Cws smartsearch.2 et variant msbho Résolu

Question

Bonsoir à tous, je m'en remets à vous encore une fois. Je suis sous xp sp1, tout allait bien jusqu'à ce que mon ordi s'eteigne tout seul pendant une verification avec Spybot. Je me suis dit qu'il avait du chauffer un peu, parce qu'en le rallumant, spybot ne m'a rien trouvé. Maintenant, mon probleme, d'apres ce que j'ai pu trouver sur le net et de CWSshredder lui-même, je me serai choppé CWS Smartsearch.2 (fenetre de CWSshredder quand j'ai voulu faire une update, typique apparament de ce trojan) et CWS variant msbho. Mais voila, en essayant toutes les solutions trouvées sur le net, je ne trouve rien à supprimer ou d'anormal, mis à part une ligne 017 dans mon log Hijackthis qui m'indiqu que je suis connecté directement par le trojan. Ma page d'accueil n'a pas bougée, je ne suis redirigé vers http://69.50.190.131 que lorsque les pages demandées commencent par un chiffre Toutes les dll et autres exe qui devraient se trouver sur mon ordi n'y sont pas ; mais d'apres ce que j'ai pu lire, une application appelée sp2chk.exe rendrait tout ceci invisible pour windows explorer...Je ne peux pas m'en sortir seul sur ce coup là. J'ai un Avast, ZoneAlarm, spybot s&d, CWShredder, hijackthis, et j'ai fait un scan en ligne avec Panda je ne suis pas parvenu à trouver cette ligne pour suppression : Adware:Adware/CWS  No disinfected  C:\WINDOWS\color.css Voilà, je vous mets mon log hijackthis, au cas où mais peut-être qu'il ne peut rien voir à cause de ce CWS !Logfile of HijackThis v1.99.1Scan saved at 20:59:10, on 26/03/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Dell\AccessDirect\dadapp.exeC:\Program Files\Dell\QuickSet\quickset.exeC:\Program Files\Dell\AccessDirect\DadTray.exeC:\Program Files\Synaptics\SynTP\SynTPLpr.exeC:\Program Files\Synaptics\SynTP\SynTPEnh.exeC:\WINDOWS\System32\DSentry.exeC:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exeC:\WINDOWS\System32\rundll32.exeC:\Program Files\Fichiers communs\Real\Update_OB\realsched.exeC:\WINDOWS\BCMSMMSG.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\WINDOWS\System32\NotifyPhoneBook.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\wanmpsvc.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\jean-balthazar\Mes documents\logiciels\HijackThis\hijackthis\HijackThisv.1.99.1\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exeO4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exeO4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exeO4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exeO4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exeO4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLLO4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osbootO4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exeO4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exeO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Messenger\Messenger\Messenger\yhexbmes.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Messenger\Messenger\Messenger\yhexbmes.dllO15 - Trusted Zone: *.frame.crazywinnings.comO15 - Trusted Zone: *.static.topconverting.comO16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/fr/win/QuickTimeFullInstaller.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{E86C8C3C-DB73-43D5-AE57-BD4910F56CAE}: NameServer = 69.50.188.180 195.225.176.37O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exeO23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exeVoila, la ligne 017 revient à chaque fois et je ne sais pas si c'est important, mais ma vitesse de connexion qui habituellement est de 3,3 Mbits/s est à 4,6 Mbits/s ! J'espère que vous allez pouvoir m'aider, merci !

Utilisateur anonyme · Answer

bonsoir,1) téléchargehttp://www.mvps.org/winhelp2002/restricted.htmDownload: -->DelDomains.infpour tes lignes 015O15 - Trusted Zone: *.frame.crazywinnings.comO15 - Trusted Zone: *.static.topconverting.com (...undesired site add the entry to the "Restricted Zone"...)2) déconnecte-toi3) exécute le programme en suivant les indications de l'url (très facile)4) relance hijack/coche la ligne 017O17 - HKLM\System\CCS\Services\Tcpip\..\{E86C8C3C-DB73-43D5-AE57-BD4910F56CAE}: NameServer = 69.50.188.180 195.225.176.37 <-- CWS!!si elle persiste fait le en mode sans échec5) rescanne avec  Spybotsi tu as un problème ou autre avec l'hijack/reverse (décoche) la ligne avec le Backup  (voir screen*)screenshot*http://www.ordi-netfr.org/tutorialhijackthis.html*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

il faut cocher cette ligneO17 - HKLM\System\CCS\Services\Tcpip\..\{E86C8C3C-DB73-43D5-AE57-BD4910F56CAE}: NameServer = 69.50.188.180 195.225.176.37 <-- CWS!! (CoolWebSearch) (vérifie sur par toi même sur Google si tu veux)exécute l'anti-trustzone + l'hijack et regarde si ça s'améliore, c'est la seule solution - tu peux scanner en mode sans échec aussi avec Spybot*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

jeanle23 · Answer

Je sais, je n'arrete pas de la cocher !  "CoolWebSearch/msbho: an Internet Explorer BHO that acts as a backdoor. Stored in the System32 folder under the name ‘msXXX.dll’ where XXX is three random lower-case letters; uses a random class ID. When a new IE window is open, it contacts its controlling server which directs it to install further software including sp2chk.exe (a rootkit-like hook that makes other CWS files invisible to the Windows file Explorer), tlntadmnx.exe (which puts the site 63.219.181.7 in the IE Trusted Sites Zone, then calls it to install the OnlineDialer/Ole parasite, which loads Richfind/Q) and tcpsvcss.exe (which hijacks the DNS server settings of all internet connections to 69.50.188.180 and 195.225.176.31, allowing these servers to redirect access to any site to an attacker). It can also load the CoolWebSearch/WinProtect, Freshbar and WareOut parasites. " J'ai trouvé ce site sur google (avec plutôt), ainsi qu'un site similaire, celui de CWSshredder. Mais je ne sais pas comment m'en debarasser. Leurs solutions ne s'appliquent pas ici, snif. Je fixe, je fixe...

jeanle23 · Answer

Alors, j'ai passer spybot en mode sans echec, il m'a trouvé le lien (signet) qui pointait sur la page sus-citée et c'est tout ; enfin presque puisque, d'un naturel mefiant, quand j'ai refait un scan, à la suite, mon ordi c'est eteint pendant le scan. La je te parle (là c'est Dolly.dagger) et j'ai du recocher ma petite case 017. Le message d'erreur est à peu pres, TCP... m'annonce qu'un peripherique ne fonctionne pas correctement. Je suis allez voir dans mon gestionnaire de peripherique, panneau de conf et tout et tout et rien d'anormal, sauf peut-être, carte reseau 1394 desactivée (?). Je dois changer qq chose ? Pour mon chef d'oeuvre (j'ai vu ton petit hochement de tete du style, ahlala), c'est simplement la clé pointée par la ligne, j'ai suivi le chemin. Comme un grand (con).

jeanle23 · Answer

Le message : TCP/IP CP a reporté l'erreur 31 : Un peripherique attaché au systeme ne fonctionne pas correctement. si jamais, il me faudra reformater l'ordi ? Parce que là, au bout de quelques minutes, plus aucunes pages web n'est disponibles, bien que je sois toujours connecté à internet...

balltrap34 · Answer

salutrelance hijack et clik sur open misc toolspuis sur backup coche la 017 suppr et clik sur restoreet la verifie si tu as retrouver ta connextion

jeanle23 · Answer

Qaund je fixe la ligne 017, au bout d'un certain temps, je ne peux plus ouvrir de nouvelles pages internet sans avoir a redemarrer mon ordi. Que risque-je si je reste connecté sans fixer la ligne ? Dois-je reconfigurer une connection ? Formater mon ordi carrement ?Bonne nuit ?

balltrap34 · Answer

ne formate pas et laisse cette 017je sais pas se qu en pense dolly(pour dolly) les dns ne corresponde passymantec=      69.50.184.84,195.225.176.37la 017 a jean=69.50.188.180 195.225.176.37 refait un hijack et decrit nous maintenant les soucis que tu as pour faire le point

jeanle23 · Answer

Scuz balltrap34, je m'etais deconnecté le temps d'un scan avec Avast (resultat clean mais il l'etait aussi il y a trois jours (et j'etais deja contaminé))... Alors, pour resumé, j'allume mon ordi, je me connecte à internet 1-Message "TCP/IP CP a reporté l'erreur 31 : Un peripherique attaché au systeme ne fonctionne pas correctement."=Ca c'est ma petite (j'espere pas grosse) connerie. 2-Je dois relancer ma connexion internet.  2-1-La je note depuis quelques jours que sa vitesse est passée de 3,3 à 4,6 Mbits/s.3-Je lance Hijack et coche la ligne 017 et la fixe.4-Apres plusieurs minutes, si par exemple sur ma premiere fenetre je suis sur CCM, sur ma seconde sur un autre site, l'action suivante, navigation, actualisation, etc. se concluera par un page blanche, pas dispo ou verifier les parametres reseaux (je ne sais plus trop) ; alors que sur ma premiere, je pourrais toujours actualiser ma page CCM (ds l'exemple), et suivre vos conseils avisés. Par contre, si je la ferme, là je ne pourrai plus ouvrir (du moins lire la page normale) aucune page web tout en etant toujours connecté au reseau. Et il me faudra redemarrer mon ordi pour pouvoir naviguer sur internet à nouveau. Ce qui m'a alerté, 1-L'ordi qui s'eteint sans aucune somation pendant le scan de spybots&d. (et maintenant l'update de CWSshredder qui m'est refusée tout en m'alertant de mon infection par CWS Smartsearch.2)2-A partir de certaines pages internet, la suivante commence à se charger mais l'adresse est redirigée vers http://69.50.190.131 (apres j'ai pas regardé). Et dernierement, j'ai voulu refaire un scan en ligne via Pandasoftware, et arrivé au choix des zones à scanner, plus rien ne se passe et dans le coin inferieur gauche de la fentre, il y a "erreur sur la page" (avec le petit panneau jaune et le point d'exclamation). Mais je réessaierai demain.  Voilà, vous savez tout docteur ! Ma page d'accueil est about:blank et ca n'a pas bougé, je peux toujours telecharger ce que je veux, pas de processus, applications ou dll suspectes (pas que je puisse voir avec explorer en tout cas ! Parce que j'ai lu qu'une application rendrait tout ça invisible via windows avec ce ou ces trojan CWS...)Merci de vous occuper de moi meme a cette heure tardive ! A demain j'espere !

balltrap34 · Answer

re tu ne ma pas mis un nouvel hijackbon telecharge ceci et utlise lehttp://216.239.39.104/translate_c?hl=fr&u=http://www.castlecops.com/downloads-file-332.html&prev=/search%3Fq%3DSmartsearch.2%26num%3D100%26hl%3Dfr%26lr%3D%26ie%3DUTF-8%26sa%3DGensuite lance CWShreddermet le a joursi tu ne la pas tu le trouvera     (ici)               http://pageperso.aol.fr/balltrap34/page%20virus.htmil faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next

jeanle23 · Answer

Bonjour, me revoilà, le lien que tu m'as proposé ne marche pas, il ne corresponds qu'à la page d'accueil de Castlecops. Je n'ai pas trouvé le file-332, et à la recherche Smartsearch.2, rien n'est trouvé. Peut-être me proposiez-vous le logiciel active Ports, c'est ça ? J'ai vu CWShredder 2 ? C'est quoi ? Je me demandais, vu que je n'arrive pas à faire la mise à jour avec mon CWShredder, est-ce que si on m'en envoie un updater il reussierai à me virer smartsearch.2 ? C'est pe bete mais bon...Je vous remets un log hijack Logfile of HijackThis v1.99.1Scan saved at 14:18:40, on 27/03/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Dell\AccessDirect\dadapp.exeC:\Program Files\Dell\QuickSet\quickset.exeC:\Program Files\Synaptics\SynTP\SynTPLpr.exeC:\Program Files\Synaptics\SynTP\SynTPEnh.exeC:\Program Files\Dell\AccessDirect\DadTray.exeC:\WINDOWS\wanmpsvc.exeC:\WINDOWS\System32\DSentry.exeC:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exeC:\WINDOWS\System32\rundll32.exeC:\Program Files\Fichiers communs\Real\Update_OB\realsched.exeC:\WINDOWS\BCMSMMSG.exeC:\WINDOWS\System32\NotifyPhoneBook.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\jean-balthazar\Mes documents\logiciels\HijackThis\hijackthis\HijackThisv.1.99.1\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exeO4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exeO4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exeO4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exeO4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exeO4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLLO4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osbootO4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exeO4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exeO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Messenger\Messenger\Messenger\yhexbmes.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Messenger\Messenger\Messenger\yhexbmes.dllO16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/fr/win/QuickTimeFullInstaller.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{E86C8C3C-DB73-43D5-AE57-BD4910F56CAE}: NameServer = 69.50.188.180 195.225.176.37O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exeO23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exeVoilà, il n'a pas changé, et ce depuis des semaines. Merci.

balltrap34 · Answer

essai se lien et utilise lehttp://www.majorgeeks.com/download4113.htmlensuite lanceCWShredder met le a jour si tu ne la pas tu le trouvera (ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm

jeanle23 · Answer

Merci mais j'avais deja essayé ce delcwssk... et malheureusement, il ne m'a rien trouvé. (smartkiller et non pas smartsearch...)Le scan en ligne avec pandasoftware ne fonctionne plus (pour moi), celui de rav ne m'a rien trouvé. Qu'est-ce que je risque à rester connecter sans fixer la ligne 017 ?Mes mots de passe risquent-ils quoique ce soit ? Des attaques des prochaines versions de ces CWS ? La mise a jour de la derniere version de CWShredder (intermute) n'est toujours pas permise, neanmoins, il me dit que le programme va quand meme analyser mon ordi avec un titre aleatoire et ne me trouve rien. La version precedente 1.59.0.1 ne me trouve rien non plus. Voilà, merci balltrap34. je suppose que dans quelques temps on trouvera la solution facilement.

balltrap34 · Answer

si tu pense pouvoir le faire regarde cecihttp://translate.google.com/translate?hl=fr&sl=en&u=http://securityresponse.symantec.com/avcenter/venc/data/adware.smartsearch.html&prev=/search%3Fq%3D%2Bsmartsearch%26num%3D100%26hl%3Dfr%26lr%3D%26ie%3DUTF-8%26sa%3DG

Utilisateur anonyme · Answer

bonsoir Jean et hello balltrapet regarder dans la BdR, sans toucher à rien pour le moment si les IP 69.50.188.180 195.225.176.37  sont présentes ?HKEY_LOCAL_MACHINE/SYSTEM/CURRENT CONTROL SET/SERVICES/TCPIP/(PARAMETERS)il y a l'astuce pour ne pas être redirigé :mettre la  valeur : EnableICMPRedirect.... à 0c'est peut être trop tard.....il faudrait multiplier les scans antispywaresFree Anti-Spyware Software Spybot Search & Destroy<--okHijackThis!<--okAd-aware<--okSpywareBlaster<--antiactivX (toujours bon)SpywareGuardCWShredder<--euh?IE-SPYADBHODemon<--c'pas la peine c'est pas une BHOMicrosoft AntiSpyware (beta)<--à voirhttp://www.netrn.net/spywareblog/à essayer :SpySubtract <--excellentDownload a free 30 day trial http://www.intermute.com/products/spysubtract.htmlSpySweeper 1.3/anti-spywares (30 jours d'essai)http://www.webroot.com/fr/index.php et les scans online/type Pestpatrol etc... sur Assiste*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

oups! j'ai pas vu l'heure, je file - bon courage @+bon week-end de Pâques Balltrap et bon cocholat :-))))

jeanle23 · Answer

Salut Dolly, Des "cocholats" hein ? Toi tu dois etre pressée de les manger !Bon, pour les chiffresdans ...\Tcpip\Parameters\Interfaces\{E86C8C3C(etc.) à la colonne "nom", à la ligne "NameServer" les données sont bien 69.50.188.180 195.225.176.37 Par contre je n'ai pas EnableICMPRedirect, seulement EnableDeadGWDetect (celui-ci est (1)...Mais j'ai pas touché lol !)et EnableDHCPJe vais jeter un oeil sur ce que tu me proposes Balltrap, merci tous les deux ! J'abandonnerai pas !

jeanle23 · Answer

J'ai regardé ton truc sur symantec et je n'ai aucunes des modifications n'y aucuns des .exe ajoutés par le trojan (j'avais deja trouvé une liste sur le net que j'ai ensuite comparé à ce qui se trouve dans mon ordi et rien). Voila, merci quand meme.

balltrap34 · Answer

dur durfait ceci juste par acquis de consiencehttp://www.downloads.subratam.org/l2mfix.exedecompresse le double clik dessus appuie sur n importe quelle touche et ensuite choisi l option 1attend il vas faire un rapport fait un copier coller de celui cine fait surtout rien d autres

jeanle23 · Answer

Je dois etre nul mais bon, j'ai double cliker dessus, il s'est installé mais dans le nouveau dossier il y a 6 applications locate, Ntrights, Process, Reboot, strings et zipLaquelle est la bonne ? Comme je ne veux pas faire de betises... J'ai bien lu "read me", et que je devais choisir "report generator to verify infection", c-a-d l'option 1 à partir du menu. J'attendrais tes (vos) instructions. Dans HLM\SOFTWARE\Microsoft\windows\currentversion\Internet settings\safesites j'ai trouvé http://home.microsoft.com/intl/fr/ et dans les données correspondant à cette ligne : http://ie.search.msn.com/*Je vais regarder sur internet pour voir un peu ce qu'ils disent... Tchao, et encore merci !

moe · Answer

salut jeanle23Pour lancer le scan, il faut que tu clique sur  l2mfix.bat. Puis clic sur   [entrée]Choisis l'option 1 et valide avec [entrée].a+

jeanle23 · Answer

Merci Moe, content que tu te joignes à la discussion ! C'est fait, pendant l"analyse, une fenetre c'est ouverte : [...]tem32\cmd.exe [...]TEM32\AUTOEXEC.NT. le fichier sytem ne convient pas à l'éxecution des applications MS-DOS ou windows. J'avais un choix, fermer ou ignorer , j'ai cliker fermer. Deux fois de suite ça me l'a fait. Sinon, voila, je vous colle le log (je vous previens, c'est long !) L2MFIX find log 1.03 These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify ermsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "3304"="" ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{00022613-0000-0000-C000-000000000046}"="Feuille de propri‚t‚s du fichier multim‚dia" "{176d6597-26d3-11d1-b350-080036a75b03}"="Gestion de scanneur ICM" "{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Page de s‚curit‚ NTFS" "{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Page des propri‚t‚s de OLE DocFile" "{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensions de l'environnement pour le partage" "{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension" "{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Carte du Panneau de configuration" "{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage cran du Panneau de configuration" "{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Panorama du Panneau de configuration" "{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Page de s‚curit‚ DS" "{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Page de compatibilit‚" "{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestionnaire de donn‚es endommag‚es de l'environnement" "{59099400-57FF-11CE-BD94-0020AF85B590}"="Extension copie de disquette" "{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensions de l'environnement pour les objets r‚seau de Microsoft Windows" "{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestion d'‚cran ICM" "{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestion d'imprimante ICM" "{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensions de l'environnement de compression de fichiers" "{77597368-7b15-11d0-a0c2-080036af3f03}"="Extension de l'environnement d'imprimante Web" "{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI" "{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu contextuel de cryptage" "{85BBD920-42A0-1069-A2E4-08002B30309D}"="Porte-documents" "{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extension ic“ne HyperTerminal" "{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts" "{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC" "{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Page de s‚curit‚ des imprimantes" "{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensions de l'environnement pour le partage" "{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension" "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie PKO" "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie Sign" "{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connexions r‚seau" "{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Connexions r‚seau" "{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Scanneurs et appareils photo" "{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Scanneurs et appareils photo" "{905667aa-acd6-11d2-8080-00805f6596d2}"="&Scanneurs et appareils photo" "{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Scanneurs et appareils photo" "{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Scanneurs et appareils photo" "{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension" "{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensions de l'interpr‚teur de commandes pour l'environnement d'ex‚cution de scripts Windows" "{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Liaison de donn‚es Microsoft" "{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler" "{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension" "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tƒches planifi‚es" "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barre des tƒches et menu D‚marrer" "{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Rechercher" "{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support" "{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support" "{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ex‚cuter..." "{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet" "{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Courrier ‚lectronique" "{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Polices" "{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Outils d'administration" "{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler" "{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler" "{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler" "{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler" "{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler" "{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor" "{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barre d'outils Internet Microsoft" "{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="tat du t‚l‚chargement" "{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Dossier Bureau ‚tendu" "{6413BA2C-B461-11d1-A18A-080036B11A03}"="Dossier du shell augment‚" "{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy" "{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Bande du navigateur Microsoft" "{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Bande de recherche" "{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band" "{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Volet int‚gr‚ de recherche" "{07798131-AF23-11d1-9111-00A0C98BA67D}"="Recherche Web" "{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilitaire des options de l'arborescence du Registre" "{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse" "{A08C11D2-A228-11d0-825B-00AA005B4383}"="BoŒte d'entr‚e de l'adresse" "{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Saisie semi-automatique Microsoft" "{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor" "{6756A641-DE71-11d0-831B-00AA005B4383}"="Liste de saisie semi-automatique MRU" "{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU" "{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible" "{acf35015-526e-4230-9596-becbe19f0ac9}"="Barre de progrŠs auto-ouvrante" "{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analyseur de la barre d'adresses" "{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft" "{03C036F1-A186-11D0-824A-00AA005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft" "{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft" "{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu Site de bandes" "{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp" "{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barre du Bureau" "{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite" "{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistance utilisateur" "{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="ParamŠtres du dossier global" "{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band" "{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service" "{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer" "{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut" "{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service" "{FF393560-C2A7-11CF-BFF4-444553540000}"="Historique" "{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook" "{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Image de d‚marrage de la Suite IE4" "{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook" "{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC" "{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC" "{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet" "{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space" "{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band" "{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{88C6C381-2E85-11D0-94DE-444553540000}"="Dossier ActiveX Cache" "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" "{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr" "{F5175861-2688-11d0-9C5E-00AA00A45957}"="Dossier Inscription" "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" "{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent" "{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent" "{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent" "{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent" "{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent" "{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler" "{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestionnaire d'applications d'environnement" "{0B124F8F-91F0-11D1-B8B5-006008059382}"="num‚rateur d'applications install‚es" "{CFCCC7A0-A282-11D1-9082-006008059382}"="Publication d'application Darwin" "{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs" "{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory" "{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extracteur de miniatures de fichier + GDI" "{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Gestionnaire de miniatures - Informations de r‚sum‚ (DOCFILES)" "{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extracteur de miniatures HTML" "{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler" "{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Assistant Publication de sites Web" "{add36aa8-751a-4579-a266-d66f5202ccbb}"="Commande d'impressions via le Web" "{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objet Assistant de publication Shell" "{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Assistant Obtenir une identit‚ Passport" "{7A9D77BD-5403-11d2-8785-2E0420524153}"="Comptes d'utilisateurs" "{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler" "{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target" "{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Fichier de chaŒne" "{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Raccourci de chaŒne" "{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object" "{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu" "{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties" "{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview" "{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext" "{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control" "{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control" "{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control" "{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control" "{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control" "{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI" "{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object" "{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find" "{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find" "{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI" "{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs" "{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook" "{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target" "{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties" "{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu" "{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options" "{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Dossier Fichiers hors connexion" "{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler" "{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell" "{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%" "{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler" "{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer" "{32714800-2E5F-11d0-8B85-00AA0044F941}"="Des &personnes..." "{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler" "{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler" "{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler" "{D3581EB7-5E16-4182-9F58-86FA713B42F9}"="AOL fourni par Dell" "{5E44E225-A408-11CF-B581-008029601108}"="Adaptec DirectCD Shell Extension" "{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension" "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player" "{5464D816-CF16-4784-B9F3-75C0DB52B499}"="Yahoo! Mail" "{472083B0-C522-11CF-8763-00608CC02F24}"="avast" ********************************************************************************** HKEY ROOT CLASSIDS: ********************************************************************************** Files Found are not all bad files: Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est F8B0-62D6 R‚pertoire de C:\WINDOWS\System32 19/02/2005 23:28 DLLCACHE 09/12/2004 19:28 11ÿ591 ogpvk.txt 04/12/2004 13:32 11ÿ591 olxvq.txt 29/11/2004 16:03 389ÿ120 m?iexec.exe 18/11/2004 13:37 3ÿ347 jotth.txt 23/09/2003 16:05 Microsoft 4 fichier(s) 415ÿ649 octets 2 R‚p(s) 2ÿ028ÿ740ÿ608 octets libres

balltrap34 · Answer

tu aurais du faire ignorerrelance l2mfix et clik sur l2mfix.bat et cette foix clik sur l option2 et laisse le faire et met moi le rapport --la chasse et le balltrap ma vrai passionvoir site perso dans profil

jeanle23 · Answer

Je te met le rapport ; à la fin de celui-ci, Zone-alarm m'a demandé si j'acceptais l'acces a internet de PING.EXE et Generic Host (comme un server je crois pour celui-la), j'ai dit non aux deux (de toutes facon je n'etais pas encore connecté)le rapport : L2Mfix 1.03 Running From:C:\Documents and Settings\jean-balthazar\Mes documents\logiciels\l2mfix\l2mfix  RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and aboveCopyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)This program is Freeware, use it on your own risk!Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:(ID-NI) ALLOW  Read        	BUILTIN\Utilisateurs(ID-IO) ALLOW  Read        	BUILTIN\Utilisateurs(ID-NI) ALLOW  Full access 	BUILTIN\Administrateurs(ID-IO) ALLOW  Full access 	BUILTIN\Administrateurs(ID-NI) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	CREATEUR PROPRIETAIRE Setting registry permissions: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and aboveCopyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)This program is Freeware, use it on your own risk!Denying C(CI) access for predefined group "Administrators" - adding new ACCESS DENY entry Registry Permissions set too:RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and aboveCopyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)This program is Freeware, use it on your own risk!Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:(CI)    DENY   --C-------   	BUILTIN\Administrateurs(ID-NI) ALLOW  Read        	BUILTIN\Utilisateurs(ID-IO) ALLOW  Read        	BUILTIN\Utilisateurs(ID-NI) ALLOW  Full access 	BUILTIN\Administrateurs(ID-IO) ALLOW  Full access 	BUILTIN\Administrateurs(ID-NI) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	CREATEUR PROPRIETAIRE Setting up for Reboot  Starting Reboot! C:\Documents and Settings\jean-balthazar\Mes documents\logiciels\l2mfix\l2mfix System Rebooted!  Running From:C:\Documents and Settings\jean-balthazar\Mes documents\logiciels\l2mfix\l2mfix killing explorer and rundll32.exe Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.orgKilling PID 1352 'explorer.exe'Killing PID 1352 'explorer.exe'Killing PID 1352 'explorer.exe'Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.orgKilling PID 156 'rundll32.exe' Scanning First Pass. Please Wait! First Pass Completed  Second Pass Scanning  Second pass Completed! Zipping up files for submission:  adding: clear.reg (164 bytes security) (deflated 2%)  adding: echo.reg (164 bytes security) (deflated 16%)  adding: direct.txt (164 bytes security) (deflated 14%)  adding: lo2.txt (164 bytes security) (deflated 71%)  adding: readme.txt (164 bytes security) (deflated 49%)  adding: report.txt (164 bytes security) (deflated 62%)  adding: test.txt (164 bytes security) (stored 0%)  adding: test2.txt (164 bytes security) (stored 0%)  adding: test3.txt (164 bytes security) (stored 0%)  adding: test5.txt (164 bytes security) (stored 0%)  adding: backregs/shell.reg (164 bytes security) (deflated 73%) Restoring Registry Permissions:  RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and aboveCopyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)This program is Freeware, use it on your own risk!Revoking access for predefined group "Administrators"Inherited ACE can not be revoked here!Inherited ACE can not be revoked here! Registry permissions set too:RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and aboveCopyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)This program is Freeware, use it on your own risk!Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:(ID-NI) ALLOW  Read        	BUILTIN\Utilisateurs(ID-IO) ALLOW  Read        	BUILTIN\Utilisateurs(ID-NI) ALLOW  Full access 	BUILTIN\Administrateurs(ID-IO) ALLOW  Full access 	BUILTIN\Administrateurs(ID-NI) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	CREATEUR PROPRIETAIRERestoring Sedebugprivilege:  Granting SeDebugPrivilege to Administrators   ... failed (GetAccountSid(Administrators)=1332   The following Is the Current Export of the Winlogon notify key:****************************************************************************Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]"Asynchronous"=dword:00000000"Impersonate"=dword:00000000"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\  6c,00,00,00"Logoff"="ChainWlxLogoffEvent"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]"Asynchronous"=dword:00000000"Impersonate"=dword:00000000"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\  6c,00,6c,00,00,00"Logoff"="CryptnetWlxLogoffEvent"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]"DLLName"="cscdll.dll""Logon"="WinlogonLogonEvent""Logoff"="WinlogonLogoffEvent""ScreenSaver"="WinlogonScreenSaverEvent""Startup"="WinlogonStartupEvent""Shutdown"="WinlogonShutdownEvent""StartShell"="WinlogonStartShellEvent""Impersonate"=dword:00000000"Asynchronous"=dword:00000001[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]"DLLName"="wlnotify.dll""Logon"="SCardStartCertProp""Logoff"="SCardStopCertProp""Lock"="SCardSuspendCertProp""Unlock"="SCardResumeCertProp""Enabled"=dword:00000001"Impersonate"=dword:00000001"Asynchronous"=dword:00000001[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]"Asynchronous"=dword:00000000"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\  6c,00,6c,00,00,00"Impersonate"=dword:00000000"StartShell"="SchedStartShell""Logoff"="SchedEventLogOff"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]"Logoff"="WLEventLogoff""Impersonate"=dword:00000000"Asynchronous"=dword:00000001"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\  6c,00,6c,00,00,00[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]"DLLName"="WlNotify.dll""Lock"="SensLockEvent""Logon"="SensLogonEvent""Logoff"="SensLogoffEvent""Safe"=dword:00000001"MaxWait"=dword:00000258"StartScreenSaver"="SensStartScreenSaverEvent""StopScreenSaver"="SensStopScreenSaverEvent""Startup"="SensStartupEvent""Shutdown"="SensShutdownEvent""StartShell"="SensStartShellEvent""PostShell"="SensPostShellEvent""Disconnect"="SensDisconnectEvent""Reconnect"="SensReconnectEvent""Unlock"="SensUnlockEvent""Impersonate"=dword:00000001"Asynchronous"=dword:00000001[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	ermsrv]"Asynchronous"=dword:00000000"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\  6c,00,6c,00,00,00"Impersonate"=dword:00000000"Logoff"="TSEventLogoff""Logon"="TSEventLogon""PostShell"="TSEventPostShell""Shutdown"="TSEventShutdown""StartShell"="TSEventStartShell""Startup"="TSEventStartup""MaxWait"=dword:00000258"Reconnect"="TSEventReconnect""Disconnect"="TSEventDisconnect"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]"DLLName"="wlnotify.dll""Logon"="RegisterTicketExpiredNotificationEvent""Logoff"="UnregisterTicketExpiredNotificationEvent""Impersonate"=dword:00000001"Asynchronous"=dword:00000001 The following are the files found: **************************************************************************** Registry Entries that were Deleted: Please verify that the listing looks ok.  If there was something deleted wrongly there are backups in the backreg folder. ****************************************************************************REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]REGEDIT4[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]****************************************************************************Desktop.ini Contents: ********************************************************************************************************************************************************

jeanle23 · Answer

Voila pour mon log avec l2mfix. Depuis, au bout d'une dizaine de minutes  à partir du debut de la connexion internet, un message s'affiche (il reapparait quoique je fasse)signal adsl perdu ! la connexion normale etc. Et je dois redemarrer l'ordi pour pouvoir continuer à telecharger ce que je veux.

balltrap34 · Answer

bizzard ton truc de connection perte de signalsi cela continue telecharge ceci http://translate.google.com/translate?hl=fr&sl=en&u=http://www.cexx.org/lspfix.htm&prev=/search%3Fq%3Dlspfix%26num%3D100%26hl%3Dfr%26lr%3D%26ie%3DUTF-8http://www.cexx.org/LSPFix.exeTu le lances. Tu coches "I know what I'm doing" Et surtout rien d'autre! Tu cliques "finish".

jeanle23 · Answer

Merci de m'aider avec autant d'acharnement ! Je vais essayé LSPFix.exe si ca recommence. Est-ce que je dois reinstaller qq chose ? internet, mon modem, mon system, ou autre chose ? Encore merci.

moe · Answer

salut jeanle23Est ce que la ligne 017 est toujours présente ?Tu as pu updater cwshredder ou est ce que tu recois toujours l'alerte smartsearch2 ?Pour delcwssk, est ce que tu l'as lancé en mode sans echecs ?Si non, reessaye en sans echec et lance cwshredder dans la foulée.Par curiosité, est ce que tu peux faire une recherche dans le registre sur ces valeurs et me dire si elles sont présentes ou pas ?emandislcemanelifemangerFais un scan ici pour voir:http://www.bitdefender.com/scan/licence.phpa+

jeanle23 · Answer

Salut Moe, (en vacances toi aussi  Ah l'ecole...)Bonne nouvelle en ce qui concerne l'update de CWShredder, j'ai pu la faire, telecharger la derniere vervion en passant (v2.13) et il m'a enlevé CWS Homesearch ???? J'ai toujours ma petite ligne 017, se terminant par Nameserver 69.50.188.180 195.225.176.37Le truc bizarre (pour moi) c'est que quand j'ai fait mon update de CWShredder, mon fire wall, à savoir ZAlarm, m' a demandé d'accapter la connexion de CWShredder.exe à l'IP 69.50.188.180 DNS !!! Qu'est-ce que ca veut dire ? pourquoi c'est le meme numero ? Je vais lancer le scan de bitedefender. Ah oui, et j'ai lancé delcwssk puis CWshredder en mode sans echec. il faut que je cherche ce que tu m'as demandé dans le registre encore.

jeanle23 · Answer

Pour ce qu'il y a dans le registre : emandislc  =oui, dans HKEY_USERS\S-1-5[...]oftware\Microsoft\Internet Exploreremanelif  =nonemanger  =nonVoilà, c'est plutôt bon ou pas ?

moe · Answer

C'est pour verifier ceci:http://www.sophos.com/virusinfo/analyses/trojmsbhoa.htmlReviens sur la clé ou tu as trouvé  emandislc et clic dessus, dans la fenetre de droite est ce qu'il y a une reference à une clé, fichier..note la valeur et dis moi le resultat.le scan de bitdef, il dit quoi ?a+

jeanle23 · Answer

Il y a une serie de chiffres et de lettres, pendant le scan en ligne de bitdefender mon ordi s'est arrete net. Je le retente. emandislc REG_BINARY 4a ad 8b a6 a3 6f 78 4b 92 91 0f 20 27 5e e1 17

moe · Answer

fais un clic droit sur emandislc puis clic sur modifier les données binairedans la fenetre qui apparait, tu fais un copier coller de tout, et tu le met ici.

jeanle23 · Answer

RE pour Bitdefender, l'ordi s'eteint. copier coller ne marche pas, mais les chiffres et lettres sont ceux la. 0000 4A AD 8B A6 A3 6F 78 4B  J-. |£oxk0008 92 91 0F 20 27 5E E1 17  ... '^à.0010Mieux je peux pas...

moe · Answer

C'est pas grave, je pensais trouver le chemin d'un fichier qui aurait pu nous mettre sur la voie, mais bon....Exporte la clé (on sait jamais) et supprime la valeur emandislc.Puis telecharge startdreck ici:http://www.niksoft.at/php/dl.php?f=startdreck.zipdezippe le et lance startdreck.exeClic sur configclic sur unmarck alldans la colonne registry coche:- run keys- browsers helpers object- internet explorer- shellServicesObjectDelayLoaddans la colonne Files coche:- autostart foldersdans la colonne System/drivers coche:- running processesValide ok et clic sur refreshMaintenant, clique sur save pour enregistrer le log.poste le resultat du log.

jeanle23 · Answer

Voila, c'est une sorte d'hijackthis ton truc non ? StartDreck (build 2.1.7 public stable) - 2005-03-29 @ 20:25:46 (GMT +02:00) Platform: Windows XP (Win NT 5.1.2600 Service Pack 1) Internet Explorer: 6.0.2800.1106 Logged in as jean-balthazar at JTF »Registry »Browser Helper Objects (LM) »Internet Explorer »Current User *Local Page=C:\WINDOWS\System32\blank.htm *Start Page=about:blank +SearchUrl *provider= *default=http://www.ramgo.com/scan.php?ask=%s *Search Page=http://www.ramgo.com/search.html *Search Bar=http://www.ramgo.com/search.html »Default User *Default_Page_URL=http://www.euro.dell.com/countries/fr/fra/gen/default.htm *First Home Page=http://www.euro.dell.com/countries/fr/fra/gen/default.htm *Search Bar= *Search Page= *Start Page=about:blank »Local Machine *Local Page=C:\WINDOWS\System32\blank.htm *Start Page=about:blank *CustomizeSearch=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm *SearchAssistant=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm +SearchUrl »ShellServiceObjectDelayLoad (LM) *PostBootReminder={7849596a-48ea-486e-8937-a2a3009f31a9} `InprocServer32=%SystemRoot%\system32\SHELL32.dll *CDBurn={fbeb8a05-beee-4442-804e-409d6c4515e9} `InprocServer32=%SystemRoot%\system32\SHELL32.dll *WebCheck={E6FB5E20-DE35-11CF-9C87-00AA005127ED} `InprocServer32=%SystemRoot%\System32\webcheck.dll *SysTray={35CEC8A3-2BE6-11D2-8773-92E220524153} `InprocServer32=C:\WINDOWS\System32\stobject.dll »Files »Autostart Folders »Current User *C:\Documents and Settings\jean-balthazar\Menu Démarrer\Programmes\Démarrage\DESKTOP.INI »Default User *C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\DESKTOP.INI »Local Machine *C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\AOL 8.0 Icône AOL.lnk *C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\AOL Compagnon.lnk *C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DESKTOP.INI »System/Drivers »Running Processes +0= +4= +416=\SystemRoot\System32\smss.exe +648=\??\C:\WINDOWS\system32\csrss.exe +672=\??\C:\WINDOWS\system32\winlogon.exe +716=C:\WINDOWS\system32\services.exe +728=C:\WINDOWS\system32\lsass.exe +868=C:\WINDOWS\System32\Ati2evxx.exe +912=C:\WINDOWS\system32\svchost.exe +928=C:\WINDOWS\System32\svchost.exe +1116=C:\WINDOWS\System32\svchost.exe +1132=C:\WINDOWS\System32\svchost.exe +1340=C:\WINDOWS\Explorer.EXE +1436=C:\WINDOWS\system32\spoolsv.exe +1564=C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe +1576=C:\Program Files\Alwil Software\Avast4\ashServ.exe +1696=C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe +1820=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe +1832=C:\Program Files\Dell\AccessDirect\dadapp.exe +1840=C:\Program Files\Dell\QuickSet\quickset.exe +1860=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe +1868=C:\WINDOWS\System32\DSentry.exe +1876=C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe +1888=C:\WINDOWS\System32\rundll32.exe +1908=C:\Program Files\Dell\AccessDirect\DadTray.exe +1916=C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe +1924=C:\Program Files\QuickTime\qttask.exe +1932=C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe +1940=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe +1948=C:\WINDOWS\System32\NotifyPhoneBook.exe +1956=C:\WINDOWS\System32\ctfmon.exe +164=C:\WINDOWS\wanmpsvc.exe +1348=C:\Program Files\Internet Explorer\iexplore.exe +2956=C:\Documents and Settings\jean-balthazar\Mes documents\logiciels\delcwssk\startdreck217\StartDreck.exe »Application specific Bizarre ce ramgo.com...

moe · Answer

C'est bizarre que hijackthis ne vois pas www.ramgo.comVa dans demarrer> connection clic droit sur ta connection clic sur propriétésdans l'onglet gestion de reseaux selectionne tcp/ip et clic sur propriétés.clic sur "obtenir des adresses de serveurs dns automatiquementou alors rentre les DNS de ton fournisseur d'acces.Puis reposte un hijack pour voir.

jeanle23 · Answer

je l'ai fais, j'ai fait un hijack et est coché la 017, me suis reconnectéet là je te donne le nouvel hijackthis.Logfile of HijackThis v1.99.1Scan saved at 21:17:46, on 29/03/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Dell\AccessDirect\dadapp.exeC:\Program Files\Dell\QuickSet\quickset.exeC:\Program Files\Synaptics\SynTP\SynTPEnh.exeC:\WINDOWS\System32\DSentry.exeC:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exeC:\WINDOWS\System32\rundll32.exeC:\Program Files\Dell\AccessDirect\DadTray.exeC:\Program Files\Fichiers communs\Real\Update_OB\realsched.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\System32\NotifyPhoneBook.exeC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\wanmpsvc.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\System32\svchost.exeC:\Documents and Settings\jean-balthazar\Mes documents\logiciels\HijackThis\hijackthis\HijackThisv.1.99.1\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exeO4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exeO4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exeO4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exeO4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLLO4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osbootO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exeO4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exeO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Messenger\Messenger\Messenger\yhexbmes.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Messenger\Messenger\Messenger\yhexbmes.dllO17 - HKLM\System\CCS\Services\Tcpip\..\{E86C8C3C-DB73-43D5-AE57-BD4910F56CAE}: NameServer = 195.238.2.22 195.238.2.21O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exeO23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

moe · Answer

Apparement ca a l'air ok pour la 017,  non ?plus de 69.50.188.180 195.225.176.37 Est ce que tu as toujours un probleme de redirection ?Mais toujours pas de ramgo.com dans hijackFaudrait voir dans le registre s'il y est encore.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main (exporte la clé au cas ou)dans la fenetre de droite:double clic sur:default <= dans la fenetre qui s'ouvre tu supprime ramgoSearch <= dans la fenetre qui s'ouvre tu supprime ramgoSearch Bar <= dans la fenetre qui s'ouvre tu supprime ramgoReessaye de faire un scan AV:http://housecall.trendmicro.comhttp://www.pandasoftware.com/activescan/fr/activescan_principal.htmhttp://www.bitdefender.com/scan/licence.phpa+

jeanle23 · Answer

je ne suis plus redirigé !!!!!! youpi ! toujours pas de ramgo dans l'hijack...ramgo est dansHKEY_USERS, pour default, search bar et search pageJ'efface "ramgo" quand meme ? Je mets qq chose a la place ou rien ? C'est juste pour etre sur. Merci en tout cas, je vais essayer les scans.

moe · Answer

sauvegarde la clé d'abord, et dans la fenetre de droite:
double clic sur:
default <= dans la fenetre qui s'ouvre tu supprime ramgo
Search <= dans la fenetre qui s'ouvre tu supprime ramgo
Search Bar <= dans la fenetre qui s'ouvre tu supprime ramgo

Puis ouvre IE >outils >options internet >programme clic sur rétablir les paramètres web
ca devrait remettre la page d'acceuil, recherche...etc par défaut.

je crois qu'on touche au but... LOL

jeanle23 · Answer

Juste : Un GRAND MERCI à tout ceux qui m'ont et qui continuent à m'aider  !

moe · Answer

y a pas de quoi, lol

Reessaye quand même de faire un scan AV:
http://housecall.trendmicro.com
http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
http://www.bitdefender.com/scan/licence.php
si tu peux faire les 3 ce serait encore mieux ;-)

a+

jeanle23 · Answer

Alors, pour le premier (housecall), mon ordi a planté... Je vais essayer les deux autres ; je croise les doigts !

jeanle23 · Answer

Dernieres nouvelles, je viens de faire un scan avec BitDefender, "no viral form founds" (avast a detecté un cheval de troie et un ver pendant le scan en ligne).
J'ai retrouvé ma connexion normale, tout semble aller (je touche du bois) alors un grand merci à Dolly, Balltrap et Moe !

moe · Answer

salut jeanle23Content que cela se soit amélioré pour ta connection.Pour le resultat du scan de bitdef, n'hésite pas à reposter en cas de problemes ;-)a+

jeanle23 · Answer

Pour recapituler, tout d'abord pour voir ce que hijackthis ne voyait pas
on m'a demandé de telecharger startdreck ici: (attention, j'étais sous les conseils de personnes qui connaissent très bien ce genre de logiciel ! )

http://www.niksoft.at/php/dl.php?f=startdreck.zip
dezippe le et lance startdreck.exe
Clic sur config
clic sur unmarck all

dans la colonne registry coche:
- run keys
- browsers helpers object
- internet explorer
- shellServicesObjectDelayLoad

dans la colonne Files coche:
- autostart folders

dans la colonne System/drivers coche:
- running processes

Valide ok et clic sur refresh
Maintenant, clique sur save pour enregistrer le log.
poste le resultat du log.

apres on m'a demandé de faire ca :
Va dans demarrer> connection clic droit sur ta connection clic sur propriétés
dans l'onglet gestion de reseaux selectionne tcp/ip et clic sur propriétés.
clic sur "obtenir des adresses de serveurs dns automatiquement
ou alors rentre les DNS de ton fournisseur d'acces.

et enfin :
sauvegarde la clé d'abord, et dans la fenetre de droite:
double clic sur:
default <= dans la fenetre qui s'ouvre tu supprime ramgo
Search <= dans la fenetre qui s'ouvre tu supprime ramgo
Search Bar <= dans la fenetre qui s'ouvre tu supprime ramgo

Puis ouvre IE >outils >options internet >programme clic sur rétablir les paramètres web
ca devrait remettre la page d'acceuil, recherche...etc par défaut.

Mais avant toute chose, un bon antivirus, un fire-wall, et des logiciels anti spywares (spybot s&d, CWShredder, etc.) mis-à-jour avant chaque utilisation ! Ainsi que des scans en ligne multiples pour plus de resultat (ce qu'un ne verra pas, l'autre le verra peut-être).
Encore merci.
Ah oui, quand on sait pas ,on touche pas ! (conseil à moi-même)

balltrap34 · Answer

salut a tous j ai vaguement suivi la suite
vous etes sur de vous pour cette 017
j ai l impression qu il y a une confusion perso je dirais qu elle est bonne
mais comme je rentre juste du boulot et que je n ai pas approfondie la chose ont verrat si tu la virer et que ta connexion reste apres redemmarage no soucis
a++

moe · Answer

salut balltrap

en faisant un whois sur 69.50.188.180 on peut voir ceci:
OrgName: Atrivo
OrgID: ATRIV
Address: 200 Paul Avenue
City: San Francisco
StateProv: CA
PostalCode: 94124
Country: US

et atrivo = coolwebsearch
http://www.webhelper4u.com/CWS/cwsal_atrivo_ips.html

Win32.Netmesser utilise aussi cette ip;
http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=41618

sinon ca va ?

a+

balltrap34 · Answer

rej etais parti voir se dns et exact mea culpa

Cws smartsearch.2 et variant msbho - Page 3

Discussions similaires

Newsletters