scanning files...Scanned============================	Objects: 29112	Directories: 3091	Archives: 3556	Size(Kb): 961341	Infected files: 0Found============================	Viruses found: 0	Suspicious files: 0	Disinfected files: 0	Mail files: 1210

moe · Answer

saluten effet, c'est encourageant.. reposte un log hijackthis pour voir si il y a une évolutiona+

scou · Answer

hummmmm, je crois que ça va moyen en regardant le post :la MAJ de Windows et Internet Explorer (faite en début d'aprèm) n'apprait pas du tout ? ? ?Logfile of HijackThis v1.99.0Scan saved at 15:48:49, on 02/03/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Sygate\SPF\smc.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Logitech\iTouch\iTouch.exeC:\Program Files\Winamp3\winampa.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\WINDOWS\System32\dwwin.exeC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Administrateur\Mes documents\david.bidou\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.comR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startguiO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeO4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO12 - Plugin for .mpga: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{9782B763-E62A-468F-8C0B-441B12174719}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32
etdde.exeO23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Telnet - Unknown - C:\WINDOWS\System32	lntsvr.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

moe · Answer

mouais, elles sont toujours làon va essayer autre choseTélécharge DLLcompare ici:http://www.downloads.subratam.org/DllCompare.exelance le et clic sur "Run locate.com"Quand "completed the scan, click compare to continue" apparait en bleu, clic sur le bouton COMPARE en bas à droiteUne fois le scan terminé clic sur "make a log of what was found"Fait un copier coller du log sur le forum

Teddy-Bear · Answer

Pour voit precisement ton probleme ....TELECHARGE LA DERNIERE VERSION D4HIJACKTHIS 1.99.1 STP sinon nous pouvons passer a cote de chose importante et dans la foulée met ton IE a jour aussi

scou · Answer

avec la dernière version de Hijack, ça donne :Logfile of HijackThis v1.99.1Scan saved at 16:12:21, on 02/03/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Sygate\SPF\smc.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Logitech\iTouch\iTouch.exeC:\Program Files\Winamp3\winampa.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\WINDOWS\System32\dwwin.exeC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\System32\wuauclt.exeC:\PROGRA~1\WINZIP\winzip32.exeC:\Documents and Settings\Administrateur\Local Settings\Temp\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.comR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startguiO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeO4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO12 - Plugin for .mpga: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{9782B763-E62A-468F-8C0B-441B12174719}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Teddy-Bear · Answer

Re,apres reanalyse de ton log fixe laes lignes suivante (2 nouvelles)Arrete ce processBackWeb-8876480.exeFixes les lignes:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.com 	R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeO13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?mO13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?myEllimine manuellementBackWeb-8876480.exe

scou · Answer

BackWeb-8876480.exe est lié à mon clavier Logitech je crois ce qui fait que de temps en temps un message en ligne me demande si je veux accéder à leur site.je le vire vraiment aussi ?

tufs · Answer

non  ne  vire  pas  back  weebhttp://www.liutilities.com/products/wintaskspro/processlibrary/backweb-8876480/ce  n  est  pas  un  spyware

scou · Answer

post 58 effectué sauf la suppression définitive de BackWeb-8876480.exe.je refait un log et tout revient encore et toujours (lignes R0 R1 et 013).Windows après 1h de téléchargement de Windows Service Pack2 refuse de m'installer la MAJ...je commence à désespérer !que puis-je faire now ?

tufs · Answer

ecoute  lol  je  peux  te  donner  une  solution  radicale   a  ton  problem  en  desespoir  de  cause  change  de  navigateur  parceque  de  toute  maniere  tu  sairas  tranquille  si  tu  peux  pas  mettre  les  correctifsde  windows  update  parceque  tu  ne  sairas  jamais  tranquillea  l  avenir  meme  si  ton  problem  s  ameliore  enfin  regarde  le  lienet  fait  comme  tout  le  monde  ici  sur  le  forum  en  utilise  tous  firefox  mozilla  regarde  le  lien  et  dit  moi  se  que  tu  penses  l  installation  se  fait  en  5  minutes  et  c  est  garantie  tranquilleau  niveau  securiterhttp://www.mozilla-europe.org/fr/products/firefox/enfin  fait  ton  choix  si  tu  veux   continuer  je  fait  route  avec  toipour  supprimer  ta  mauvaise  page  d  acceuil

scou · Answer

je regarde pour firefox mozilla .mais tu as une solution, même temporaire, pour supprimer la page d'accueil indésirable ? pour supprimer ces lignes de log R0, R1 et 013 définitivement ?j'ai cependant bien compris que le fait que ma version de Windows ne puisse pas être la dernière pose un problème de protection.on essaie ?

tufs · Answer

ok  tout  dabord  recolle  hijack  pour  verif

scou · Answer

dernier log avec malheureusement Windows non mis à jour :Logfile of HijackThis v1.99.1Scan saved at 17:10:26, on 02/03/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Sygate\SPF\smc.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Logitech\iTouch\iTouch.exeC:\Program Files\Winamp3\winampa.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\WINDOWS\System32\dwwin.exeC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\iexplore.exeC:\PROGRA~1\WINZIP\winzip32.exeC:\Documents and Settings\Administrateur\Local Settings\Temp\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.comR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startguiO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO12 - Plugin for .mpga: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

tufs · Answer

desactive   ta  restauration  system  en  1  lieu2  << relance  le  pc  et  demarrer  en  mode  sans  echec  puis  fixe  ses  lignesR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.comR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my= reboot  pc   et  relance  hijack  a  nouveau

scou · Answer

désolé, j'ai pas compris ce que tu entends par "desactive ta restauration system en 1 lieu "peux-tu préciser stp ?merci de ta patience.

tufs · Answer

oui  il  faut  desactiver  ta  restauration  systempour  celapanneau  de  configuration   puis  tu  bascule  vers  l  affichage  classiquetu  clique  sur  system   dans  la  fenetre  qui  suit  onglet  restaurationsystem   et  tu  coches  desactiver   la  restauration  system  ok

scou · Answer

j'ai suivi les conseils du post 66 : désactivation de la restauration système puis Hijack en mode sans échec 2 fois après redémarrage.les fameuses lignes sont toujours là ! ça fait ch.. ce truc.je vais pas pouvoir retrouver ma page d'origine et enlever ces trucs ?!

scou · Answer

vous êtes à cours d'idées ?

tufs · Answer

okessaye  de  telecharger  ses   utilitaires  gratuit  icihttp://www.emsisoft.com/en/software/free/http://www.lavasoftusa.com/french/software/adaware/tu  les  met  a  jour  et  tu   scannes  en  mode  sans  echec  pour  voiret  donne  suite

scou · Answer

ce sont a2 et AdAware : je les avais, je les ai mis à jour ce matin et lancé. ils m'ont trouvé quelques merdes qu'ils ont virées.je sais plus quoi faire.

moe · Answer

Télécharge DLLcompare ici: http://www.downloads.subratam.org/DllCompare.exe lance le et clic sur "Run locate.com" Quand "completed the scan, click compare to continue" apparait en bleu, clic sur le bouton COMPARE en bas à droite Une fois le scan terminé clic sur "make a log of what was found" Fait un copier coller du log ici

moe · Answer

sinon, tente une suppression manuelle (on sait jamais):demarrer>executer >tape regedit et valideEnsuite rend toi sur les clés suivantes:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Maindouble clic dans la fenetre de droite sur Start Page et efface la valeur  http://search-area.comHKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search-double clic dans la fenetre de droite sur SearchAssistant et efface la valeur: http://search-area.com/?my= (obfuscated) -double clic dans la fenetre de droite sur CustomizeSearch et supprime la valeur: http://search-area.com/?my= (obfuscated) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\double clic dans la fenetre de droite sur par défaut et ne garde que ceci: http://HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixesdouble clic dans la fenetre de droite sur www et ne garde que http://ensuite ferme le registre et va dans panneau de configuration> options internet> onglet programmes et clic sur retablir les parametres par défautsredemarre et verifie si ca à marché ou pas

scou · Answer

en mode sans échec : j'ai repassé a2 (pas de malware détecté) et AdAware (plusieurs merdes enlevées).j'ai fait Hijack dans la foulée et toujours pareil aux lignes R0 R1 et 013.

tufs · Answer

salut  moeil  vaut  mieux  faire  une  sauvgarde  du  registre  avant  ont  sait  jamaisclique  sur  demarrer  puis  sur   executer   dans  l  espace  texte  ouvrire  tapez  regedit  et  clique  sur  ok  clique  en  suite  sur  le  menu  registre  puis  sur  exporter  un  fichier  du  registre  puis  dans  la   fenetre  suivante  donner  un  nom  a  se fichier  et  clique  sur  enregistrer

scou · Answer

j'ai utilisé DLL compare : le log est*    DLLCompare Log version(1.0.0.127)Files Found that Windows does not See or cannot Access*Not everything listed here means you are infected!________________________________________________O^E says: "There were no files found :)"________________________________________________1 209 items found:  1 209 files, 0 directories.Total of file sizes:  234 296 369 bytes    223,44 MAdministrator Account =  True--------------------End log---------------------

scou · Answer

j'ai suivi le post 74 et les trucs reviennent toujours sur la page de démarrage du net.sous regedit, ça revient également de suite.que faire ?

pilou · Answer

je vien de lire l'ensemble de votre discussion      je pensaais avoir un probleme  apparement tout est relatif        bref je voulais juste vous souhaiter bonne chance

scou · Answer

j'ai lu que le problème des pages indésirables au démarrage venait souvent de tasker 2.exe (C:\WINDOWS\System32	asker32.exe).qu'en pensez-vous ?le supprimer ne va pas faire du chantier (dans le bureau ou la barre des taches) ?

moe · Answer

on essaye autre chose ?rend toi sur cette cleHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notifyfais clic droit sur notify et clic sur exporterdans la fenetre qui s'ouvre, choisis un nom de sauvegarde et dans type de fichier selectionne: fichier texteposte le contenu de se fichier texte en faisant un copier coller

scou · Answer

Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Nom de la classe : Heure de dernière écriture : 02/03/2005 - 20:49 Valeur 0 Nom : Type : REG_SZ Données : Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain Nom de la classe : Heure de dernière écriture : 01/01/2003 - 20:33 Valeur 0 Nom : Asynchronous Type : REG_DWORD Données : 0x0 Valeur 1 Nom : Impersonate Type : REG_DWORD Données : 0x0 Valeur 2 Nom : DllName Type : REG_EXPAND_SZ Données : crypt32.dll Valeur 3 Nom : Logoff Type : REG_SZ Données : ChainWlxLogoffEvent Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet Nom de la classe : Heure de dernière écriture : 01/01/2003 - 20:33 Valeur 0 Nom : Asynchronous Type : REG_DWORD Données : 0x0 Valeur 1 Nom : Impersonate Type : REG_DWORD Données : 0x0 Valeur 2 Nom : DllName Type : REG_EXPAND_SZ Données : cryptnet.dll Valeur 3 Nom : Logoff Type : REG_SZ Données : CryptnetWlxLogoffEvent Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll Nom de la classe : Heure de dernière écriture : 01/01/2003 - 20:33 Valeur 0 Nom : DLLName Type : REG_SZ Données : cscdll.dll Valeur 1 Nom : Logon Type : REG_SZ Données : WinlogonLogonEvent Valeur 2 Nom : Logoff Type : REG_SZ Données : WinlogonLogoffEvent Valeur 3 Nom : ScreenSaver Type : REG_SZ Données : WinlogonScreenSaverEvent Valeur 4 Nom : Startup Type : REG_SZ Données : WinlogonStartupEvent Valeur 5 Nom : Shutdown Type : REG_SZ Données : WinlogonShutdownEvent Valeur 6 Nom : StartShell Type : REG_SZ Données : WinlogonStartShellEvent Valeur 7 Nom : Impersonate Type : REG_DWORD Données : 0x0 Valeur 8 Nom : Asynchronous Type : REG_DWORD Données : 0x1 Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp Nom de la classe : Heure de dernière écriture : 01/01/2003 - 20:33 Valeur 0 Nom : DLLName Type : REG_SZ Données : wlnotify.dll Valeur 1 Nom : Logon Type : REG_SZ Données : SCardStartCertProp Valeur 2 Nom : Logoff Type : REG_SZ Données : SCardStopCertProp Valeur 3 Nom : Lock Type : REG_SZ Données : SCardSuspendCertProp Valeur 4 Nom : Unlock Type : REG_SZ Données : SCardResumeCertProp Valeur 5 Nom : Enabled Type : REG_DWORD Données : 0x1 Valeur 6 Nom : Impersonate Type : REG_DWORD Données : 0x1 Valeur 7 Nom : Asynchronous Type : REG_DWORD Données : 0x1 Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule Nom de la classe : Heure de dernière écriture : 01/01/2003 - 20:42 Valeur 0 Nom : Asynchronous Type : REG_DWORD Données : 0x0 Valeur 1 Nom : DllName Type : REG_EXPAND_SZ Données : wlnotify.dll Valeur 2 Nom : Impersonate Type : REG_DWORD Données : 0x0 Valeur 3 Nom : StartShell Type : REG_SZ Données : SchedStartShell Valeur 4 Nom : Logoff Type : REG_SZ Données : SchedEventLogOff Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy Nom de la classe : Heure de dernière écriture : 01/01/2003 - 20:43 Valeur 0 Nom : Logoff Type : REG_SZ Données : WLEventLogoff Valeur 1 Nom : Impersonate Type : REG_DWORD Données : 0x0 Valeur 2 Nom : Asynchronous Type : REG_DWORD Données : 0x1 Valeur 3 Nom : DllName Type : REG_EXPAND_SZ Données : sclgntfy.dll Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn Nom de la classe : Heure de dernière écriture : 01/01/2003 - 20:33 Valeur 0 Nom : DLLName Type : REG_SZ Données : WlNotify.dll Valeur 1 Nom : Lock Type : REG_SZ Données : SensLockEvent Valeur 2 Nom : Logon Type : REG_SZ Données : SensLogonEvent Valeur 3 Nom : Logoff Type : REG_SZ Données : SensLogoffEvent Valeur 4 Nom : Safe Type : REG_DWORD Données : 0x1 Valeur 5 Nom : MaxWait Type : REG_DWORD Données : 0x258 Valeur 6 Nom : StartScreenSaver Type : REG_SZ Données : SensStartScreenSaverEvent Valeur 7 Nom : StopScreenSaver Type : REG_SZ Données : SensStopScreenSaverEvent Valeur 8 Nom : Startup Type : REG_SZ Données : SensStartupEvent Valeur 9 Nom : Shutdown Type : REG_SZ Données : SensShutdownEvent Valeur 10 Nom : StartShell Type : REG_SZ Données : SensStartShellEvent Valeur 11 Nom : PostShell Type : REG_SZ Données : SensPostShellEvent Valeur 12 Nom : Disconnect Type : REG_SZ Données : SensDisconnectEvent Valeur 13 Nom : Reconnect Type : REG_SZ Données : SensReconnectEvent Valeur 14 Nom : Unlock Type : REG_SZ Données : SensUnlockEvent Valeur 15 Nom : Impersonate Type : REG_DWORD Données : 0x1 Valeur 16 Nom : Asynchronous Type : REG_DWORD Données : 0x1 Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify ermsrv Nom de la classe : Heure de dernière écriture : 01/01/2003 - 20:41 Valeur 0 Nom : Asynchronous Type : REG_DWORD Données : 0x0 Valeur 1 Nom : DllName Type : REG_EXPAND_SZ Données : wlnotify.dll Valeur 2 Nom : Impersonate Type : REG_DWORD Données : 0x0 Valeur 3 Nom : Logoff Type : REG_SZ Données : TSEventLogoff Valeur 4 Nom : Logon Type : REG_SZ Données : TSEventLogon Valeur 5 Nom : PostShell Type : REG_SZ Données : TSEventPostShell Valeur 6 Nom : Shutdown Type : REG_SZ Données : TSEventShutdown Valeur 7 Nom : StartShell Type : REG_SZ Données : TSEventStartShell Valeur 8 Nom : Startup Type : REG_SZ Données : TSEventStartup Valeur 9 Nom : MaxWait Type : REG_DWORD Données : 0x258 Valeur 10 Nom : Reconnect Type : REG_SZ Données : TSEventReconnect Valeur 11 Nom : Disconnect Type : REG_SZ Données : TSEventDisconnect Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon Nom de la classe : Heure de dernière écriture : 01/01/2003 - 20:33 Valeur 0 Nom : DLLName Type : REG_SZ Données : wlnotify.dll Valeur 1 Nom : Logon Type : REG_SZ Données : RegisterTicketExpiredNotificationEvent Valeur 2 Nom : Logoff Type : REG_SZ Données : UnregisterTicketExpiredNotificationEvent Valeur 3 Nom : Impersonate Type : REG_DWORD Données : 0x1 Valeur 4 Nom : Asynchronous Type : REG_DWORD Données : 0x1

scou · Answer

pénible mon pb de page de démarrage, n'est-ce pas ?

moe · Answer

Désolé, mais il n'y a rien d'anormal de se coté là non plusj'avoue que je commence à etre a cours d'idées, je te conseille d'envisager ce que te disait tuf a propos d'un autre navigateur.je viens de lire ton post(80), tu as tasker32 sur ton pc?sinon attend que balltrap34 ou dolly-dagger soient dans les parages pour leur exposer ton cas, alors peut etre.....de mon coté je vais essayé de voir si un cas similaire à été résolu sur d'autres forums et te tiens au courrant si c'est le cas.a+

tufs · Answer

salutmoe  c  est  ce  que  je  lui  ai  dit  regarde  le  post      62 tu  vas  rigoler  lit  le

scou · Answer

oui j'ai task32.exej'ai vu des trucs sur d'autres forums mais je comprends pas tout car c'est en anglais.http://www.lavasoftsupport.com/index.php?showtopic=57032déjà c'est le même problème (je crois) que searchdomhttp://www.commentcamarche.net/forum/affich-1254508-searchdom-net-encree-dans-le-regist-aide-svphttp://www.forum-microsoft.org/sutra169162.htmlje ne suis pas expert pour tout y comprendre.peut-être pourras-tu y trouver des idées.merci en tout cas à tout ceux qui me donnent un coup de main. c'est super sympa.

tufs · Answer

salut  scouva  faire  un  tour  par  la  et  lit  bien......http://www.forum-microsoft.org/sutra169162.html

moe · Answer

ouais, ca pourrait expliquer pas mal de chose ton lien, bizarre que ses antitrojans n'on rien detectés non?

scou · Answer

le lien http://www.forum-microsoft.org/sutra169162.html, je l'avais vu et mis au post 86. comme c'est en anglais et que je suis ni expert en info ni en anglais, j'ai epur de mal comprendre et de faire une grosse boulette...

scou · Answer

j'essaierai demain / posts 87 et 89 car là j'ai un coup de fatigue et un peu marre aussi.un grand merci à tous pour votre aide.

scou · Answer

bon, et bien, ça va toujours pas fort.si certains ont des idées...merci bien.

Utilisateur anonyme · Answer

je t'ai trouvé scoutu peux refaire un nouveau log hijack tout frais stp ? faut voir si le log a changé - merci @+tu le fais dans  C:\HijackThis (pas mes documents! pas programmes files!)- Le mettre dans 1 dossier : C:\HijackThis- Le lancer -> Scan -> Save log- Récupérer ce log/texte avec le bloc-notes.- Le copier/coller ici*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

scou · Answer

résultat du dernier log fait en mode sans échec.j'ai mis à jour Spybot, Adaware et Spysweeper ce matin même, ils ont tourné, enlevé plein de trucs mais peut-être que depuis d'autres spywares se sont incrustés (j'ai apparemment un conflit avec tous ces utilitaires installés). Spysweeper indique bien que  http://search-area.com fait du chantier mais semble pas en mesure de l'en empêcher.Logfile of HijackThis v1.99.1Scan saved at 14:06:45, on 03/03/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\kb32.exeC:\WINDOWS\Explorer.EXEC:\Hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.comR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhostR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startguiO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeO4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO12 - Plugin for .mpga: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Utilisateur anonyme · Answer

Platform: Windows XP (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)y'a un os là!! ça va pas ton système n'est pas à jourdirection : Microsoft Windows Update@+*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

scou · Answer

il refuse de me faire la MAJ en ligne. j'ai passé 1h hier à charger la MAJ chez Microsoft avec ensuite refus de MAJ de Windows.

Utilisateur anonyme · Answer

mais non pas de scan hijack en mode sans échec - tes processus ne seront pas tous listés - recommence en mode normal stp - on fixe en mode sans échec mais on fait un log en mode normal@+ps : si ta version XP n'est pas "officielle" les mises à jour échoueront*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

scou · Answer

en mode normal, ça donne :pour MAJ Windows XP, je crois que tu as tout compris : on m'avait prêté un CD lors de l'achat de mon pc, c'était donc un vrai-faux cadeau d'ami...Logfile of HijackThis v1.99.1Scan saved at 14:28:11, on 03/03/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Sygate\SPF\smc.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Logitech\iTouch\iTouch.exeC:\Program Files\Winamp3\winampa.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\WINDOWS\System32\dwwin.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\System32\wuauclt.exeC:\Hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.comR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startguiO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeO4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO12 - Plugin for .mpga: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Utilisateur anonyme · Answer

voui! donc ok pour wind.update.... c'est rapé ^_^ C:\Program Files\Messenger\msmsgs.exe <-- ça c'est un faux-ami, tu devrais désinstaller Messenger (qui n'a rien à voir avec MSN Messenger) et qui est une source d'ennui et de spams O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background dans le log fixer (coche les cases et fix checked) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http$://search-area.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http$://search-area.com/?my= (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http$://search-area.com/?my= (obfuscated) O13 - DefaultPrefix: http$://%73%65%61%72%63%68%2D%61%72%65%.... O13 - WWW Prefix: http$://%73%65%61%72%63%68%2D%61%..... 1) désactive ta restauration système Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs 2) passe en mode sans échec ça tu sais faire - c'est bien 3) ouvre le log hijack et fixe les lignes 4) reboot en mode normal *vide ton cache internet (options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout) 5) réactive ta restauration système (n'oublie pas) Ensuite : Pour supprimer Messenger explorateur windows : déplie (+)-->C:\(+)-->Program Files\ (+)-->Messenger\--> supprime : msmsgs.exe affiche les dossiers cachés<-- fait cette manip avant les fix - ensuite puisque ta restau système est désactivée - et que tu es en mode sans échec - tu supprimes le programme : msmsgs.exe Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers" Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>[!! coche!!] "Afficher les fichiers et dossiers cachés" Pour afficher les autres fichiers cachés>>[ !!décoche!!] la case "Masquer les fichiers protégés du système d'exploitation" * zeuh! reprend la procédure, je t'ai un peu embrouillé là-haut (ahummm! je patauge dans la semoule certains jours....) 1) affichage des dossiers protégés du système 2) désactivation restau.système 3) mode sans échec : fix et suppression de Messenger 4) reboot en mode normal 5) nettoyage complet 6) réactivation de la restauration système @+ *Devise : Je m'intéresse à l'avenir parceque c'est là que je vais passer le reste de ma vie*

scou · Answer

ce truc n'apparait pas dans panneau de config < ajout suppression de progdonc suppression sauvage en supprimant le dossier ?merci de ton aide.

Utilisateur anonyme · Answer

non pas de suppression à la sauvage, juste la procédure windows (obligatoire) de suppression d'une exe1) affichage des dossiers cachés et  protégés du système2) désactivation restau.système3) mode sans échec : fix et suppression de Messenger4) reboot en mode normal5) nettoyage complet6) réactivation de la restauration système *Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

moe · Answer

salut dolly ca va?salut scouPas facile le cadeau lol...a+

Utilisateur anonyme · Answer

salut moe, comment va?scou pour Messenger si ça te pose des problèmes, prend ce programme Shoot The Messenger (Windows Messenger Spam Elimination Freeware)http://www.grc.com/stm/shootthemessenger.htmbanzaiiiiIIiiiiiii! ^_^*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

scou · Answer

j'ai tout fait à la lettre en suivant les indications.

poiur le nettoyage complet, j'ai sélectionné les 8-9 cases à la fin et OK. c'est bien ça ?

maintenant je fais quoi ? un ptit log ?

salut moe, on continue à se marrer...

les virus ou spywares sont tenaces mais comme j'ai pas l'habitude de lacher moi non plus...avec votre aide bien sûr.

Utilisateur anonyme · Answer

refait un nouveau  log .....voyons  voir.....scrogneugneu!

scou · Answer

et m..., je crois bien que le truc machin bidule est toujours là !une autre idée ?Logfile of HijackThis v1.99.1Scan saved at 15:48:55, on 03/03/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Sygate\SPF\smc.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Logitech\iTouch\iTouch.exeC:\Program Files\Winamp3\winampa.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\WINDOWS\System32\dwwin.exeC:\Program Files\Microsoft Office\Office10\WINWORD.EXEC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.comR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startguiO4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeO4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO12 - Plugin for .mpga: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Utilisateur anonyme · Answer

j'ai sélectionné les 8-9 cases à la fin et OK. <-- tu dois en oublierça fait 5 cases à cocher/fait case par case et fixed checked/okR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http$://search-area.comR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http$://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http$://search-area.com/?my= (obfuscated)O13 - DefaultPrefix: http$://%73%65%61%72%63%68%2D%61%72%65%....O13 - WWW Prefix: http$://%73%65%61%72%63%68%2D%61%..... *Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

scou · Answer

en fixant ligne par ligne, ça donne rien, ça revient aussitot.autre solution ?avec regedit, j'avais déjà essayé aussi.

moe · Answer

salut

Sur ce forum, un prob très similaire avec celui de scou, R1, R0, 013 insupprimables, a été résolu:
http://www.lavasoftsupport.com/index.php?s=c439f2d67430da1f19a8cf16fd2dc909&showtopic=57032&hl=searchdom&st=20

Le probleme venait de l'existence de cette clé dans le registre

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\=>explorer.exe

et de l'exe qui lui est associé

Qu'est ce que vous en pensez ?
A vérifier, non?

a+

scou · Answer

visiblement, beaucoup de monde rencontre ce problème de page de démarrage ! car bcq de rubriques s'y rapporte.

que pensez-vous des solution apportées par kea dans les posts 6 20 et24 de
http://www.commentcamarche.net/forum/affich-689613-page-de-demarrage

pour mes soucis, ça conviendrait selon vous ?

mis à part aussi que je vais essayer de me procurer au plus vite Windows XP SP 2.

scou · Answer

moe, si tu peux m'expliquer ce qu'ils disent sur ton lien et surout traduire précisément. je comprends l'essentiel mais je préfèrerais que ce soit confirmé par quelqu'un de plus sur et expérimenté que moi.

merci par avance.

moe · Answer

en fait il faut vérifier si cette clé est présente dans ton registre:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\deploie Image File Execution Options et dis moi si tu vois un dossier nomme explorer.exe en dessous, s'il est bien présent tu clic dessus est tu note la valeur qui se trouve dans la fenetre de droite.

Utilisateur anonyme · Answer

non aucune autres solutions, ton infection est assez mineure, ça devrait marcher, à mon avis ça vient de l'utilisation d'hijack, tu dois faire une erreur qq part ....

ça par exemple c'est un log assez bouffé par une url "obfuscated" et au 1er fix tout est parti
http://www.webuser.co.uk/cgi-bin/forums/showflat.pl?Cat=&Board=browser&Number=56115&page=0&view=collapsed&sb=5&o=93&part=

(screenshot)
http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
http://www.ordi-netfr.org/tutorialhijackthis.html <- en français

ta restau système est désactivée?

essaye de rescanner avec Spybot (à jour)
va dans options internet : onglet confidentialité/sites Web/Modifier : rajoute le site en "toujours bloquer" vérifie que ce site ne ce soit pas inscrit en "toujours autoriser"

http$://search-area.com (sans le $ bien sûr )

vérifie ton fichier Host
(Déplier) C:-->\windows-->\system32-->\drivers\....\-->Host<--ouvrir avec le bloc-notes/Edition : "tout sélectionner "sauf" 127.0.0.1 localhost/Supprimer tout le reste

installe SpywareBlaster (anti activX) mis à jour et scan de ton poste
http://www.ordi-netfr.org/tutorialspywareblaster.html

@+

scou · Answer

il ya effectivement un dossier explorer.exe et dans ce dossier, il y a colonne de droite 2 icones :

- par défaut avec valeur non définie en données
- debugger avec C:\WINDOWS\System32\kb32.exe en données qd on double clique dessus.

moe · Answer

le probleme c'est qu'ils les a virées à la main dans le registre (R0,R1,013) et c'est reapparu aussi sec.voir post 74&78

Teddy-Bear · Answer

Re,En fait on retombe sur le meme probleme qu'au post suivanthttp://66.102.9.104/search?q=cache:K2-uCz91EWwJ:www.commentcamarche.net/forum/affich-1342652-analyse-hijack+kb32.exe&hl=fr&client=firefox-a

Utilisateur anonyme · Answer

c'est qu'il y a autre chose qui "réanime" l'activX du spyware, les trucs supprimés dans la base de registre qui reviennent c'est pratiquement impossible non ?

scou : est-ce que ça te rajoute un moteur de recherche cette url ou pas du tout?

scou · Answer

restau système bien désactivée

dans options internet : onglet confidentialité/sites Web/Modifier : rajoute le site en "toujours bloquer" : refus de l'inscrire car ce n'est un nom autorisé de site à interdire (à cause du tiret ?).

vérifie ton fichier Hosts, contenu, j'ai rien touché :

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 auto.search.msn.com

Utilisateur anonyme · Answer

supprime : 127.0.0.1 auto.search.msn.comdans les sites web "toujours bloquer" ne met pas http .... mais search-area.com*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

scou · Answer

en fait, très exactement :

quand j'ouvre ma connexion Wanadoo, grande icone Wanadoo, je clique sur Web : j'arrive à une page de démarrage Wanadoo (pas toujours, la plupart du temps).

quand je clique ensuite sur l'icone Internet explorer pour ouvrir une autre fenêtre, tentative d'accès au fameux site http://search-area.com, il y arrive ou il plante.

si pour avoir une 2e fenêtre, je repasse par l'icone web de Wanadoo, ça va en général cad pas d'accès vers le site pourri.

est-ce que ça te rajoute un moteur de recherche cette url ou pas du tout ? ça le rajouterai où ? ce site permet de faire des recherches web apparemment.

Utilisateur anonyme · Answer

dans la base de registre les "moteurs de recherche" sont là

dans la BdR avec précautions d'usage!

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar

Il existe trois sous-clès nommées :
Explorer, ShellBrowser, WebBrowser

Dans chacune
tu fais/clic droit sur la valeur binaire (suite de chiffres en général) " ITBarLayout
et tu la supprimes - tu le fais pour chacune des 3 sous clés -ok

et redémarre -

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

scou · Answer

j'ai fait le post 120 : search-area.com se trouve bien bloqué en accès.

par boite et icone Wanadoo : c'est OK, j'arrive à ma page de dem Wanadoo et en faisant dans cette page outils<option internet<page de dem il y a bien http://www.wanadoo.fr ninscrit

si je clique sur icone internet explorer : pas d'accès à search-area.com, la fenêtre tente d'aller vers la page de dem Wanadoo, il y arrive pas. à partir de là dans cette page outils<option internet<page de dem il y a search-area.com et enregardant dans les 1ères pages ouvertes correctement, ça a transformé option internet<page de dem http://www.wanadoo.fr en search-area.com.

je sais pas si ma description est calire et vous aidera...

peut-être je devrais refaire des trucs des posts précédents et déjà lointains.

Utilisateur anonyme · Answer

la page de démarrage se corrige aussi avec Hijackthis, tu dois mettre l'url
que tu veux (prends Google : http://www.google.fr/ c'est plus sûr lollll)

regarde bien le tuto
http://www.ordi-netfr.org/tutorialhijackthis.html

scou · Answer

post effectué. je vois pas de différence.et m...alors que le site est interdit, le revoilà en apge de dem ?!

scou · Answer

virer plus de lignes de mon dernier log ?j'ai la tête comme ça à force, je vire (fix) les 5 lignes dont on parle depuis longtemps oui plus ? log qui estLogfile of HijackThis v1.99.1Scan saved at 17:48:52, on 03/03/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Sygate\SPF\smc.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Logitech\iTouch\iTouch.exeC:\Program Files\Winamp3\winampa.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\WINDOWS\System32\dwwin.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.comR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startguiO4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeO4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO12 - Plugin for .mpga: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{9782B763-E62A-468F-8C0B-441B12174719}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Utilisateur anonyme · Answer

Il vient d'y avoir une mise à jour Spybot  tu l'as faite? idem de SpywareBlaster c'est téléchargé ?ensuite : hors connexion !! re-scan - dans Spybot : activation de la case BHO (bloquer les pages nuisibles silencieusement" et vaccinationscrogneugneu!! toujours les mm lignes dans l'hijack*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

moe · Answer

elles s'accrochent loldur, vraiment dur...

Utilisateur anonyme · Answer

comment ça se fait que Sygate ne le bloque pas? faudrait rajouter le site dans les programmes interditsy'a une m*rde dans les programmes du démarrage c'pas possibledécoche les programmes démarrer/exécuter : tape : msconfig/onglet : démarrage : décoche TOUT les programmes, sauf les indications Wanadoo (modem etc...) Sygate et Avast - redémarre aussitôt pour appliquer  et vérifie qu'il n'y est rien en rapport avec l'url pourrie[pt1cable]

Teddy-Bear · Answer

Dolly ....c'est la guerre  !!!!!!

Utilisateur anonyme · Answer

yep! spyware's war!!faudrait refaire un scan avec ravantivirus l'hijack est impuissant ici (pi! vi les trous de sécu de l'O.S ....... ) on est pas arrivé...

Teddy-Bear · Answer

j'espere que toute les actions se font en mode deconnecter ?

scou · Answer

Spybot mis à jour ce matin. je le fais tjs tourné hors connexion. rien de spécial mis à part Common hijacker à chaque fois.j'ai activé la case BHO. la case fichier hosts, faudrait aussi ?le fameux site, on l'a interdit dans panneau de config...mais il est revenu au démarrage ! ! ! encore. et dans hijack, j'ai mis aussi wanadoo en page de dem.et si on analysait où il va chercher au démarrage, si c'est vers une dll mauvaise...pas à pas.

scou · Answer

et si on regardait ce qui se passe au démarrage comme indiqué dans http://www.commentcamarche.net/forum/affich-689613-page-de-demarrage dans les posts 6 20 et 24 en utlisant startuprun.exe.

scou · Answer

absolument rien de détecté.mais je suis pas surpris : le problème ne semble pas venir d'un virus.y a-t-il encore qqchose que je puisse faire ?de toute façon, mon Windows est pas en forme : il me dit à chaque démarrage qu'il a des problèmes (mal atteint qu'il dit...) et une fenêtre appraot souvent "CnxMon.exe a rencontré un pb et doit fermer".

moe · Answer

salutSi tu veux tenter le coup pour la manip du post 110Sauf si tu possede ce logiciel "AT Kids Browser" qui expliquerait la présence de kb32.exe sinon je suis partant pour expliquer la manip.

scou · Answer

je n'ai pas ce logiciel AT Kids Browser.si ça peut aider :dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options il y a un dossier explorer.exe et dans ce dossier, il y a colonne de droite 2 icones : - par défaut avec valeur non définie en données - debugger avec C:\WINDOWS\System32\kb32.exe en données qd on double clique dessusallez, on tente.

Utilisateur anonyme · Answer

ça c'st moins grave ça vient de wanadoo, c'est connu comme bugAvec Wanadoo, j'ai un message d'erreur concernant le "CNXMON.EXE"http://www.faqoe.com/rep/err12.htmLes bugs fréquemment rencontrés à cause du kit de connexion Wanadoo.http://www.faqoe.com/connexionmanel.htmtu as essayé dans msconfig de décocher un max de programmes? (voir post plus haut)pour ce soir je dois quitter @+  tout le monde :-))essaye un navigateur alternatif (tu gardes IE pour euh!....les mises à jour de sécurité lol) surtout ne le désinstalle pas!Mozilla Firefox 1.0.1http://www.geckozone.org/http://www.mozilla-europe.org/fr/products/firefox/

moe · Answer

salutC'est parti...Faut d'abord faire une sauvegarde de la clé en question, en cas de fausse manoeuvre.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exefais un clic droit sur le dossier explorer.exe puis clic sur exporterdonne un nom à la sauvegarde et enregistre ou tu veux.ensuite, voilà la procédure exacte cité ici:http://www.lavasoftsupport.com/index.php?s=c439f2d67430da1f19a8cf16fd2dc909&showtopic=57032&hl=searchdom&st=20demarre en mode sans echecsrend toi sur cette clé:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\deploie Image File Execution Optionset supprime le dossier explorer.exe situé en dessousredemarre encore en mode sans echecs: rend visible les fichiers cachés et systemeset supprime:(tu peux faire une copie sur disquette de kb32.exe avant de le supprimer, on sait jamais)C:\WINDOWS\System32\kb32.exe C:\WINDOWS\Prefetch<= vide tout le contenu sauf layout.inipuis lance hijackthis et fixe:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my= O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%65%61%2E%63%6F%6D/?my=  Redemarre normalement et reposte un log hijackcroisons les doigts...

scou · Answer

moe, j'ai suivi la manip. je n'ose y croire, ce serait bon !?regarde le dernier log :j'aurai peut-être du aussi fixer le R0 about:blank ?Logfile of HijackThis v1.99.1Scan saved at 21:02:48, on 03/03/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Sygate\SPF\smc.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\Program Files\Logitech\iTouch\iTouch.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\Program Files\Winamp3\winampa.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\Hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhostR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startguiO4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeO4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO12 - Plugin for .mpga: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

moe · Answer

Je crois qu'on touche au but, enfin j'espere...fixe la, puis passe un coup de cwshredderensuite tu peux si tu veux, aller dans panneau de config>options internet >programmes clic sur rétablir les parametres websReposte un log hijack pour voir si on est bon ou pas

scou · Answer

ligne fixéerapport de cwshredder :Done!Removed from your system:- CWS.Svchost32par contre, je trouve que le net rame beaucoup. le fait d'avoir bcq d'utilitaires qui tournent tout le temps (spysweeper) ou affluence importante sur le net ce soir ou autre chose ?j'ai aussi un soucis dans mes mails dont le contenu image ne s'affiche pas, j'ai que du texte. c'est lié ou encore autre chose ?dernier log que je crois plutot très bien ! ! !moe, tu vas être mon héros ! regardeLogfile of HijackThis v1.99.1Scan saved at 21:28:42, on 03/03/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Sygate\SPF\smc.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\Program Files\Logitech\iTouch\iTouch.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\Program Files\Winamp3\winampa.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\WINDOWS\System32\wuauclt.exeC:\Hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startguiO4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeO4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO12 - Plugin for .mpga: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

mo · Answer

Ca fait plaisir à voir lolEt dire que ca aurait pu etre réglé depuis le post 87 grace au lien de tufs !!Pour outlook et ton probleme d'affichage de mails, faudrait peut etre voir du cotésdes réglages et options.Dsl, mais je n'ai jamais utilisé outlook.google et ton ami lolEn tout cas, je suis vraiment content que ca se termine bien.Mais tu peux toujours installer un autre navigateur tel que mozilla ou firefox et ne garder IE que pour les sites à qui tu accordes vraiment ta confiance.Sinon qu'ajouter de plus ?Règle les paramètres pour les controles activex dans IEOutils=>Options internet =>SécuritéDans la zone internet choisir "personnaliser le niveau"Controles reconnus surs pour l'écriture de scripts: DemanderControles non marqués sécurisés: DesactiverTélécharger les controles non signés: DésactivéTélécharger les controles signés: DemanderPour sécuriser un peu plus son pc:Safe XP:http://telechargement.zebulon.fr/102-safe-xp-1.5.1.25.htmlPour nettoyer le registre:Tu peux utiliser Regseeker(gratuit)lire l'aide avant d'utiliser:http://www.zebulon.fr/articles/regseeker-1.phpRegseekerhttp://www.ordi-netfr.com/regseeker.htmlun bon site pour la sécurité:http://gerard.melone.free.fr/IT/IT-AM0.htmlVoilà !!a+ et bon surf

scou · Answer

un immense merci à moe ainsi que tufs, teddy-bear et dolly.dagger.je vous en suis extrêmement reconnaissant, c'est génial. j'espère que vos compétences vous permettent d'avoir un boulot stable et qui vous plait.je retiendrai qu'il faut que je passe à Windows XP SP2, que les spybot, Adawre, spysweeper et autre sont à mettre à jour fréquemment et à appliquer.je vais bien lire tout ce que tu me recommandes, moe.et pour les petits problèmes restants, je verrai demain.encore un grand merci à vous tous.

scou · Answer

aujourd'hui, je suis content car mes problèmes ont disparu grace à vous.encore une fois un grand merci.seul bémol (pas forcément lié aux précédents pbs) : le contenu images...càd tout ce qui n'est pas du texte dans mes mails ne s'affiche pas. comment résoudre ça (c'est un simple réglage ?) ?vos idées ?

Teddy-Bear · Answer

BonjourSuis bien content pour toi ....il aura fallu QUE 145 Post.....un record ?   :0)

scou · Answer

333 posts vu hier dans une rubrique !pas d'idée pour mon dernier petit soucis post 145 ?

scou · Answer

333 posts vu hier dans une rubrique !pas d'idée pour mon dernier petit soucis post 145 ?

Teddy-Bear · Answer

oui mais c'est une rubrique qui a traité plusieurs utilisateurs sur le meme probleme...la nous avons a faire a un probleme ,un utilisateur

moe · Answer

salut scousalut teddyPour outlook essaye de voir dans le menu outils:clic sur options, puis sur l'onglet lecture et décoche "lire tous les messages en texte clair"Maintenant, point de vue sécurité.....Pour le nombre de post record, andré n'était pas mal non plus avec 170 posts lol!!http://www.commentcamarche.net/forum/affich-1232067-Log-hijackthis-pour-conseils-SVP#2005-02-01%2002%3A21%3A02a+

scou · Answer

pas loin du record en effet. j'espère que ça servira à d'autres pour résoudre leurs problèmes.menu outils options lecture et décoche "lire tous les messages en texte clair" : ça n'y est pas chez moi.ça le fait aussi sur certains pages du net : petit croix rouge à la place d'images, illustrations...

Teddy-Bear · Answer

Re,Salut MoéVouai c'etait pas mal non plus.....faudrai demander au admins de faire un classement ......and the Winner is   .....!!!!!!!!

moe · Answer

salut teddyLe principal, c'est que le probleme soit résolu, même après 200 post lol !!scou:l'option "lire tous les messages en texte clair" n'est apparu qu'avec le SP1, donc normal que tu ne l'ai pas.Jete un oeil ici, on sait jamais..http://www.faqoe.com/rep/aa.htma+

Utilisateur anonyme · Answer

hello tt le monde ^_^je rentre (il neigeeee à Toulouse) c'est réglé? yipiii!  scou : la proposition Firefox tiend toujours, surtout avec tes failles de sécu..... et 2 navigateurs valent mieux qu'1 surtout quand IE est en jeubonne continuation et bon surf - on te dit pas à bientôt sur ce....^_^*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

scou · Answer

le contenu images...càd tout ce qui n'est pas du texte dans mes mails ne s'affiche pas.en plus, dans les pages web, certaines images n'apparaissent pas, remplacées par des petites croix rouge.ça n'a rien à voir avec tout ce que l'on a fait ?voyez-vous une solution ?merci merci merci merci.

Utilisateur anonyme · Answer

regarde du côté de Java pour les imageset tu côté de FlashPlayer pour les animations parfois on ne distingue pas si c'est animation  ou image - dans le doute les 2 c'est mieuxJava M$ vers Sunhttp://www.pcastuces.com/pratique/internet/ie/java.htmFlashPlayer 7.0http://www.macromedia.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash&Lang=French&P5_Language=French*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

Analyse hijack

152 réponses

Votre réponse

Discussions similaires

Newsletters