about:blank et autre soucis Résolu

Question

Bonjour,

Avant de commencer à me plaindre, l'essentiel : mon système d'exploitation est Windows XP Professionnel.

Mon problème va certainement vous faire doucement sourire car il y a déjà beaucoup de questions qui ont été posé à ce sujet mais malheureusement, malgré toutes celles que j'ai trouvé, je ne suis pas parvenue à me débarrasser de mes problèmes.

Alors voilà, une chose est sûre j'ai un problème avec about:blank qui apparaît systématiquement en page de démarrage. J'ai suivi tous vos conseils trouvés au sujet 991 de votre forum à savoir :
- Utilisation de HijactThis
(à ce propos, je supprime inlassablement un objet qui apparaît en R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ezqezyfiwakl.org/QCY3NQ7OSnJwb1ff3X9bfIeq6KojsgCo2HYGsE7SL6N7GMBeZKkTFMpOERA74MJB.html
mais malgré toutes mes tentatives, il réapparaît chaque fois que j'utilise HijactThis {Au secours !!!!)

- D'autre part, j'ai fais un scan avec Ad-aware Se Personnal qui ne trouve rien de spécial à me signaler ! {Je trouve ça déjà bizarre sachant que je suis sûre d'avoir au moins un virus !!!}

- J'ai également utilisé Stinger qui m'a effacé le seul virus qu'il ait trouvé... mais qui n'a pas supprimer le fameau about:blank ! {J'aurais peut-être du noter ce qu'il avait supprimer mais sur le coup, j'y croyais vraiment et donc n'y ai pas pensé !}

Et malgré tout cela, mon problème perdure... Je dois avoué que je n'y comprends strictement rien !!! {Peut-être suis-je définitivement trop nulle en informatique !!!}.

En revanche, je n'ai pas réussie à utiliser Aboutbuster, je n'ai pas compris comment il fonctionnait {peut-être la fatigue, cela fait plus de trois jour que je m'acharne sans succès !}

Alors voilà, je ne sais quoi dire de plus sauf que votre aide me serait très précieuse.

Je suis instit et mon ordi est mon outil de travail, j'espère vraiment que vous pourrez me donner des solutions.

Je vous colle ci-dessous les infos que me donne HijactThis, peut-être reste-t-il des choses à supprimer par cet intermédiaire :

Logfile of HijackThis v1.99.1
Scan saved at 23:10:44, on 21/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HP\Digital Imaging\Promotions\HPpromo.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Gwenola\LOCALS~1\Temp\Rar$EX00.187\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ezqezyfiwakl.org/QCY3NQ7OSnJwb1ff3X9bfIeq6KojsgCo2HYGsE7SL6N7GMBeZKkTFMpOERA74MJB.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.numericable.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NUMERICABLE
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPpromo psc 1300 series] "C:\Program Files\HP\Digital Imaging\Promotions\HPpromo.exe" /N "psc 1300 series" -r
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [atom idol help play] C:\Documents and Settings\All Users\Application Data\NameDeadAtomIdol\Pollprogram.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Exit Camp] C:\DOCUME~1\Gwenola\APPLIC~1\MOVEIS~1\cornroam.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O14 - IERESET.INF: START_PAGE_URL=http:\\www.numericable.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Par avance un grand merci pour l'attention que vous voudrez bien porter à ce mail.
Gwen

Afficher la suite

Utilisateur anonyme · Answer

salut gwen Déconnecte toi d'internet: Vide le cache d'Internet Explorer et supprime les cookies: * Panneau de configuration >> Options internet >> Onglet "Général" - Clic sur [supprimer les cookies] - Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion" Valide avec ok Redémarre en mode sans échec Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows. Choisis le mode sans échec dans les options et valide avec entrée. Rend visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher la case devant " afficher les fichiers et dossiers cachés " Décocher la case devant " masquer les extentions des fichiers dont le type est connu Décocher la case devant " masquer les fichiers protégés du système" clic sur ok pour valider -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Lance hijackthis et clic sur "do a system scan only" cocher la case au début des lignes suivantes: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ezqezyfiwakl.org/QCY3NQ7OSnJwb1ff3X9bfIeq6KojsgCo2HYGsE7SL6N7GMBeZKkTFMpOERA74MJB.html O4 - HKLM\..\Run: [atom idol help play] C:\Documents and Settings\All Users\Application Data\NameDeadAtomIdol\Pollprogram.exe O4 - HKCU\..\Run: [Exit Camp] C:\DOCUME~1\Gwenola\APPLIC~1\MOVEIS~1\cornroam.exe O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} - http://212.145.159.194/251065/dialercab/WebRecomendada.cab valider avec [fix checked] -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ S'ils sont présents, supprime: C:\Documents and Settings\All Users\Application Data\NameDeadAtomIdol <- le dossier C:\Documents and Settings\Gwenola\Application Data\MOVEIS~1 <- ou le dossier dont le nom commence par MOVEIS -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ redemarre normallement passe spybot, que tu auras mis à jour avant et reposte un hijack /!\ Ne pas oublier après les manips de recacher les fichiers systeme et cachés dans les options des dossiers. a+

Gwen42 · Answer

Salut !

Je suis super contente que quelqu'un me réponse et surtout aussi rapidement...
J'imprime immédiatement tes conseils afin de les tester... Je croise grâve les doigts...
Si cela ne devait pas marcher, je crois que je n'y reviendrais que demain car là, j'avoue que je commence à en avoir marre mais en tous cas, je te tiendrais au courant.
Merci beaucoup
@+

Utilisateur anonyme · Answer

T'inquiète ca devrait aller, tu peux tenter la manip sans passer par le mode sans echec, si c'est ca qui te dérange.Mais s'ils ne veulent pas se laisser supprimer, il faudra passer par làa+

balltrap34 · Answer

tu peut lui faire tuer le process avec hijack

Utilisateur anonyme · Answer

oui c'est vrai, mais je l'ai pas vu dans les process actifs

Gwen · Answer

Me revoilà...
Re - salut

Je viens de faire tout ce que tu m'as conseillé {y compris le démarrage en mode sans échec !!!}

Alors voilà ce qu'il en est :
- Je n'ai pas trouvé ces deux choses là :
C:\Documents and Settings\All Users\Application Data\NameDeadAtomIdol <- le dossier
C:\Documents and Settings\Gwenola\Application Data\MOVEIS~1 <- ou le dossier dont le nom commence par MOVEIS
donc, je n'ai pas pu les virer même si cela m'aurait certainement procuré une grande joie !!!
- Lorsque j'ai lancé Spybot, il m'a trouvé un problème avec WebInstall (3 entrées) que j'ai bien évidement corrigé !
- J'ai bien pensé à recocher "maquer les extensions..." et "masquer les fichiers protégés du système"

Maintenat, quand j'ouvre internet explorer pour te répondre voilà ce qui apparaît :
- le lien suivant :
http://www.krjrxefcksevrkzkvfscwhicy.com/QCY3NQ7OSnKU_to1FZWfqFYjvH_MAMis9NWrcsfkWvk.html
- avec impossible d'afficher la page {c'est sans doute pas plus mal !!!}

Comme demandé, je te renvoie un hijack :
Logfile of HijackThis v1.99.1
Scan saved at 00:13:34, on 22/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HP\Digital Imaging\Promotions\HPpromo.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Gwenola\LOCALS~1\Temp\Rar$EX00.218\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.xzewwrmtmykztq.com/QCY3NQ7OSnJwb1ff3X9bfIeq6KojsgCo2HYGsE7SL6OFtDcS/8t13cpOERA74MJB.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.krjrxefcksevrkzkvfscwhicy.com/QCY3NQ7OSnKU_to1FZWfqFYjvH_MAMis9NWrcsfkWvk.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.numericable.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NUMERICABLE
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPpromo psc 1300 series] "C:\Program Files\HP\Digital Imaging\Promotions\HPpromo.exe" /N "psc 1300 series" -r
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O14 - IERESET.INF: START_PAGE_URL=http:\\www.numericable.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by13fd.bay13.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Tu constateras qu'il y a encore des trucs bizarre en R1 et R0 notament, peut-être ailleurs encore mais là, c'est toi le spécialiste...

Merci encore pour ton aide... J'attends de tes nouvelles. Sur le dernier Hijack que je t'envoie, je n'ai rien "fixé" !!! J'attends ton avis !

G.

Utilisateur anonyme · Answer

bon, pas facile

est ce que c'est apparu apres l'install d'un programme en particulier?

fais un scan ici:
http://www.bitdefender.com/scan/licence.php
ou ici:
http://www.pandasoftware.com/activescan/fr/activescan_principal.htm

et poste le resultat

a+

Gwen · Answer

Non, pas facil !!!

En fait, pour tout te dire, je n'en sais rien... Je ne sais pas si c'est un programme en particulier qui a installé ça... J'ai soupçonné msn car une barre de recherche d'msn est apparu en même temps que tous ces soucis mais bon, je ne sais pas... Peut-être que je cherche juste un book émissaire !!!

Finalement, je n'ai pas pu résisté à fixer le R1 et le R0 bizarre que me signalait Hijact et du coup, c'est about:blank qui réapparaît en première page...

Est-ce que c'est long de faire ce que tu m'indique là... car honnêtement, mes yeux ne ressemble plus à rien, je n'en peux plus !!! Trop longtemps que je fixe cet ordi, il est temps que j'aille rejoindre Morphée...

Est-ce que demain je pourrais toujours compter sur ton aide ???

Merci de me donner de ton temps
G.

balltrap34 · Answer

lol virer toutes les 016  pour voir

Gwen · Answer

Re re re !!!
Voilà ce que me dit ton lien avec le scan en ligne de Bitdefender :
Could not load the Online Scanner!
Service Pack 2 was detected on this computer.
Click on the information bar and select "Install ActiveX Control...".

Malgré ma profession, je suis profondément nulle en Anglais et ce dernier ne s'arrange pas avec l'heure qui tourne malheureusement !!!

Que dois-je faire face à ce message ???? HELP (ce mot là, je connais !!!!)

Gwen · Answer

Je viens de lancer ton autre lien en attendant de te voir resurgir... Celui là à l'air de bien vouloir me faire mon scan en ligne donc je le laisse faire et te dis ce qu'il en est...

Merci Baltrap de te joindre à nous, j'ai bien noté ce que tu as dit mais je ne veux pas risquer de faire de conneries en faisant trop de choses en même temps donc je m'occupe des O16 de Hijact après!

@ tout de suite !!!!

balltrap34 · Answer

okia tous de suite

Gwen42 · Answer

En fait, ça à l'air de ramer pour pandasoftware !!!

Balltrap, j'ai regardé ce qu'était les O16 et apparement, il s'agit uniqment d'objets en lien avec msn. J'utilise msn souvent notament pour ma boîte mail, est-ce que je ne risque pas de tout virer pour rien puisque même si je désinstalle msn, je le réinstallerais forcément par la suite... C'est peut-être idiot ce que je dis mais bon...

Gwen42 · Answer

Vous allez rire !!! C'est moi qui ai des soucis et c'est moi qui vais vous quitter car là, je suis vraiment trop fatiguée ! Il me faudrait des allumettes pour garder les yeux ouverts !!! ça doit être les nerfs !

En fait, le téléchargement d'active scan de pandasoftware n'avance pas !!! En même temps c'est peut-être de ma faute car je viens juste de voir qu'on m'indiquait que ce site nécessitait peut-être un contrôle Activex ('asinst.cab) que l'on me proposait d'installer mais que je n'ai pas fait ! Je vais donc fermer cette fenêtre et donc abandonner son téléchargement.

Merci pour tout... Ce n'est sûrement qu'un début car je sais que même si certains problèmes ont disparu (notament des barres de recherches que je ne souhaitais pas) il en reste encore et peut-être des costauds.

Dès que je me lève je m'y remets...
En espérant vous retrouver demain, je vous souhaite une bonne nuit... Encore merci. Je vais dormir rassurée {j'ai peut-être trouvé de véritables anges gardiens pour mon PC !!}

A demain et merci pour tout
Gwen

Utilisateur anonyme · Answer

il faut que tu accepte d'installer l'activexjete un oeil ici:http://get.yourfile.net/ns62083.gifa++

balltrap34 · Answer

bonne nuit et les 016 sont des actives x tu peut les cochez sans soucis

Gwen · Answer

Bien le bonjour à tous les deux si vous êtes dans le coin...

Je vous poste les derniers résultats de mes recherches ...

Ce matin, j'ai lancé le scan avec Panda, et ce coup-ci, sans oublier d'accepter d'installer l'Activex : c'est fou comme il a gagné en rapidité !!!

Résultat : Un logiciel Espion a été détecté et 14 fichiers sont infectés...
Ce qui me fait bader, c'est que Panda n'est pas en mesure de le désinfecter ! Pourquoi ???
Puisqu'il ne peut pas désinfecter il me proposait d'utiliser l'une des solutions Panda capables de désinfecter les logiciels espions de mon PC, or, en suivant le lein je suis arrivée sur une page de vente de leur anti-virus donc, je n'ai rien fait !

Je poste le rapport de Panda, peut-être me trouverez-vous une solution à ça !!!
Incident Statut Analyse

Adware:adware/lop No Désinfecté C:\PROGRAM FILES\C2Media
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\NameDeadAtomIdol\Pollprogram.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Gwenola\Application Data\Knob Help Keep\Owns Show.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Gwenola\Application Data\Moveisocopy\bleh mpeg bib.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Gwenola\Application Data\Moveisocopy\Builddvd2browse.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Gwenola\Application Data\Moveisocopy\cornroam.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Gwenola\Application Data\Moveisocopy\qbmxkpjj.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Gwenola\Application Data\Moveisocopy\sxuqskze.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Gwenola\Local Settings\Temp\1c088c4.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Gwenola\Local Settings\Temp\1e840d1.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Gwenola\Local Settings\Temp\bjjmtscl.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Gwenola\Local Settings\Temp\d938bd.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Gwenola\Local Settings\Temp\pqljuzxc.exe
Adware:Adware/Lop No Désinfecté C:\Program Files\C2Media\Setup.exe
Y'a un truc que je n'ai pas précisé hier... J'ai des fenêtres de pub, de sites payants qui surgissent quand je reste connecté à internet un certain temps. Elles se ferment sans aucun soucis mais reviennent, heureusement pas trop souvant, c'est très parsemé mais bon... ça pourra peut-être vous mettre sur la voie de quelque chose que vous connaissez !

Voilà pour les news ce matin... J'ai un peu peur de cet espion non détectable pour l'instant !!!

J'attends de vos nouvelles. Merci

Gwen · Answer

Au fait balltrap, j'ai aussi viré tous les O16 sur Hijact mais about:blank est toujours visible en première page... et j'ai toujours ce lien qui apparaît tout aussi inlassablement qu'hier en R1 :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.szbjpepkespbf.org/QCY3NQ7OSnJwb1ff3X9bfIeq6KojsgCo2HYGsE7SL6MJLQLykYEL2cpOERA74MJB.html
alors que je le supprime à chaque fois !!!
A bientôt !

Gwen · Answer

C'est encore moi...

Sur le message de 10h07, je vous disais que des fenêtres de pub ou de sites payants s'ouvrent lorsque je suis sur internet :
une précisions en plus, il y a un site qui s'appelle Golden Palace et sinon, c'est souvent des sites proposant des sonneries de téléphone portable & co...

Voilà.

Sinon, je viens de refaire un spybot juste pour voir et il m'indique : félicitation !!! Aucun mouchard n'a été trouvé !

Et pourtant, les pb demeurent bien sûre !!!

Bon allez, maintenant, je ne touche plus à rien et j'attends de vos nouvelles avec impatience...

Je ne sais pas si vous vous connectez dans la journée... Je pars en weekend ce soir donc, je ne sais pas si nous aurons l'occasion de nous trouvez aujourd'hui sur le forum... Sinon, je serais de retour dimanche soir...

J'espère vraiment que ça va s'arranger !

Merci encore pour votre aide et à plus tard!

Gwen

balltrap34 · Answer

demarre en sans echec relance hijack fix cette lignelance spybot toujours en sans echecvire tous et relance a nouveau hj et si present coche et fixet redemarre

Gwen · Answer

Salut BalltrapJ'ai fait ce que tu m'as dit : j'ai fixé cette foutu ligne sur hj, ensuite j'ai redémarré en mode sans échec et j'ai lancé hj et là, cette fameuse ligne n'était pas là donc je n'ai rien fixé. Ensuite, j'ai lancé Spybot en sans échec : il n'a trouvé aucun mouchard...J'ai redémarré en mode normal et là, de nouveau cette fameuse ligne était en R1 donc je l'ai fixé.About:blank est toujours là et j'ai toujours deux barres d'outils pourries une en haut et une en bas de l'écran.D'autre part, j'ai en fait le même soucis que Florence "Icônes vraiment tenaces" enfin je crois car moi aussi j'ai des liens qui se sont ajoutés dans mes favoris et que je ne peux supprimer !As-tu d'autres idées ????Merci de ton aideGwen

balltrap34 · Answer

tu as vider tes fichiers temps et desactiver ta restaurationutilise ceci pour les tempshttp://pageperso.aol.fr/Balltrap34/CleanUp40.exevoir demohttp://pageperso.aol.fr/balltrap34/democleanup.htmensuite relance hijack coche cette lignepasse a nouveau spybot(version 1.4)imperatifredemarre et re hijack pour voir

balltrap34 · Answer

okipour les temps utilise se progutilise ceci pour les temps http://pageperso.aol.fr/Balltrap34/CleanUp40.exe voir demo http://pageperso.aol.fr/balltrap34/democleanup.htm -------pour la restaurationpour ça tu fais clic droit sur poste de travailpropriété tu clique sur onglet restauration systèmetu coche la case désactiver la restauration et applique--------tu fix la ligne dans hijack et tu redemarre et de nouveau hijack pour voir si elle y est

Utilisateur anonyme · Answer

telecharge ceci pour voir:http://get.yourfile.net/mj62442.zipdezippe le, et doubleclic sur lopxp.batfais un copier coller de ce qui apparait dans le bloc note et poste le resultat icia+

Utilisateur anonyme · Answer

salut Demarre en mode sans echec Rend visibles tous les fichiers et dossiers (meme les fichiers systemes): panneau de configuration > options des dossiers > onglet affichage Cocher la case devant " afficher les fichiers et dossiers cachés " Décocher la case devant " masquer les extentions des fichiers dont le type est connu Décocher la case devant " masquer les fichiers protégés du système" clic sur ok pour valider supprime: C:\PROGRAM FILES\C2Media <- tout le dossier supprime: C:\Documents and Settings\All Users\Application Data\NameDeadAtomIdol <- tout le dossier rend toi sur ce dossier et supprime: C:\Documents and Settings\Gwenola\Application Data\Knob Help Keep <- tout le dossier C:\Documents and Settings\Gwenola\Application Data\ Moveisocopy <- tout le dossier ensuite, lance hijackthis et fixe la ligne R1 et/ou R0 qui ne fait que réapparaitre + celle ci: O4 - HKCU\..\Run: [Exit Camp] C:\DOCUME~1\Gwenola\APPLIC~1\MOVEIS~1\cornroam.exe rend toi sur C:\WINDOWS\Tasks à l'interieur du dossier task double clique sur AD993B1C9186AE74.job dans la boite de dialogue "executer" regarde et note le chemin du fichier qui est indiqué S'il fais reference, à un fichier que je t'ai fais supprimer plus haut, supprime AD993B1C9186AE74.job En cas de doute, laisse le et dis moi simplement le chemin du fichier qui est indiqué. redemarre le pc et reposte un hijack Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers. a+

balltrap34 · Answer

lolje lui est mis de virer les temps elle la pas fait je croisje lui demande la version de spybot j attend mais dos exploit cela date

Utilisateur anonyme · Answer

exact, dso corrigé sur la derniere version...

Utilisateur anonyme · Answer

lol, il reste cette ligne à fixer avec hijackthisO4 - HKCU\..\Run: [Exit Camp] C:\DOCUME~1\Gwenola\APPLIC~1\MOVEIS~1\cornroam.exe une fois fais, reviens dans C:\WINDOWS\Tasks double clic sur AD993B1C9186AE74.jobdans la fenetre qui s'ouvre clic sur l'onglet tacheen face de "executer" tu vas voir le nom d'un fichier, note leen face de "demarrer dans " tu vas voir le nom d'un fichier, note leposte le resultat, c'est importantensuite doubleclic sur lopxp.bat fais un copier coller de ce qui apparait dans le bloc note et poste le resultat ici

Utilisateur anonyme · Answer

je me repete, mais il faut que absolument tout les fichiers soient visibles meme les fichiers systeme panneau de configuration > options des dossiers > onglet affichage Cocher la case devant " afficher les fichiers et dossiers cachés " Décocher la case devant " masquer les extentions des fichiers dont le type est connu Décocher la case devant " masquer les fichiers protégés du système" clic sur ok pour valider doubleclic sur lopxp.bat fais un copier coller de ce qui apparait dans le bloc note et poste le resultat ici, il va nous dire dessuite si il reste des fichiers

Utilisateur anonyme · Answer

pas grave, doubleclic sur lopxp.bat fais un copier coller de ce qui apparait dans le bloc note et poste le resultat icitout ce qui se trouve dans C:\WINDOWS\Tasks sont des taches planifiées, je voulais juste etre sur qu'elle ne soit pas liée avec ton spy et permette de le relancer via cette tache.poste le log de lopxp.bat

Utilisateur anonyme · Answer

il y a toujours celui ci:C:\Documents and Settings\All Users\Application Data\NameDeadAtomIdol etC:\WINDOWS\Tasks\AD993B1C9186AE74.job pour C:\WINDOWS\Tasks\AD993B1C9186AE74.job essaye de faire ceci:rend toi ici:http://www.virustotal.com/xhtml/virustotal_en.htmlclic sur parcourirdans la fenetre qui s'ouvre tape ou copie et colle ceci dans "nom du fichier":C:\WINDOWS\Tasks\AD993B1C9186AE74.jobvalide et clic sur sendposte le resultat du scan

Utilisateur anonyme · Answer

ok, bon on laisse tomber AD993B1C9186AE74.jobsi tu as viré C:\Documents and Settings\All Users\Application Data\NameDeadAtomIdol redemarre ton pc, remet toi une page de demarrage pour internet explorer et reposte un hijack

Utilisateur anonyme · Answer

saluttout à l'air okSi apres plusieurs redemarrage ca tiens, je crois que se sera gagné.Content pour toi ;-)a+ et bon weekend

Utilisateur anonyme · Answer

ca marche pour le champ !!a+

Utilisateur anonyme · Answer

merci à toi d'avoir donné de tes nouvelles, ca fait plaisir.A la tienne !!http://www.wine-commander.com/images/champ-2coup.jpga+

donvtt · Answer

Salut à toutes et tous,Je recontre le même problème que Gwen et j'aimerais y remédier (au problème). Je ne sais pas si je peux poser mes questions ici ou si je dois faire une demande distincte. Alors avant de tout déballer je préfère attendre confirmation pour verser mes larmes.J'ai déjà fait quelques manip sans succès. Il me reste l'analyse d'un HJ mais là, je suis plus qu'ignorant en la matière. Y a-t-il quelqu'un qui puisse me prendre en charge ?Merci d'avance aux bonnes âmes.Ciao. DonVtt

Utilisateur anonyme · Answer

salutposte ton hijack ici, je reste encore une vingtaine de minutes avant d'arreter.

MARK · Answer

purée vous etes des lames....arreté avec hijackthis, vous savez pas vous en servir.Si une ligne de la base de registre réaparait a chaque fois apres avoir été supprimez, ya une raison...c'est qu'un truc se lance tjs au démarrage.Demarrer/executer/msconfiget la tu décoche toute ces merde qui servent a rien.

donvtt · Answer

Salut Moe, salut Mark,A Mark.Tes remarques sont certainement très pertinentes mais rien ne n'empêche de rester sympa. Merci quand même !A Moe.Bon, là je vais déverser mes larmes ...1) Au démarrage de Windows j'ai Windows Messengers et Yahoo qui se lance malgré que j'ai décocher les cases pour qu'ils restent tranquille même en arrière-plan.2) Le pare-feu de Windows me prévient régulièrement qu'un programme malveillant est chaudement installé et qu'il peut voler mes données privées.3) Bien sûr le fameux "about:blank" dans ma config pour la page de démarrage. J'ai beau remettre Google, ça marche une fois mais la suivante c'est de nouveau "about:blank".4) La page de démarrage est truffées de liens qui mène vers des site de logiciels divers, pub en tous genre etc. . 5) Des pop-up à en perdre patience.6) En bas, à droite, j'ai parfois une icône que je ne connais pas. De temps à autre cette icône me sort une info bulle me prévenant d'une vulnérabilité de ma protection anti-virus. Si je clic gauche sur l'icône je me retrouve sur un site de pub pour des logiciels anti-virus. Cilc droit impossible, donc aucune action possible sur cette icône. Ce que j'ai essayé:Déconnecter d'internetMode sans échec CleanUp/C Cleaner/ Spybot/AdAware/NortonSystemWork2004J'ai pu virer pas mal de merdes mais pas "about-blank"J'ai aussi tenté CW Shredder. Il a trouvé CWS.HomeSearch. Je l'ai viré.Voici mon rapport HJJ'espère que tu pourras en retirer quelques infos utiles.Merci pour ton boulot et à bientôt. Je repasse ce soir après 22h00, boulot oblige.Ciao.Logfile of HijackThis v1.99.1Scan saved at 12:17:49, on 28/07/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\System32
vsvc32.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\WINDOWS\atlle32.exeC:\WINDOWS\system32\syspv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\PROGRA~1\Logitech\Video\AlbumDB2.exeC:\PROGRA~1\Logitech\Video\FxSvr2.exeC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gkuyi.dll/sp.html#55135R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gkuyi.dll/sp.html#55135R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gkuyi.dll/sp.html#55135R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gkuyi.dll/sp.html#55135R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gkuyi.dll/sp.html#55135R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gkuyi.dll/sp.html#55135R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gkuyi.dll/sp.html#55135R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO2 - BHO: Class - {EBCF251F-B321-78AE-4823-B7C13C0B3C18} - C:\WINDOWS
trb.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [RegSvr32] C:\Program Files\Messenger\msmsgs.exeO4 - HKLM\..\Run: [d3ad.exe] C:\WINDOWS\d3ad.exeO4 - HKLM\..\Run: [sdkhi.exe] C:\WINDOWS\system32\sdkhi.exeO4 - HKLM\..\Run: [msfc32.exe] C:\WINDOWS\system32\msfc32.exeO4 - HKLM\..\Run: [syspv.exe] C:\WINDOWS\system32\syspv.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dllO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cabO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Utilisateur anonyme · Answer

salutTélécharge aboutbuster:http://www.malwarebytes.biz/index.php?page=downloadsPour le mettre à jours (tres important): clic sur "update" puis clic sur "check for update"Si une nouvelle version est disponible clic sur "downloaded update"Déconnecte toi d'internet:Ferme tout les programmes en cours Vide le cache d'Internet Explorer et supprime les cookies:* Panneau de configuration >> Options internet >> Onglet "Général"- Clic sur [supprimer les cookies]- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"Valide avec ok Redémarre en mode sans échec Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.  Choisis le mode sans échec dans les options et valide avec entrée. Rend visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher la case devant " afficher les fichiers et dossiers cachés "Décocher la case devant " masquer les extentions des fichiers dont le type est connu" Décocher la case devant " masquer les fichiers protégés du système"clic sur ok pour valider-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Lance hijackthis et clic sur [do a system scan only]cocher la case au début des lignes suivantes:Il se peut, après avoir redémarrer en mode sans echec, que le nom du fichier des lignes R0, R1 ait changé de nom, dans ce cas note son nouveau nom pour pouvoir le supprimer apres avoir fait les fix avec hijack.R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gkuyi.dll/sp.html#55135 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gkuyi.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gkuyi.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gkuyi.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gkuyi.dll/sp.html#55135 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gkuyi.dll/sp.html#55135 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gkuyi.dll/sp.html#55135 R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [RegSvr32] C:\Program Files\Messenger\msmsgs.exe O4 - HKLM\..\Run: [d3ad.exe] C:\WINDOWS\d3ad.exe O4 - HKLM\..\Run: [sdkhi.exe] C:\WINDOWS\system32\sdkhi.exe O4 - HKLM\..\Run: [msfc32.exe] C:\WINDOWS\system32\msfc32.exe O4 - HKLM\..\Run: [syspv.exe] C:\WINDOWS\system32\syspv.exe O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab valider avec [fix checked]-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Recherche et supprime:Supprimer les fichiers en suivant le chemin des fichiers infectés avec l'explorateur, plutot que d'utiliser la fonction "Rechercher" S'ils sont présents, supprime:C:\WINDOWS\system32\gkuyi.dllC:\WINDOWS\d3ad.exe C:\WINDOWS\system32\sdkhi.exe C:\WINDOWS\system32\msfc32.exe C:\WINDOWS\system32\syspv.exeC:\WINDOWS\atlle32.exe  -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_Une fois fait, lance Aboutbuster 2 fois de suite.-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_Ensuite, tres important::: Supprimer les fichiers temporaires ::* C:\Documents and Settings	on compte\Local Settings\Temp* C:\Windows\Tempvider tout le contenu de ces dossiers.:: Le contenu du dossier prefetch ::* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini* Ne pas oublier de vider la corbeille !-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_Redemarre normalement et repasse abotbuster une derniere foiset ensuite fais un scan AV ici: http://www.ravantivirus.com/scan/ Clic sur "To continue without subscribing click here"Accepte le control active x Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC". A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis

Utilisateur anonyme · Answer

okà demain

donvtt · Answer

Salut Moe,Je n'ai malheureusement pas eu le temps de terminer la manip. Il me reste le sacn RAV à faire. Je recommencerai tout dimanche. Je n'ai pas le temps de le faire d'ici là. Désolé.Je suis à la bourre, vais bosser.Encore merci. A dimanche. Ciao.DonVtt

donvtt · Answer

Salut à tous, salut Moe,Me revoici. J'ai fais les manips que tu m'as recommandé. J'ai constaté qu'en faisant ces manips celle-ci n'affectent que ma session et non tous les utilisateurs de mon pc (en tout cas pour ccleaner). J'ai 2 comptes d'utilisateur principaux sans restrictions.J'ai donc fais les manips complètes sur les 2 comptes. Je te poste les résultats de ma session mais je pense que les résultats de l'autre session devrainet êtres également passé au crible. Dis-moi si je peux te les déposer ici.Résultats des manips:Positif - Windows Messenger ne démarre plus au lancement de Windows. Quant à Yahoo c'était une erreur de configuration de ma part.Négatif- Toujours le même message de mon pare-feu qui détecte un logiciel malveillant- Toujours "about:blank"- Toujours autant de pop-up- Toujours l'icône en bas à droite et sa bulle qui m'envoie sur un site de programme antivirus.Autre chose que j'ai oublié de signaler : quand je surf, certains mots sur les pages consultées apparaissent en surbrillance comme les lien hypertexte (même ici sur CCC). Si je clic sur le mot il me dirige sur un site pub(crédit,rencontre,encyclopédies,...).Voilà. assez de bla-bla. Voici mes deux rapports (HJ + RAV)Logfile of HijackThis v1.99.1Scan saved at 16:53:51, on 31/07/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\System32
vsvc32.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\WINDOWS\Explorer.exeC:\WINDOWS\mssq.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Logitech\MouseWare\system\em_exec.exec:\windows\system32\vgwusor.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\WINDOWS\javaqs32.exeC:\WINDOWS\System32\ctfmon.exeC:\PROGRA~1\COMMON~1\iomi\iomim.exeC:\PROGRA~1\COMMON~1\iomi\iomia.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fsrrm.dll/sp.html#55135R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fsrrm.dll/sp.html#55135R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fsrrm.dll/sp.html#55135R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fsrrm.dll/sp.html#55135R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fsrrm.dll/sp.html#55135R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fsrrm.dll/sp.html#55135R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fsrrm.dll/sp.html#55135R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingF2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO2 - BHO: Class - {EBCF251F-B321-78AE-4823-B7C13C0B3C18} - C:\WINDOWS
trb.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [pfxn] C:\WINDOWS\System32\pfxn.exeO4 - HKLM\..\Run: [javaqs32.exe] C:\WINDOWS\javaqs32.exeO4 - HKLM\..\Run: [eqqmicw] c:\windows\system32\vgwusor.exe rO4 - HKLM\..\RunOnce: [mssq.exe] C:\WINDOWS\mssq.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [iomi] C:\PROGRA~1\COMMON~1\iomi\iomim.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO15 - Trusted Zone: http://www.neededware.comO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dllO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cabO23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\atlle32.exe (file missing)O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: System Startup Service  (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe----------------------------------------------------------------------------Scan started at 31/07/2005 12:34:19 Scanning memory...process://C:\PROGRA~1\COMMON~1\iomi\iomim.exe - TrojanDownloader:Win32/TSUpdate.K -> InfectedScanning boot sectors...Scanning files...C:\Documents and Settings\Administrateur\Bureau\Ramses\Compression\wrar330.exe->(RARSfx)->Uninstall.exe - Backdoor:Win32/Poebot.E -> SuspiciousC:\Documents and Settings\Beau fils de Castro\Bureau\Nouveau dossier\Compression\wrar330.exe->(RARSfx)->Uninstall.exe - Backdoor:Win32/Poebot.E -> SuspiciousC:\Program Files\common files\iomi\iomim.exe - TrojanDownloader:Win32/TSUpdate.K -> InfectedC:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> SuspiciousVoilà Moe. Je n'ai plus qu'à attendre une réponse.Encore merci pour ton aide et ta patience pour le mancho du pc qui je suis.Ciao.DonVtt.

Utilisateur anonyme · Answer

salutapparement il y a beaucoup de chose qui n'étaient pas présentes sur ton log précédent.L'infection et plus profonde.Télécharge find it ici:http://forums.net-integration.net/index.php?act=Attach&type=post&id=142443lance findit's.bat et poste le rapport

donvtt · Answer

Volà, je suppose que c'est ce rapport que tu voulais.Microsoft Windows XP [version 5.1.2600]PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»   »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»   »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Dont delete file's in the section without guidanceIf any doubt back them up first  »»»»» lagitamate file's can/will show in this section.  »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»  »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»  »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»   »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.   Le volume dans le lecteur C s'appelle Windows XP Pro Le num‚ro de s‚rie du volume est 7C38-D533 R‚pertoire de C:\WINDOWS\SYSTEM32»»»»» Checking for SAHAgent ico files. Le volume dans le lecteur C s'appelle Windows XP Pro Le num‚ro de s‚rie du volume est 7C38-D533 R‚pertoire de C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»». A tout à l'heure.DonVtt

balltrap34 · Answer

il y a du vx2 lamoe tu le fait-- la chasse et le balltrap ma vrai passionvoir site perso dans profil

Utilisateur anonyme · Answer

vas y, j'ai toujours du mal avec nail...au fait le fix pour nail à été modifié il me semble, mais ca fait longtemps que j'étais pas allé voir:http://www.noidea.us/easyfile/file.php?download=20050515010747824a+

balltrap34 · Answer

je l utilise pas je me sert de l2mfix

Utilisateur anonyme · Answer

oui je sais, mais je ne parlais pas d'abiremover.exe (j'ai un gros doute sur ce prog) mais de nailfix.cmd

donvtt · Answer

Salut à toutes et tous,J'ai fais un tour dans ajouter/supp. des programmes. J'ai trouvé 2 programmes inconnus. Seraient-ils l'origine des pop-up ???Leur nom sont : Home Search Assistent et Shopping Wizard.Si je veux désinstaller je me retrouve sur le site "Smart Finder". Je ne peux désinstaller ces programme qu'en téléchargant un programme prévu à cet effet. De plus je dois laisser mon adresse e-mail et la raison pour laquelle je veux désinstaller. C'est la seule possibilité pour jeter ces crasses. Je ne l'ai pas fait.Si ça peut vous aider à trouver une piste ...Merci docteursss.Je reviens bientôt.Ciao.DonVtt

Utilisateur anonyme · Answer

salutBalltrap est reparti apparement, il a sa methode pour virer nail.exeen attendant qu'il revienne essaye de faire ceci:telecharge nailfix ici:http://www.noidea.us/easyfile/file.php?download=20050515010747824et aboutbuster (seulement si tu l'as supprimé)http://www.malwarebytes.biz/index.php?page=downloadsPour le mettre à jours: clic sur "update" puis clic sur "check for update"Si une nouvelle version est disponible clic sur "downloaded update"Déconnecte toi d'internet:Ferme tout les programmes en cours Vide le cache d'Internet Explorer et supprime les cookies:* Panneau de configuration >> Options internet >> Onglet "Général"- Clic sur [supprimer les cookies]- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"Valide avec ok Redémarre en mode sans échec Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.  Choisis le mode sans échec dans les options et valide avec entrée. Rend visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher la case devant " afficher les fichiers et dossiers cachés "Décocher la case devant " masquer les extentions des fichiers dont le type est connu" Décocher la case devant " masquer les fichiers protégés du système"clic sur ok pour valider-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Lance hijackthis et clic sur [do a system scan only]cocher la case au début des lignes suivantes:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fsrrm.dll/sp.html#55135 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fsrrm.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fsrrm.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fsrrm.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fsrrm.dll/sp.html#55135 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fsrrm.dll/sp.html#55135 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fsrrm.dll/sp.html#55135 R3 - Default URLSearchHook is missing F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: Class - {EBCF251F-B321-78AE-4823-B7C13C0B3C18} - C:\WINDOWS
trb.dll O4 - HKLM\..\Run: [pfxn] C:\WINDOWS\System32\pfxn.exe O4 - HKLM\..\Run: [javaqs32.exe] C:\WINDOWS\javaqs32.exe O4 - HKLM\..\Run: [eqqmicw] c:\windows\system32\vgwusor.exe r O4 - HKLM\..\RunOnce: [mssq.exe] C:\WINDOWS\mssq.exe O4 - HKCU\..\Run: [iomi] C:\PROGRA~1\COMMON~1\iomi\iomim.exe valider en cliquant sur [fix checked]-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_Dans le menu Demarrer>Executer >tape: Services.mscrecherche le service avec cette orthographe exacte:Remote Procedure Call etSystem Startup Service Double clic dessus et clic sur [arreter] puis dans :type de demarrage --> sélectionne désactivé-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_lance nailfix.cmd-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Recherche et supprime:Supprimer les fichiers en suivant le chemin des fichiers infectés avec l'explorateur, plutot que d'utiliser la fonction "Rechercher" C:\WINDOWS\fsrrm.dllC:\WINDOWS
trb.dll C:\WINDOWS\System32\pfxn.exe C:\WINDOWS\javaqs32.exe c:\windows\system32\vgwusor.exe  C:\WINDOWS\mssq.exeC:\WINDOWS\atlle32.exeC:\WINDOWS\svcproc.exeC:\WINDOWS\Nail.exe C:\Program Files\common files\iomi+ les dossiers Home Search Assistant et Shopping Wizard dans C:\Program files-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_lance aboutbuster 2 fois de suite-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_redemarre le pc et reposte un hijack a+

balltrap34 · Answer

salutabout buster lance le aautant de fois qu il trouve quelque chose

donvtt · Answer

Salut les virus-killer,Bonne nouvelle !!!Je n'ai pas fini la manip (voir suite) mais rien qu'avec HJ j'ai retrouvé google en page de démarrage. Je l'ai testéai4 fois de suite et ça semble marcher. Merci docteur.Mais,... J'ai lancé HJ.J'ai tout nettoyé SAUF :04-HKLM/../RUN: [eqqmicw] c:/Windows/Systeme 32/vgusor.exe r que je n'ai pas trouvé dans la liste.Dans service.msc j'ai trouvé Systeme Startup Service mais il était déjà arrêté.Par contre Remote Call existe sous la forme suivante :Remote Procedure Call (RPC) HELPER. Est-ce lui ???Je n'ai plus rien fait après puisque l'orthographe est différente. J'attends ta confirmation pour continuer à partir de service.msc. (ou depuis le début ???)

balltrap34 · Answer

oui c est cela

donvtt · Answer

OKJE REPARS AU COMBAT ...

balltrap34 · Answer

bonne guerre

donvtt · Answer

Messieurs,La bête recule. Une dernière offensive et l'animal sera terrassé !!!- Les pop-up ont diminué leur activité intempestive ( 2 depuis 25 min. ). - Ma page de démarrge reste sur Google. YEAH !!!- Je n'ai plus l'icône en bas à droite. YEAH !!!Résultats manips :Dans c:/windows je n'ai pas trouvé:C:\WINDOWS
trb.dll C:\WINDOWS\atlle32.exe C:\WINDOWS\svcproc.exe C:\WINDOWS\Nail.exe Dans c:\windows\system32 je n'ai pas trouvé :c:\windows\system32\vgwusor.exe Dans programmes files je n'ai pas trouvé :Home Search & Shopping Wizard mais ils sont toujours dans ajouter/supp des programmes.About Buster ... un passage a suffit.J'ai vidé les poubelles et recaché les fichiers.Au démarrage de ma session pc Windows m'a envoyé un message d'erreur... il ne trouve pas nail.exe..."vérifiez le nom... entrez correctement et réessayez..."QUESTION :Faut-il réactiver Systeme Startup Service et Remote procedure call ???Suite au prochain numéro ...Merci pour le boulot déjà abattu.J'attends de vos nouvelles messieurs.

balltrap34 · Answer

heureusement que ca il ne le trouve pasil ne trouve pas nail.exefait ceci si tu trouvetu fait dmarrer/executer tu tape msconfig clik sur onglet demarragetu cherche quelque chose en rapport avec tu decoche appliquer et tu redemarre une nouvelle fenetre vas s ouvrir te disant que tu est en demarrage selectiftu coche ne plus afficher ce message et okvoilaFaut-il réactiver Systeme Startup Service et Remote procedure call ??? NONrefait un hijack et les autres prendront la suite because boulot

donvtt · Answer

Salut Balltrap,Je prends bonne note de tes infos. Ferai les tests et reviendrai demain soir.J'allais décrocher aussi (aussi boulot).Encore merci pour ton super boulot. Merci à tous ceux qui ont versé une larme en lisant mes déboires.Bonne nuit à toutes et tous.Ciao et à demain.DonVtt

donvtt · Answer

Salut à tous,Je n'ai rien trouvé concernant nail.exe. Ni de près ni de loin.Voici mon dernier HJ.Bon amusement et à demain soir.Ciao.DonVttLogfile of HijackThis v1.99.1Scan saved at 1:02:02, on 01/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEc:\windows\system32\coyusvv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\ctfmon.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\WINDOWS\System32\wuauclt.exeC:\WINDOWS\System32\wuauclt.exeC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [pfxn] C:\WINDOWS\System32\pfxn.exeO4 - HKLM\..\Run: [xbvgdn] c:\windows\system32\coyusvv.exe rO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO15 - Trusted Zone: http://www.neededware.comO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dllO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cabO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: System Startup Service  (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

donvtt · Answer

Un dernier mot,En regardant le rapport HJ j'ai vu un Nail.exe . Il existe bien un fichier "Nail" dans c:/Windows. Dois-je le supprimer ???A demain.

Utilisateur anonyme · Answer

salut donvttIl faudrait que tu reposte un hijack, car nail.exe est toujours là ainsi que d'autres processus qui se renomment à chaque redemarrage.a+

balltrap34 · Answer

salut normal il y a toujours se services actifO23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe il faut l arreter ouvre le bloc note et copie colle ceci pas les etoilesWindows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]"start"=-[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]"start"=dword:00000004[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ SvcProc] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ SvcProc] *******enregistre le et donne lui comme nom fixspy.reg et met tous fichiers dans type double clik dessus et confirme redemarre etrefait un hijack

Utilisateur anonyme · Answer

salut balltrappas trop dure la reprise !a+

balltrap34 · Answer

salutjuste un allez retour marseille sa vas mais demain les landes donc pas rentrer a la maison lol

Utilisateur anonyme · Answer

j'ai repris aussi aujourd'hui.....tu fais un peu d'internationnal, ou tu reste tout le temps en france ?

balltrap34 · Answer

un peu mais pas beaucoup et pas loinun peu d espagne/allemagne pas tres loin de la frontiere/et idem pour la belgique

donvtt · Answer

Salut la famille, (lol)Voilà que j'arrive.Pour ma page de démarrage c'est de nouveau niqué. Cette fois j'ai une espèce de moteur de recherche qui s'appelle "Search for..." et une liste de titres dans plein de domaine différents.Les pop-up sont revenu en masse.Balltrap, quand tu dis "double clic et confirme" je ne suis pas sûr de comprendre.J'ai copier dans le bloc-note les 5 lignes que tu m'as donné, mis "tous fichiers" dans type, mais le double clic ????? J'ai suivi le chemin d'accès, trouvé fixspy dans c:/, j'ai double cliqué et là il me demande si je veux l'enregistrer dans le registre. Est-ce que c'est ça que je dois faire ??? Je vais faire 2-3 prières et je reviens sur le front.A+.DonVtt

balltrap34 · Answer

dit oui pour enregistrer dans le registre

donvtt · Answer

Yep !Mission Impossible !Léditeur de registre me donne ce message d'erreur :" ... le fichier spécifié n'est pas un scrip du registre. Vous pouvez uniquement importer des fichiers binaires à partir de l'éditeur de registre".??? and next ???

balltrap34 · Answer

pas grave rouvre le fichier clik droit dessus et modifiermet ceci REGEDIT4a la place de ceci Windows Registry Editor Version 5.00 enregistrer et double clikla desoler je doit quitter moe prendrat la suite a++

donvtt · Answer

Ok. Merci pour ton aide.Je repars à l'attaque.Ciao Balltrap

donvtt · Answer

Me re-voici,J'ai fais la modif que Balltrap m'a demandé et ça n'a pas fonctionné. Même message d'erreur. J'ai supprimé un espace que j'ai copié en trop avant la première ligne et ça a fonctionné. Il est dans le registre.Moe, si tu es dans le coin je serais herueux de te "revoir".Bon, je vais griller un clopA+

donvtt · Answer

Salut Moe,je te colle mon rapport HJ et je vais dormir. Je reviendrai demain fin d'après-midi.Question : une fenêtre Interne Explorer s'ouvre de temps à autre pour me prévenir de la présence d'un spyware. Il me propose de l'éliminer. J'ai cliqué et je me suis retrouvé sur un site où je peux télécharger des "anti-tout-ce que-tu-veux". Il y en a un (gratuit) qui reprend tous les problème que j'ai. Je n'ai pas été plus loin. Le programme s'appelle "Spyware Vanisher". Tu connais ???En attendant, bonne nuit à ceux qui vont dormir et bonjour à ceux qui arrive.Ciao tutti.DonVtt

donvtt · Answer

Merde, j'ai oublié de poster mon rapport HJ.Le voici ...Logfile of HijackThis v1.99.1Scan saved at 0:41:22, on 02/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\System32
vsvc32.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.exec:\windows\system32\pchpix.exeC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\WINDOWS\System32undll32.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\WINDOWS\System32\wuauclt.exeC:\WINDOWS\System32\wuauclt.exeC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\BEAUFI~1\LOCALS~1\Temp\se.dll/space.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\BEAUFI~1\LOCALS~1\Temp\se.dll/space.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {6E45EB0B-4317-428D-95CE-B245CD52D2CD} - C:\WINDOWS\System32\eidb.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [pfxn] C:\WINDOWS\System32\pfxn.exeO4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\BEAUFI~1\LOCALS~1\Temp\se.dll,DllInstallO4 - HKLM\..\Run: [vouvwku] c:\windows\system32\pchpix.exe rO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO15 - Trusted Zone: http://www.neededware.comO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dllO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cabO18 - Filter: text/html - {CCFFA189-9003-4B04-B7A9-C7B9BFDBDAD1} - C:\WINDOWS\System32\eidb.dllO18 - Filter: text/plain - {CCFFA189-9003-4B04-B7A9-C7B9BFDBDAD1} - C:\WINDOWS\System32\eidb.dllO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Pierre · Answer

BonjourJe pense avoir le meme probleme que toutes les personne sur ce post,a quelques detail pres,c'est pour cela que je post ici,car je suis vraiment perdu,Voila mon probleme:-La page d'accueil  est toujour "about:blank"-Des favoris qui aparaissent tous seul (pour le moment,je peux encore les enlever,mais il reviennent toujours)-Ce midi,pour la première fois,windows m'a signalé une intrusion.J'ai scanné mon pc avec ad-aware,Pestpatrol,Spybot et McAfee(qui n'est pas a jour,helas)Pour ce qui est de ad-aware,il me detect tjr 2 processes et  1 "registry key"(ils reviennet toujour)Après ma visite sur ce forum,j'ai telechargé HiJackThis,et j'ai scanné,et cela m'a donnée cela:Logfile of HijackThis v1.99.1Scan saved at 14:23:58, on 02/08/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\McAfee\McAfee Internet Security\GUARDDOG.EXEC:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exeC:\WINDOWS\system32\CTsvcCDA.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\MsPMSPSv.exeC:\Program Files\McAfee\McAfee VirusScan\VsStat.exeC:\Program Files\McAfee\McAfee VirusScan\Avconsol.exeC:\WINDOWS\Explorer.EXEC:\Program Files\McAfee\McAfee Internet Security\GUARDDOG.EXEC:\WINDOWS\System32\CTHELPER.EXEC:\WINDOWS\SOUNDMAN.EXEC:\PROGRA~1\PESTPA~1\PPMemCheck.exeC:\PROGRA~1\PESTPA~1\PPControl.exeC:\Program Files\Messenger Plus! 3\MsgPlus1.exeC:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exeC:\Program Files\D-Tools\daemon.exeC:\PROGRA~1\PESTPA~1\CookiePatrol.exeC:\WINDOWS\System32undll32.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Netscape\Netscape\Netscp.exeC:\PROGRA~1\FREEDO~1\fdm.exeC:\Program Files\ICQ\Icq.exeC:\Program Files\Winamp\winamp.exeC:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exeC:\Documents and Settings\Pierre\Bureau\Téléchargement\Pierre\Download\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jtdko.dll/sp.html#37049R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jtdko.dll/sp.html#37049R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jtdko.dll/sp.html#37049R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jtdko.dll/sp.html#37049R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jtdko.dll/sp.html#37049R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet ExplorerR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingN3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\Pierre\Application Data\Mozilla\Profiles\default\9jizjwmf.slt\prefs.js)O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: Class - {F86F75A9-3FEC-ADEE-C7E1-DCBB57E594CE} - C:\WINDOWS\cryl.dllO3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /runO4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXEO4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exeO4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXEO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exeO4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus1.exe"O4 - HKLM\..\Run: [McAfee Guardian] "C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SUO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exeO4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBarO4 - HKLM\..\Run: [winva.exe] C:\WINDOWS\system32\winva.exeO4 - HKLM\..\Run: [apimn32.exe] C:\WINDOWS\system32\apimn32.exeO4 - HKLM\..\RunOnce: [syssh.exe] C:\WINDOWS\syssh.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus1.exe" /WinStartO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: Download all by Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htmO8 - Extra context menu item: Download by Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htmO8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htmO8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htmO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exeO9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exeO12 - Plugin for .MID: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin2.dllO12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin.dllO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{EAB40F0B-BADF-476E-B00B-E90D3B8ED7F5}: NameServer = 192.168.0.1O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exeO23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXEO23 - Service: McAfee Internet Security (GuardDogEXE) - Unknown owner - C:\Program Files\McAfee\McAfee Internet Security\GUARDDOG.EXE" /SERVICE (file missing)O23 - Service: McAfee Firewall - Unknown owner - C:\Program Files\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeJ'ai deja vu les conseil donnés a gwen,mais j'ai pas voulu me lancer dans la meme procedure n'etant pas sure que ce soit le meme probleme.Merci beaucoup

donvtt · Answer

Salut à toute et à tous,Salut Moe,J'ai environ 2 heures devant moi pour faire quelques manips. Si tu es dans le coin fais-moi signe.Je te poste mon rapport HJ.Dans la réponse <66>  de Balltrap il parle de "vx2". Ce matin j'ai lancé ad-aware. VX2 est dans le rapport. Si ça peut aider...J'attends que tu apparaisse ... A+ DonVttLogfile of HijackThis v1.99.1Scan saved at 17:00:48, on 02/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\System32
vsvc32.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\WINDOWS\Explorer.exeC:\Program Files\Logitech\MouseWare\system\em_exec.exec:\windows\system32\lllghs.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\WINDOWS\System32undll32.exeC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\BEAUFI~1\LOCALS~1\Temp\se.dll/space.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\BEAUFI~1\LOCALS~1\Temp\se.dll/space.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {6E45EB0B-4317-428D-95CE-B245CD52D2CD} - C:\WINDOWS\System32\eidb.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [pfxn] C:\WINDOWS\System32\pfxn.exeO4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\BEAUFI~1\LOCALS~1\Temp\se.dll,DllInstallO4 - HKLM\..\Run: [sfsgacf] c:\windows\system32\lllghs.exe rO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO15 - Trusted Zone: http://www.neededware.comO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dllO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cabO18 - Filter: text/html - {ADA3CE34-8215-4D95-9852-C601C1BE099E} - C:\WINDOWS\System32\eidb.dllO18 - Filter: text/plain - {ADA3CE34-8215-4D95-9852-C601C1BE099E} - C:\WINDOWS\System32\eidb.dllO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: System Startup Service  (SvcProc) - Unknown owner - c:\windows\SvcProc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Utilisateur anonyme · Answer

salut donvttAd aware à detecté une vx2 ?

donvtt · Answer

Salut Moe,J' ai trouvé, me semble-t-il, du vx2 dans les quarantaine de ad aware ce matin. Je suppose que s'il est en quarantaine c'est qu'il est dans mon pc. Ou alors je me plante complètement. Ce qui ne serait pas impossible puisque je n'y connais rien.Veux-tu que je relance ad-aware ???A+DonVtt

Utilisateur anonyme · Answer

salutsi il est en quarantaine c'est que tu l'as dejà supprimé, adaware fait une sauvegarde auto de tout ce qui est supprimé.On va vite voir avec ce prog l2mfixhttp://www.downloads.subratam.org/l2mfix.exeou ici:http://www.atribune.org/downloads/l2mfix.exeDouble clic sur l2mfix.exe pour lancer l'extraction. dans le dossier l2mfix, double clic sur l2mfix.bat et choisis l'option #1 (et pas autre chose) et valide avec la touche entrée.le bloc note va s'ouvrir avec le resultat du scan.Fais un copier coller du résultat.ensuite, je sais pas si tu as gardé find it's, mais j'aimerais bien que tu le reessaye une derniere fois mais en le lancant en mode sans echecs.poste aussi son rapport.si tu ne l'a pas gardé telecharge le ici:http://forums.net-integration.net/index.php?act=Attach&type=post&id=142443a+

donvtt · Answer

MoeJ'ai téléchargé le programme, confirmé l'intallation mais je ne trouve pas le ".exe"  . J'ai tous les fichiers devant les yeux mais je ne vois rien en .exe ou bat ???Pauvre ignard que je suis !!! Désolé d'être aussi pataud.

Utilisateur anonyme · Answer

tu parle de lm2fix ?verifie aussi ceci:panneau de configuration > options des dossiers > onglet affichage Décocher la case devant " masquer les extentions des fichiers dont le type est connu"

donvtt · Answer

Oui MOe, je parle de l2mfix .Dois-je aussi montrer les fichiers protégés et afficher les dossiers caché ?J'ai gardé Find it.

Utilisateur anonyme · Answer

pour les fichiers protegés, non pas pour l'instantnormallement quand tu telecharge l2mfix, il porte l'extention exe, tu double clic dessus pour extraire le contenu et tu dois avoir un dossier l2mfix et à l'interieur quelques fichiers dont l2mfix.bat

donvtt · Answer

Désolé Moe,J'ai tout refait dans l'ordre.Télécharger. Installer ds c:/programme file... Ds programme file j'ai clic droit sur l'icône sous forme de fichier compressé l2mfix. j'ai demandé de l'extraire au même endroit. J'ai un raccourci sur mon bureau. Si j'ouvre j'ai plusieurs fichiers sans extention exe. j'ai LOCAtE,fixeautont,dowload file dowloader noelle danjou ...J'ai aussi refixes. Dedans il y à deux espèces de cube vert turquoise  qui parte en morceau. Faut il les mettre dans le registre ???

Utilisateur anonyme · Answer

il ne faut pas faire clic droit > extraire mais simplement double cliquer sur l2mfix.exe et il va s'extraire tout seul

donvtt · Answer

Ok j'ai trouvé le  l2mfix.exe   Quand je double clic j'ai une fenêtre d'invite de commande qui s'ouvre mais "un sous répertoire ou un fichier bagreg existe déjà. You muste have an Internet connecion ... Appuyez sur une touche pour continuer... Si je frappe un touche j'ai : dowload n'est pas reconnu comme commande interne ou externe ..., unzip ...idem

Utilisateur anonyme · Answer

supprime l2mfix.exe et le dossier l2mfix.retelecharge le à partir des liens que je t'ai mis tout à l'heure.et double clic sur l2mfix.exe.

donvtt · Answer

STOOOOOP J'ai la fenêtre de scan oooook. je ne sais pas si j'ai bien fait. J'ai tappé ,1, et fait entré. C'étaitL2MFIX find log 1.03 These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify ermsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{00022613-0000-0000-C000-000000000046}"="Feuille de propri‚t‚s du fichier multim‚dia" "{176d6597-26d3-11d1-b350-080036a75b03}"="Gestion de scanneur ICM" "{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Page de s‚curit‚ NTFS" "{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Page des propri‚t‚s de OLE DocFile" "{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensions de l'environnement pour le partage" "{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension" "{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Carte du Panneau de configuration" "{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage cran du Panneau de configuration" "{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Panorama du Panneau de configuration" "{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Page de s‚curit‚ DS" "{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Page de compatibilit‚" "{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestionnaire de donn‚es endommag‚es de l'environnement" "{59099400-57FF-11CE-BD94-0020AF85B590}"="Extension copie de disquette" "{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensions de l'environnement pour les objets r‚seau de Microsoft Windows" "{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestion d'‚cran ICM" "{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestion d'imprimante ICM" "{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensions de l'environnement de compression de fichiers" "{77597368-7b15-11d0-a0c2-080036af3f03}"="Extension de l'environnement d'imprimante Web" "{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI" "{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu contextuel de cryptage" "{85BBD920-42A0-1069-A2E4-08002B30309D}"="Porte-documents" "{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extension ic“ne HyperTerminal" "{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts" "{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC" "{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Page de s‚curit‚ des imprimantes" "{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensions de l'environnement pour le partage" "{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension" "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie PKO" "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie Sign" "{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connexions r‚seau" "{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Connexions r‚seau" "{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Scanneurs et appareils photo" "{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Scanneurs et appareils photo" "{905667aa-acd6-11d2-8080-00805f6596d2}"="&Scanneurs et appareils photo" "{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Scanneurs et appareils photo" "{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Scanneurs et appareils photo" "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barre des tƒches et menu D‚marrer" "{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Rechercher" "{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support" "{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support" "{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ex‚cuter..." "{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet" "{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Courrier ‚lectronique" "{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Polices" "{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Outils d'administration" "{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler" "{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler" "{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler" "{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler" "{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler" "{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor" "{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barre d'outils Internet Microsoft" "{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="tat du t‚l‚chargement" "{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Dossier Bureau ‚tendu" "{6413BA2C-B461-11d1-A18A-080036B11A03}"="Dossier du shell augment‚" "{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy" "{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Bande du navigateur Microsoft" "{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Bande de recherche" "{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band" "{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Volet int‚gr‚ de recherche" "{07798131-AF23-11d1-9111-00A0C98BA67D}"="Recherche Web" "{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilitaire des options de l'arborescence du Registre" "{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse" "{A08C11D2-A228-11d0-825B-00AA005B4383}"="BoŒte d'entr‚e de l'adresse" "{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Saisie semi-automatique Microsoft" "{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor" "{6756A641-DE71-11d0-831B-00AA005B4383}"="Liste de saisie semi-automatique MRU" "{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU" "{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible" "{acf35015-526e-4230-9596-becbe19f0ac9}"="Barre de progrŠs auto-ouvrante" "{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analyseur de la barre d'adresses" "{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft" "{03C036F1-A186-11D0-824A-00AA005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft" "{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft" "{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu Site de bandes" "{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp" "{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barre du Bureau" "{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite" "{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistance utilisateur" "{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="ParamŠtres du dossier global" "{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band" "{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service" "{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer" "{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut" "{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service" "{FF393560-C2A7-11CF-BFF4-444553540000}"="Historique" "{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook" "{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Image de d‚marrage de la Suite IE4" "{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook" "{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC" "{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC" "{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet" "{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space" "{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band" "{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{88C6C381-2E85-11D0-94DE-444553540000}"="Dossier ActiveX Cache" "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" "{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr" "{F5175861-2688-11d0-9C5E-00AA00A45957}"="Dossier Inscription" "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" "{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent" "{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent" "{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent" "{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent" "{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent" "{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler" "{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestionnaire d'applications d'environnement" "{0B124F8F-91F0-11D1-B8B5-006008059382}"="num‚rateur d'applications install‚es" "{CFCCC7A0-A282-11D1-9082-006008059382}"="Publication d'application Darwin" "{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs" "{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory" "{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extracteur de miniatures de fichier + GDI" "{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Gestionnaire de miniatures - Informations de r‚sum‚ (DOCFILES)" "{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extracteur de miniatures HTML" "{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler" "{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Assistant Publication de sites Web" "{add36aa8-751a-4579-a266-d66f5202ccbb}"="Commande d'impressions via le Web" "{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objet Assistant de publication Shell" "{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Assistant Obtenir une identit‚ Passport" "{7A9D77BD-5403-11d2-8785-2E0420524153}"="Comptes d'utilisateurs" "{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler" "{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target" "{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview" "{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext" "{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control" "{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control" "{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control" "{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control" "{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control" "{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI" "{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object" "{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find" "{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find" "{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI" "{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs" "{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook" "{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target" "{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties" "{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu" "{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options" "{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Dossier Fichiers hors connexion" "{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler" "{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell" "{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%" "{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler" "{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer" "{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension" "{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension" "{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensions de l'interpr‚teur de commandes pour l'environnement d'ex‚cution de scripts Windows" "{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Liaison de donn‚es Microsoft" "{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler" "{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension" "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tƒches planifi‚es" "{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Fichier de chaŒne" "{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Raccourci de chaŒne" "{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object" "{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu" "{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties" "{32714800-2E5F-11d0-8B85-00AA0044F941}"="Des &personnes..." "{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler" "{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler" "{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler" "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Dossiers Web" "{00020D75-0000-0000-C000-000000000046}"="Microsoft Office Outlook Desktop Icon Handler" "{0006F045-0000-0000-C000-000000000046}"="Microsoft Office Outlook Custom Icon Handler" "{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler" "{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices" "{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu" "{E0D79304-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79305-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79306-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79307-84BE-11CE-9641-444553540000}"="WinZip" "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension" "{1CDB2949-8F65-4355-8456-263E7C208A5D}"="Desktop Explorer" "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}"="Desktop Explorer Menu" "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}"="nView Desktop Context Menu" "{57C51AF9-DEF7-11D3-A801-00C04F163490}"="Ghost Shell Extension" "{5464D816-CF16-4784-B9F3-75C0DB52B499}"="Yahoo! Mail" "{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}"="My Logitech Pictures" ********************************************************************************** HKEY ROOT CLASSIDS: ********************************************************************************** Files Found are not all bad files: C:\WINDOWS\SYSTEM32\ appfv32.dll Tue 28 Jun 2005 10:26:18 ..... 87.978 85,91 K cdm.dll Thu 26 May 2005 4:16:24 A.... 75.544 73,77 K d3zi32.dll Thu 7 Jul 2005 14:30:56 A.... 0 0,00 K iuengine.dll Thu 26 May 2005 4:16:24 A.... 198.424 193,77 K mfctf.dll Sat 9 Jul 2005 3:14:58 ..... 87.747 85,69 K pfxnae~1.dll Sat 30 Jul 2005 23:45:02 A..H. 36.352 35,50 K s32evnt1.dll Fri 13 May 2005 19:50:10 A.... 91.856 89,70 K unrar.dll Sat 2 Jul 2005 21:41:08 A.... 53.248 52,00 K winsta~1.dll Tue 2 Aug 2005 18:54:34 A.... 67.072 65,50 K wuapi.dll Thu 26 May 2005 4:16:30 A.... 467.224 456,27 K wuaueng.dll Thu 26 May 2005 4:16:30 A.... 1.343.768 1,28 M wuaueng1.dll Thu 26 May 2005 4:16:32 A.... 195.352 190,77 K wucltui.dll Thu 26 May 2005 4:16:32 A.... 128.792 125,77 K wups.dll Thu 26 May 2005 4:16:30 A.... 41.240 40,27 K wups2.dll Thu 26 May 2005 4:16:30 A.... 18.200 17,77 K wuweb.dll Thu 26 May 2005 4:16:30 A.... 173.536 169,47 K 16 items found: 16 files (1 H/S), 0 directories. Total of file sizes: 3.066.333 bytes 2,92 M Locate .tmp files: C:\WINDOWS\SYSTEM32\ dmojfiaa.tmp Mon 1 Aug 2005 2:26:08 A.... 39.936 39,00 K 1 item found: 1 file, 0 directories. Total of file sizes: 39.936 bytes 39,00 K ********************************************************************************** Directory Listing of system files: Le volume dans le lecteur C s'appelle Windows XP Pro Le num‚ro de s‚rie du volume est 7C38-D533 R‚pertoire de C:\WINDOWS\System32 31/07/2005 18:08 dllcache 30/06/2005 00:14 Microsoft 28/09/1999 21:42 1.050.896 msjet35.dll 09/09/1999 22:06 252.688 msexcl35.dll 09/09/1999 22:06 168.720 msltus35.dll 25/08/1999 14:57 415.504 msrepl35.dll 10/06/1999 09:34 123.664 msjint35.dll 10/06/1999 09:34 24.848 msjter35.dll 07/06/1999 18:59 250.128 mspdox35.dll 25/04/1999 17:00 287.504 Msxbse35.dll 25/04/1999 17:00 368.912 Vbar332.dll 25/04/1999 17:00 252.176 Msrd2x35.dll 10 fichier(s) 3.195.040 octets 2 R‚p(s) 3.608.444.928 octets libres la seule possibilité. Voila le rapport

Utilisateur anonyme · Answer

okmaintenant choisis l'option 2il va te demander de redemarrer, accepteune fois fait, sauvegarde le log qu'il va afficherDans le menu Demarrer>Executer >tape: Services.mscrecherche le service avec cette orthographe exacte:System Startup ServiceDouble clic dessus et clic sur [arreter] puis dans :type de demarrage --> sélectionne désactivé.Ouvre le gestionnaire des taches (ctrl+alt+suppr) et arrete ce processus s'il est actif:SvcProc.exe rend visible tous les fichiers (caché et systeme)-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Lance hijackthis et clic sur [do a system scan only]cocher la case au début des lignes suivantes:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\BEAUFI~1\LOCALS~1\Temp\se.dll/space.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\BEAUFI~1\LOCALS~1\Temp\se.dll/space.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankF2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: (no name) - {6E45EB0B-4317-428D-95CE-B245CD52D2CD} - C:\WINDOWS\System32\eidb.dll O4 - HKLM\..\Run: [pfxn] C:\WINDOWS\System32\pfxn.exe O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\BEAUFI~1\LOCALS~1\Temp\se.dll,DllInstall O4 - HKLM\..\Run: [sfsgacf] c:\windows\system32\lllghs.exe r <- pour celui ci il se sera probablement renommé, il faudra que tu repere l'entrée dans hijackO18 - Filter: text/html - {ADA3CE34-8215-4D95-9852-C601C1BE099E} - C:\WINDOWS\System32\eidb.dll O18 - Filter: text/plain - {ADA3CE34-8215-4D95-9852-C601C1BE099E} - C:\WINDOWS\System32\eidb.dll valider en cliquant sur [fix checked]-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_recherche et supprime:C:\WINDOWS\System32\eidb.dll C:\WINDOWS\System32\pfxn.exe C:\WINDOWS\Nail.exec:\windows\SvcProc.exe n'oublie pas de supprimer le fichier au nom aleatoire que tu auras trouvé dans hijackredemarre le pc, reposte un hijack

donvtt · Answer

Moe,Je sais je suis nul. Mais que veux - tu dire par:n'oublie pas de supprimer le fichier au nom aleatoire que tu auras trouvé dans hijack Là j'étais sur le point de redémarrer en mode sans échec. Mais comme je ne comprends pas ce que tu veux que je fasse avec HJ je n'ose pas refermer mon pc. Sans quoi, si j'ai bien compris, ces petites salopperies changent de nom.Peux-tu m'éclairer avant que je me lance ???

donvtt · Answer

A MOEDésolé. J'ai complètement explosé mon timing de ce soir. Suis à la bourre partout. Je dois filer si je ne veux pas me faire massacrer.Demain j'aurai toute la soirée pour tenter de tuer ces m...Je te fais mes excuses les plus plattes de partir ainsi.A+. CiaoDonVttPS: peux tu répondre à ma question concrnant HJ   (n'oublie pas de supprimer le fichier au nom aleatoire que tu auras trouvé dans hijack ) merci.

Utilisateur anonyme · Answer

cette ligne qui est presente dans le hijack de tout à l'heure:O4 - HKLM\..\Run: [sfsgacf] c:\windows\system32\lllghs.exeQuand tu va lancer l'option 2 de l2mfix, tu vas devoir redemarrer et  le processus lllghs.exe va changer de nom.quand tu referas un hijack il faudra que tu repere une ligne dans les 04 du meme genre avec un processus au nom aleatoire.le mieux c'est que tu sauvegarde le 1er log hijack, et ensuite une fois redemarré ca te permettra de faire la comparaison avec le nouveau, et de reperer plus facilement le nom du processus.puis tu note bien l'endroit ou il se trouve et son nom pour pouvoir le supprimer.en cas de fausse manip il est possible de revenir en arriere avec hijack, et si tu as un doute sur le fichier que tu supprime, ne vide pas la poubelle.

Utilisateur anonyme · Answer

salutà demainpense si tu peux à lancer find it's en mode sans echec et à poster le rapport.a++

Pierre · Answer

Par rapport a ce problème,j'aurai voulu savoir:Si l'on retire IE de son ordinateur,le probleme persistera-t-il?Ou meme a priori si l'on utilise plus IE au profit d'un autre navigateur,cela evitera t-il le probleme?

Utilisateur anonyme · Answer

salut pierrefais ton propre message:clic sur ecrire un nouveau message en haut de la page ca evitera la confusion avec le post de donvttdans le nouveau message poste un hijack en expliquant ton probleme et je te repondrais volontier.à tout de suite

donvtt · Answer

Salut à toutes et à tous,Salut Moe et toutes mes excuses ...Un boulot inattendu m'est tombé dessus; 15 heures de boulot par jour. Je n'ai pas pu revenir sur le forum pour achever ce que nous avions commencé. Mais, voilà je suis de retour.Avant de revenir ici j'ai fais quelques manips. CleanUp; C Cleaner; Ad-Aware; SpyBot; AboutBuster et HJ. Mais, après avoir fait (plusieurs fois) cette série de manips je retrouvais sans cesse "NAIL.EXE" dans le rapport HJ et dans "C:/windows" . "NVCPROC" dans "c:/windows seulement. Si je supprimais "nail.exe" dans c:/wind..." il réapparaissait au bout de quelques secondes.J'avais constaté que mes manips n'affectaient que ma session. J'ai donc refais toutes les manips suivantes sur chaque session existante de mon pc et le résultat semblait positif.1)Déconnection Internet2)Mode ss échec3)Mettre tous les utilisateurs en mode "administrateur" afin qu'ils apparaissent en mode sans échec sinon ils sont invisibles.4)Afficher les dossiers cachés+montrer les extension ... connu et les fichiers protégés.5)Cleanup+CCleaner+Ad-Aware+Spybot+AboutBuster+HJ (éliminer la ligne où se trouve "nail.exe"; about blank etc (voir plus haut tes conseils)+supprimer "nail.exe" dans c:/windows.Résultat:J'ai retrouvé ma page de démarrage google.Nail.exe n'était plus trouvable.Il y a juste ad-aware qui trouvait un objet négligeable mais rien de plus.Spybot est archi clean et aboutbuster aussi.Je n'osait pas y croire. J'avais l'impression que ce "nail.exe" m'attendait au tournant !!! Je n'avais pas tort...J'ai refait un HJ pour le poster et revoilà "nail.exe".Là j'ai besoin de ton aide. Dans le rapport HJ il y a aussi certaines lignes que je ne sais pas déchiffrer et qui me semblent louches. Je te colle mon rapport HJ en espérant que tu puisses me donner un dernier (je l'espère) coup de pouce.Merci pour tes conseils précédents. Je commence à me sentir moins con face à mon ordi !!! lol !!!J'attends de tes nouvelles (ou de quelqu'un d'autre si tu es parti bronzer).Merci.A+DonVttLogfile of HijackThis v1.99.1Scan saved at 21:16:09, on 07/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\System32
vsvc32.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\System32\ctfmon.exec:\windows\system32\sicwql.exeC:\PROGRA~1\COMMON~1\iomi\iomim.exeC:\PROGRA~1\COMMON~1\iomi\iomia.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: WinStat - {0BAE99AF-A9F7-4f7e-9C72-2C1CC81BE0FF} - C:\WINDOWS\System32\WinStat13.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [liimqo] c:\windows\system32\sicwql.exe rO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [iomi] C:\PROGRA~1\COMMON~1\iomi\iomim.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO15 - Trusted Zone: http://www.neededware.comO16 - DPF: NDWCab - http://www.neededware.com/ndw4.cabO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dllO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cabO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: System Startup Service  (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

balltrap34 · Answer

salut fait ceci deux foix et refait un hijacktelecharge cecihttp://www.downloads.subratam.org/l2mfix.exedecompresse le double clik sur l2mfix.bat appuie sur n importe quelle touche et ensuite choisi l option 2

donvtt · Answer

Voilà Balltrap,PS: les pop-up sont toujours actifs!Logfile of HijackThis v1.99.1Scan saved at 22:12:35, on 07/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\System32
vsvc32.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\WINDOWS\Explorer.exec:\windows\system32\qchtvt.exeC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\System32\ctfmon.exeC:\PROGRA~1\COMMON~1\iomi\iomim.exeC:\PROGRA~1\COMMON~1\iomi\iomia.exeC:\WINDOWS\System32\wuauclt.exeC:\WINDOWS\System32\wuauclt.exeC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: WinStat - {0BAE99AF-A9F7-4f7e-9C72-2C1CC81BE0FF} - C:\WINDOWS\System32\WinStat13.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [second] C:\Program Files\second.batO4 - HKLM\..\Run: [yrpblf] c:\windows\system32\qchtvt.exe rO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [iomi] C:\PROGRA~1\COMMON~1\iomi\iomim.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dllO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cabO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: System Startup Service  (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeA+

balltrap34 · Answer

salutj espere que tu nas pas redemarrer&#9658; imprime ceci pour ne rien oublier et tous fairetous faire dans l ordre imperativement-------------------------&#9658; tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif&#9834;  ad-aware (1)version 1.06 (ici)               http://www.florensac-chasse-trap.com/   section virusvoir demo http://pageperso.aol.fr/balltrap34/adwseflash.zip

donvtt · Answer

Hello,Petit souci avec A2.C'est le seul qui me manquait. J'ai téléchargé la version free mais voilà 1/2 heure que j'attends le code d'accès pour le lancer et toujours rien !!! Est-ce que je me suis planté quelque part ???

donvtt · Answer

OK PROBLEME RESOLUJE LANCE LA MACHINE DE GUERRE ...

donvtt · Answer

Je suis MORT, non pas de rire mais de fatigue.J'ai du faire une fausse manoeuvre quelaque part avec l2mfix. Je pense avoir lancer quelque chose mais je ne sais pas quoi. Aprè il a redémarré mon pc. J'ai cru que c'était la suite logique. Mais dans tes explications le redémarrage vient plus tard. Je perds complètement la boule, je n'arrive plus à réfléchir. Je vais stopper ici. C'est une fois de plus partie remise.Toutes mes excuses.CiaoDonVtt

Utilisateur anonyme · Answer

salut donvttlache pas, c'est vrai que tu n'est pas tombé sur le plus facile à virer.reposte un hijack pour voir.je repasse dans la soiréea+

donvtt · Answer

Salut Moe,C'est vrai que je suis un peu découragé et j'imagine que je ne suis pas le premier ni le dernier à passer par là.Je préfère attendre demain soir pour relancer la machine de guerre car je pourrai rester très tard s'il le faut. Autant faire les choses à fond une bonne fois pour toute.Question :-Puisque les manips (ccleaner ; spybot ; ... ) n'agissent que sur la session ouverte est-ce que je dois répéter ces actions sur tous les comptes ?-Si oui y a-t-il un moyen d'agir sur tous les comptes à partir d'un seul pour gangner du temps ?Merci pour ton mot d'encouragement. Même s'il est laconique ça me remet du baume au coeur.A demain soir. En espérant qu'on en vienne à bout de cette m...Ciao.DonVtt

Utilisateur anonyme · Answer

salutpour les fichiers temporaires, personnellement je les supprimes manuellement à partir d'un compte qui à des droits administrateur* C:\Documents and Settings	on compte\Local Settings\Temp* C:\Documents and Settings	ous les autres comptes\Local Settings\Temp* C:\Temp <- s'il existe* C:\Windows\Tempvider tout le contenu de ces dossiers.ainsi que le contenu du dossier prefetch * C:\WINDOWS\Prefetch <= sauf le fichier layout.inipour spybot, il scanne tout le disque, donc je pense pas qu'il faille spécialement le lancer à partir d'autres comptes.demain, avant de poster ton hijack, redemarre en mode sans echecs et passe find it's, poste aussi son rapport, c'est importantsi tu ne l'a pas gardé telecharge le ici: http://forums.net-integration.net/index.php?act=Attach&type=post&id=142443 esperons que demain on aura sa peau...a++

donvtt · Answer

Salut Moe,Me revoici avec le rapport de Findit's.A l'attaque !!! Sus à l'ennemi et pas de quartiers !!!Microsoft Windows XP [version 5.1.2600]PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»   »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»   »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Dont delete file's in the section without guidanceIf any doubt back them up first  »»»»» lagitamate file's can/will show in this section.  »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»  »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»  »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»   »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.   Le volume dans le lecteur C s'appelle Windows XP Pro Le num‚ro de s‚rie du volume est 7C38-D533 R‚pertoire de C:\WINDOWS\SYSTEM32»»»»» Checking for SAHAgent ico files. Le volume dans le lecteur C s'appelle Windows XP Pro Le num‚ro de s‚rie du volume est 7C38-D533 R‚pertoire de C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»».allons-y ...

Utilisateur anonyme · Answer

bon decidement il ne veux pas marcher loltu l'as passé en sans echecs ?reposte un hijack

donvtt · Answer

Content de te "revoir"Je l'ai passé en mode sans échec. Je te poste un HJ de suite1.............2...............3................ et voilàLogfile of HijackThis v1.99.1Scan saved at 20:50:27, on 09/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\Explorer.exeC:\WINDOWS\System32
vsvc32.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exec:\windows\system32\pnyglb.exeC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXEC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: WinStat - {0BAE99AF-A9F7-4f7e-9C72-2C1CC81BE0FF} - C:\WINDOWS\System32\WinStat13.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [rorvmis] c:\windows\system32\pnyglb.exe rO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: System Startup Service  (SvcProc) - Unknown owner - c:\windows\SvcProc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Utilisateur anonyme · Answer

on se passera de find it, tant pisTelecharge: Pocket Killbox icihttp://www.downloads.subratam.org/KillBox.exel'aide détaillé de la manip est téléchargeable ici:http://get.yourfile.net/qn53063.zipDéconnecte toi d'internet.-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_Ouvre le gestionnaire des taches (ctrl+alt+suppr) et arrete ce processus s'il est actif:pnyglb.exe Dans le menu Demarrer>Executer >tape: Services.mscrecherche le service :System Startup Service (SvcProc)Double clic dessus et clic sur [arreter] puis dans :type de demarrage --> sélectionne désactivé.-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Lance hijackthis et clic sur [do a system scan only]cocher la case au début des lignes suivantes:F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: WinStat - {0BAE99AF-A9F7-4f7e-9C72-2C1CC81BE0FF} - C:\WINDOWS\System32\WinStat13.dll O4 - HKLM\..\Run: [rorvmis] c:\windows\system32\pnyglb.exe r valider en cliquant sur [fix checked]-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_1- Double-clic sur KillBox.exe2- ouvre le bloc notes et copie la liste en gras ci-dessous3- Selectionne "Delete on Reboot"4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier5- reviens sur killbox, et dans le menu du haut clic sur tool, puis sur paste from clipboard5- clic sur le rond rouge6- une fenetre va apparaitre pour confirmation clic sur OUI7- une seconde fenetre te demande si tu veux redemarrer clic sur OUIlisteC:\WINDOWS\system32\pnyglb.exeC:\WINDOWS\System32\WinStat13.dll C:\WINDOWS\Nail.exeC:\WINDOWS\SvcProc.exele pc devrais redemarrer tout seul, ensuite reposte un hijacka+

donvtt · Answer

Hello,Voilà. Tout c'est bien passé.Quelques détails : 1)- Je n'ai pas trouvé la ligne O4 - HKLM\..\Run: [rorvmis] c:\windows\system32\pnyglb.exe r mais celle-ci : 04-HKLM/.../Run:wdpmvaj] :/WINDOWS/system32/mhqoen.exe r  ----> je l'ai supprimée2)- Dans KillBox, Paste from clipboard je l'ai trouvé dans FILE et non dans TOOL. Une petite erreur de ta part ?    - Après avoir collé les lignes, dans le déroulant n'appaissaient que nail.exe et SvcProc.exe ?!3)- Au re démarrage un message d'erreur (positif) apparaît :    "Windows ne trouve pas nail.exe" Mais comme tu le vois dans le rapport ci-dessous, nail.exe est toujours là !!!Ce n'est pas le première fois que ça arrive.Voici mon rapport HJLogfile of HijackThis v1.99.1Scan saved at 21:34:02, on 09/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\System32
vsvc32.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\WINDOWS\Explorer.exeC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\System32\ctfmon.exec:\windows\system32\lhkehx.exeC:\WINDOWS\System32\wuauclt.exeC:\WINDOWS\System32\wuauclt.exeC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [lbzmlzv] c:\windows\system32\lhkehx.exe rO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: System Startup Service  (SvcProc) - Unknown owner - c:\windows\SvcProc.exe (file missing)O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Utilisateur anonyme · Answer

dsl pour killbox, mea culpa ;-)en mode normal (sans redemarrer)supprime avec hijackF2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [lbzmlzv] c:\windows\system32\lhkehx.exe r toujour avec killbox, et comme precedement supprime c:\windows\system32\lhkehx.exe C:\WINDOWS\Nail.exereposte un hijack apres le redemarrage

balltrap34 · Answer

salut celui la aussiO23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe (file missing) mais il aurait du partir avec le reg

donvtt · Answer

Dans le déroulant de KillBox apparaît seulement nail.exe et pas c:\windows\system32\lhkehx.exeA la première tentative  de suppression j'ai reçu un message d'erreur ; impossible de supprimer nail.exe.J'ai fermé KillBox et recommencé l'opération. Tout c'est déroulé comme prévu.Au re démarrage le même message : windows ne trouve pas nail.exe ... MAIS il est toujours là le vilain !!! Pareil pour le 04-HKLM ....  .exe r qui a changé de nomÔ rage Ô désespoir Ô virus ennemi ...Voici mon rapport HJLogfile of HijackThis v1.99.1Scan saved at 22:13:25, on 09/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\System32
vsvc32.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\Program Files\QuickTime\qttask.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\ctfmon.exec:\windows\system32\xrkcej.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\WINDOWS\System32\wuauclt.exeC:\WINDOWS\System32\wuauclt.exeC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [efprncq] c:\windows\system32\xrkcej.exe rO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: System Startup Service  (SvcProc) - Unknown owner - c:\windows\SvcProc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

balltrap34 · Answer

je comprend pas le service est toujours actiftu as bien fait les manip completement et dans l ordrerefait les manip du post 121 dans l ordre et toute et fix cette ligne aussi en plusO4 - HKLM\..\Run: [efprncq] c:\windows\system32\xrkcej.exe

Utilisateur anonyme · Answer

salut balltrapc'est un vrai casse tete

donvtt · Answer

Salut Balltrap,Désolé je n'avais pas vu ton message.Oui j'ai respecté toutes les manips scrupuleusement et dans l'ordre.Ote-moi un doute... HJ doit bien être lance en mode normal ?

Utilisateur anonyme · Answer

ca depend de la manipessaye de refaire la manip que balltrap à indiqué pour voir

balltrap34 · Answer

oui et surtout faire le regsalut moe je pense que l ont vas opter pour la methode avec http://www.ewido.net/en/download/

Utilisateur anonyme · Answer

oui ce serait interressant de voir ce qu'il va trouvertu prend le relais, je vais pas pouvoir rester trop longtemp ce soirun petit quart d'heure et j'arrete

balltrap34 · Answer

oki je prend bonne nuit demain je repart sur toulouse

Utilisateur anonyme · Answer

tu passe vers chez moi alors !si tu prend la rn20 au nord de toulouse on risque meme de se croiser lola+

balltrap34 · Answer

je vais souvent manger au resto les 4D si tu connait direct montauban je passe souvent dans le coin je livre les base intermarche de toute  la france

balltrap34 · Answer

pour donvtt refait un hijack et je te donnerait une nouvelle manip differente

donvtt · Answer

Aurevoir Moe, re salut Baltrap,Désolé, suis nul sur toute la ligne. J'ai merdé et tout a re démarré.Toutes mes excuses de te bouffer autant de temps.Je suppose que je dois te reposter un HJ ?!Au cas où, le voici.Logfile of HijackThis v1.99.1Scan saved at 23:15:50, on 09/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\System32
vsvc32.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\WINDOWS\System32\ctfmon.exec:\windows\system32\xqzxkm.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [ahmcylv] c:\windows\system32\xqzxkm.exe rO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: System Startup Service  (SvcProc) - Unknown owner - c:\windows\SvcProc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

balltrap34 · Answer

desactive a2 le temp de la maniptelecharger cecihttp://www.ewido.net/en/download/Quand le téléchargement a fini, place ewido-setup.exe sur ton Bureau. Double cliquez-y pour commencer l'installation. Dans la fenêtre de ' les Options Complémentaires, decoche'Install required for automatic updates (background guard)' and 'Install scan via context menu'.Quand l'installation est complète, vous devrez mettre à jour Ewido aux derniers fichiers de définition : Double cliquez sur l'icône de Bureau. Dans l'écran principal, du côté gauche le côté, clique sur Update. Dans l'écran suivant, cliquez sur Start Update   Quand il a fini de mettre à jourSi vous avez des problèmes avec le logiciel de mise à jour, vous pouvez manuellement mettre à jour Ewido. Cliquez ici. http://www.ewido.net/en/download/updates/2) Télécharger Nailfix d'ici et met le sur ton bureauhttp://www.noidea.us/easyfile/file.php?download=20050515010747824 decompresse le ne l utilise pas encore3)telecharge cleanup http://pageperso.aol.fr/Balltrap34/CleanUp40.exevoir demohttp://pageperso.aol.fr/balltrap34/democleanup.htmdemarre en mode sans echec4) Exécuté Nailfix.cmd 5) Exécuté Ewido. Cliquez sur Scanner Cliquez Complete System Scan si il te demande de nettoyer des fichiers  cliquer sur OK. Quand il demande si vous voulez nettoyer le premier fichier, cocher dans le coin plus bas gauche de la boîte qui dit ' Perform action with all infections'  clique sur OK. Une fois que le balayage a achevé, il y aura un bouton placé en bas de l'écran nommé Save report   cliquer dessusSauvegardez report.txt le fichier à votre bureau. Fermez maintenant la suite de sécurité ewido. 6) &#9658; relance hijack coche ces lignes et  ensuite clik sur fixF2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [ahmcylv] c:\windows\system32\xqzxkm.exeO23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe 7) recherche et suppr ces fichiers si tu trouveC:\WINDOWS\Nail.exe  c:\windows\system32\xqzxkm.exec:\windows\SvcProc.exe 8)copie colle ceci dans le bloc note se qui est entre les etoiles ********************* Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc] "start"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc] "start"=dword:00000004 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}]   [-HKEY_CLASSES_ROOT\CLSID\{581F22DA-7202-4F21-AEF3-114787156016}]   [-HKEY_CLASSES_ROOT\MSEvents.MSEvents]   [-HKEY_CLASSES_ROOT\MSEvents.MSEvents.1]   [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents]   [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1]   ******************* enregistre le et donne lui comme nom xxx.reg et met tous fichiers dans type double clik dessus et confirme 9=la redemarre et refait un hijack et met nous le rapport Eweido

donvtt · Answer

je pense que je dois me calmer un peu. Je suis vraiment une calamité.J'ai installé Ewido sur mon bureau. Mais je n'ai pas décoché les cases 'Install required for automatic updates (background guard)' and 'Install scan via context menu'.Ewido s'est lancé ET il a trouvé le fameux adware BetterInternet qui est plus que probablement la cause de mes soucis. Je l'ai déjà repéré dans diverses manips ( avec ad-aware je pense) et tenté de l'éradiquer mais sans succès.Dois-je quand même recommencer l'opération en sachant que je ne vois pas où il faut désactiver a2 ?

balltrap34 · Answer

si tu ne suis pas se que l ont te dit je t est mis de decocher les case fait leensuite fait tous ne tarrete pas en routesi tu as a2 dans la barre de tache en bas a droite clik droit dessus et clik sur desactiver ou arreter

donvtt · Answer

Salut Balltrap,Hier soir mon pc s'est mit à cafouiller. Il a commencé à rammer un maximum. Comme je n'ai pas d'imprimante je copie/colle les manip que je dois faire dans word mais à chaque fois il plantait. Même chose avec outlook office. pour finir j'ai réussi à le mettre dans outlook express. je pense que c'est à cause de certai caractères. J'ai du le mettre en UNICODE pour pouvoir le lire.J'ai fait ce matin tout ce que tu m'as demandé dans l'ordre. Après ewido il y a plein de fichiers qui ont disparus dans windows( 40 infections trouvée avec ewido !!!). Je n'ai pas trouvé dans Hj la ligne F2... nail.exe.  La ligne O4 - HKLM\..\Run: [ahmcylv] c:\windows\system32\xqzxkm.exe  a changé de nom je l'ai repéré et coché. La ligne 023 que tu as demandé de cocher n'existait plus.Dans windows je n'ai pas retrouvéC:\WINDOWS\Nail.exe c:\windows\system32\xqzxkm.exe c:\windows\SvcProc.exe Voilà HJ. A ce soir . je pars bosser. Encore désolé pour mes faux pas d'hier. Au bout de 6 heures d'écran ça devient pénible tu sais.Logfile of HijackThis v1.99.1Scan saved at 12:10:34, on 10/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\ewido\security suite\ewidoctrl.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\Explorer.EXEC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\WINDOWS\System32\ctfmon.exec:\windows\system32\gymxurs.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\WINDOWS\System32\wuauclt.exeC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [qailyu] c:\windows\system32\gymxurs.exe rO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeA+CIAODonVtt

balltrap34 · Answer

oki relance hijack coche te fixO4 - HKLM\..\Run: [qailyu] c:\windows\system32\gymxurs.exe recherche et supprc:\windows\system32\gymxurs.exe ensuite repasse l2mfix option 2et donne moi le rapport de wiedo stp

donvtt · Answer

Salut Balltrap,Boulot, boulot, boulot... J'arrive seulement et ne pourrai pas rester des heures. J'ai lancer l2mfix option 2 mais ça ne marche pas. Windows ne trouve pas reboot.exe. Je t'ai mis le rapport de Ewido à la suite.Je commence à me culpabiliser un max de bouffer autant d'espace à moi tout seul ! Les gars si vous en avez marre n'hésitez pas à me le dire. Je vire mon disque C et je réinstalle tout. OK ?Cela-dit, j'aimerais bien avoir sa peau à cette m...Merci pour votre patience. A+--------------------------------------------------------- ewido security suite - Rapport de scan--------------------------------------------------------- + Créé le:		11:53:12, 10/08/2005 + Somme de contrôle:	128DDFA5 + Résultats du scan:	HKLM\SOFTWARE\Classes\CLSID\{7658C68E-7ED4-8476-AC96-729091012307} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder	[592] c:\windows\system32\otspvj.exe -> Adware.BetterInternet : Nettoyer et sauvegarder	C:\!Submit\Nail.exe -> Adware.BetterInternet : Nettoyer et sauvegarder	C:\RECYCLER\NPROTECT\00000522.exe -> Adware.BetterInternet : Nettoyer et sauvegarder	C:\RECYCLER\NPROTECT\00000571.exe -> Adware.BetterInternet : Nettoyer et sauvegarder	C:\RECYCLER\NPROTECT\00000620.exe -> Adware.BetterInternet : Nettoyer et sauvegarder	C:\RECYCLER\NPROTECT\00000636.exe -> Adware.BetterInternet : Nettoyer et sauvegarder	C:\WINDOWS\apilx32.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\apiss.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\atlgw.exe -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\bootstat.dat:zotwza -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\Bulles de savon.bmp:lbnllg -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\clock.avi:roljbk -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\control.ini:ecgqnr -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\control.ini:hwgszv -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder	C:\WINDOWS\control.ini:ukfdsw -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder	C:\WINDOWS\Granit vert.bmp:whgcow -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder	C:\WINDOWS\Jour de pêche.bmp:oiqhih -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\mdrtk.txt:lraffp -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\ModemLog_Intel(R) 537 Data Fax V.90 Modem.txt:dstkha -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\msdfmap.ini:csozsw -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\Mur de Santa Fe.bmp:pqunjb -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\mxzviynbr.exe -> Adware.BetterInternet : Nettoyer et sauvegarder	C:\WINDOWS\ODBC.INI:irmade -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\ODBCINST.INI:usheug -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\pss\system.ini.backup:ioomhq -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\setupapi.log.0.old:axlybr -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\setupapi.old:qvvhfg -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\setupapi.old:zalhay -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\system32:bgaa.dll -> TrojanDownloader.Small.azk : Nettoyer et sauvegarder	C:\WINDOWS\system32\addrw32.exe -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\system32\addws.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\system32\apiub.exe -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\system32\apput32.exe -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\system32\javadp.exe -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\system32\javaet32.exe -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\system32
etiw32.exe -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\system32\otspvj.exe -> Adware.BetterInternet : Nettoyer et sauvegarder	C:\WINDOWS\system32\pfxnaeg06.dll -> TrojanDownloader.Lastad.r : Nettoyer et sauvegarder	C:\WINDOWS\system32\winca32.exe -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\Thumbs.db:dogoxj -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\Thumbs.db:gigadf -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\Thumbs.db:sldrcf -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder	C:\WINDOWS\Thumbs.db:taxsoa -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\vb.ini:lbqyjk -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\vbaddin.ini:kortoz -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\Vent de prairie.bmp:lkthn -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\Vent de prairie.bmp:lloxei -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\winjf32.exe -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\winnt.bmp:fbmeup -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\winnt256.bmp:rkwqfz -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\wmprfFRA.prx:sixquc -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\WMSysPr9.prx:lryxxt -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\WMSysPr9.prx:tghjcf -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\WMSysPrx.prx:jlodzc -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\wmugkxw.exe -> Adware.BetterInternet : Nettoyer et sauvegarder	C:\WINDOWS\znzna.txt:esjkzw -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\_default.pif:lhrowp -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:aakaot -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:akypim -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:atbfne -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:bccvxe -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:bqykm -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:ghvnfp -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:grslm -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:habaeh -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:hsrzsu -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:nadjwc -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:pzivcx -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:rjjpdt -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:rloxs -> TrojanDownloader.Agent.bc : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:tkrdco -> TrojanDownloader.Agent.bq : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:vzleuz -> Trojan.Agent.bi : Nettoyer et sauvegarder	C:\WINDOWS\_delis32.ini:yiothr -> Trojan.Agent.bi : Nettoyer et sauvegarder::Fin du rapport

donvtt · Answer

QUESTION !!!J'ai ouvert Ewido. Regardé dans "analyse" puis dans démarrage. Là, nail.exe est affiché. J'ai l'option de pouvoir supprimer cette fonction du démarrage. Est-ce faisable, possible, conseillé ou pas ???Une autre ligne me chiffonne depuis un petit temps et c'est "nwiz.exe". Je ne sais pas ce qe c'est mais ça me semble louche. D'autant plus que les "slach" (.../...) sont inversées ???Il y a aussi "second.bat.J'essaye de les supprimer du démarrage ???

donvtt · Answer

Les petits loups, il se fait trop tard. J'arrête là pour aujourd'hui.Ciao. A+DonVtt

balltrap34 · Answer

rerefait un hijack

donvtt · Answer

Salut à toutes et tous,Salut Balltrap,1) Je t'ai collé mon HJ ci-dessous. Du pareil au même. Nail est là et la ligne O4 - HKLM\..\Run: [tgeciuw] C:\WINDOWS\System32	avohvu.exe r. Celle là, quand je la supprime, elle change de nom et revient tjs avec l'extension ".exe r"2) J'ai depuis le début mis tous les comptes d'utilisateur en mode administrateur total. Je viens de me souvenir que pour un de ceux-ci j'avais coché la fonction pour rendre les documents inaccessibles aux autres utilisateurs. Serait-ce la raison de tous ces ratés ??? Si oui dis moi comment désactiver cette fonction car je ne m'en souviens plus.Logfile of HijackThis v1.99.1Scan saved at 18:14:41, on 11/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\ewido\security suite\ewidoctrl.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\Explorer.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32	avohvu.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\OPScan.exeC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [second] C:\Program Files\second.batO4 - HKLM\..\Run: [tgeciuw] C:\WINDOWS\System32	avohvu.exe rO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: System Startup Service  (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

balltrap34 · Answer

tant que se service ne seras pas suppr il reviendratO23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe et je ne comprend pas pourquoi tu y arrive pasil faut tous faire sans redemarrerdans l ordre 1)weido2)cleanup3)nailfix4)hijack cocher la f2 nail                                                                 04 avec les lettres aleatoire                                                                  023 citer si dessus5)rechercher et suppr                                                                         le nail.exe                                                                          le fichier aleatoire                                                                         le fichier de la 0236)refaire le fichier reg fait plus haut7)passer l2mfix option28)passer ton anti virus

donvtt · Answer

Hello Balltrap,Me revoici. J'ai fais toutes les manips comme suit :1) Afficher les dossiers cachés, les extension et les fichiers protégés.2) J'ai lancé Ewido et corrigé tout ce qu'il a trouvé.3) J'ai lancé CleanUp plusieurs fois jusqu'à ce qu'il ne reste plus rien.4) NailFix ... Lorsque je lancais NailFix.cmd une fenêtre type invite de commande s'ouvrait une fraction de seconde puis se refermait. J'ai pu distinguer quelques mots :"Imposiible ...C\windows... nail.exe". J'ai passé l'étape après une dizaine d'essai.5) HJ la première foisa- j'ai coché la ligne F2 de nail.exeb- " " "   " "  " " " " " 04 aux lettres aléatoires terminée par ".exe r"c-"  "  "  "  "  "  "  "  " je n'ai pas trouvé la ligne 023 Service Startup.    HJ la deuxième foisIl ne restait plus que la ligne aléatoire 04 ...6) Dans c:\windows et system 32 je n'ai trouvé aucune trace de nail.exe par contre le fichier aux lettres aléatoires oui. En ouvrant simultanément HJ et un fenêtre dans c:\windows je pouvais voir ce fichier changer de nom au moment où HJ le liquidait. Impossible de l'effacer manuellement.7) J'ai créé le .reg suivant (c'est celui de la fois passé) dans un bloc-note comme tu me l'as demandé.Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc] "start"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc] "start"=dword:00000004 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}] [-HKEY_CLASSES_ROOT\CLSID\{581F22DA-7202-4F21-AEF3-114787156016}] [-HKEY_CLASSES_ROOT\MSEvents.MSEvents] [-HKEY_CLASSES_ROOT\MSEvents.MSEvents.1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1]8) Au re démarrage les choses se sont corsé. La fenêtre attendue s'est ouverte avec "Killing run.dll 32" (ou quelque chose de très approchant) ensuite 0(zéro) fichier trouvé. La fenêtre s'est fermé, toutes mes icône du bureau ont disparu, ma barre d'outil aussi. Ne restait plus sur mon bureau que mon fond d'écran.En allant voir dans le gestionnaire des tâches j'ai remarqué que l'uc faisait des bon à 100% puis revenait à 0 à intervalle plus ou moins régulier. J'ai du faire un reset puisqu'aucune autre possibilité n'existait. J'était coincé sur mon bureau ... vide !!!Au re démarrage même scénario. La fenêtre s'est réouverte re disparition de mes icônes et re reset.Au troisième démarrage j'ai essayé avec une autre session. Même scénario.Au quatrième je l'ai fait en mode sans échec. La fenêtre ne s'est plus ouverte. J'ai alors suuprimé le bloc note avec .reg que j'ai créé espérant que ce cinéma s'arrête.1) J'ai passé CleanUp plusieur fois jusqu'a ce qu'il ne trouve plus rien.2) J'ai passé CCleaner à fond.3) Dans HJ je n'ai pas retrouvé nail.exe ou alors je l'ai coché? je ne sais plus.  J'ai coché la ligne 04".exe r". Je n'ai pas trouvé le Systeme StartUp ligne 023.4) Dans c:\windows \systeme 32\ je n'ai pas trouvé nail.5) Spybot -----> ok rien trouvé.6) Service msc ok. Pas trouvé System Satrtup.7) Ad-Aware n'a rien trouvé.Je suis allé sur la session aux fichiers bloqués aux autres utilisateurs.Je n'ai pas trouvé F2...Nail.exe, ni04... .exe r, ni 023 Sartup...!!!!!!PAR CONTRE !!!!!!Spybot a retrouvé les mêmes merdes sur cette session à savoir :"AbetterInternet.Aurora" et "AbetterInternet" que j'ai supprimé.Au deuxième passage de Spybot il ne restait plus rien.Ad-Aware a trouvé 6 MRU pas graves que j'ai liquidé.Norton n'a rien trouvé du tout.OUFFFFFFFFFFFF !!!Serions nous arrivé au bout de nos peine malgré que NailFix ne semble pas avoir fonctionné ????????Je n'ose y croire.Toutefois il subsiste le problème de cette fenêtre qui fait disparraître tout mon bureau !!! Comment la stope-t-on ???Je te poste mon rapport HJ et te salue. En espérant que cette fois c'est vraiment la fin de ce merdier.Ciao Balltrap.DonVttLogfile of HijackThis v1.99.1Scan saved at 23:51:11, on 11/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\ewido\security suite\ewidoctrl.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\System32
vsvc32.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [second] C:\Documents and Settings\Beau fils de Castro\Bureau\l2mfix\second.batO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

donvtt · Answer

AH OUI !!! J'oubliais.J'ai relancé mon ordi en mode normal et dès que la fenêtre "Killing run dll ..." s'est ouverte je l'ai refermée et tout est resté normal. Mais faudrait quand même que tu m'explique comment l'arrêter.Je viens de refaire un HJ et tout est toujours en ordre !!!Je prie, je prie et re prie bien que je ne sois pas croyant lolCiao tuttiDonVtt

balltrap34 · Answer

rerelance hijack coche et fixO4 - HKLM\..\Run: [second] C:\Documents and Settings\Beau fils de Castro\Bureau\l2mfix\second.bat et suppr lepour cette fenetre regarde si tu le trouve latu fait dmarrer/executer tu tape msconfig clik sur onglet demarragetu cherche quelque chose en rapport avec tu decoche appliquer et tu redemarre une nouvelle fenetre vas s ouvrir te disant que tu est en demarrage selectiftu coche ne plus afficher ce message et okvoila

Utilisateur anonyme · Answer

salut donvttc'a a l'air de s'arrangerest ce que tu as laissé l2mfix terminer le nettoyage apres qu'il t'ai averti du redemarrage, jusqu'a l'ouverture du bloc note avec le rapport de l'option 2 ?a+

donvtt · Answer

Salut à vous Moe et Balltrap, les guerriers du pc,A Moe : oui j'ai laissé courir l2mfix jusqu'au bout. Je n'ai à aucun moment interrompu quoi que ce soit.Cette fois je crois bien qu'on lui a fait la peau à cette saloperies de NAIL.Plus de trace de cette vermine, plus de trace de la ligne aléatoire, plus de trace de Systeme Startup. Dans msconfig j'ai stoppé la ligne a2guard "c:\windows files\a2guard.exe" et la fenêtre verte à enfin disparu. !!!!!!!!!!  YEAH  !!!!!!!!!!!Les gars je vous remercie de tous mes pixel, bytes et gigas disponibles pour votre boulot et SURTOUT pour votre incroyable patience à supporter les ignards en informatique comme moi.Je n'ai certainement pas été un élève habile surtout après quelques heures d'écran. Je vous tire mon chapeau d'avoir pu me supporté autant de temps.Si vous passé en Belgique arrêtez vous au Delhaize (super marché) de Wavre (près de Bruxelles) et demandez Niaz au rayon vin. Je me ferais un plaisir de vous remercier.Dernière choses:Voulez-vous un dernier HJ ?Avez-vous un conseil pour me protéger de cette crasse à l'avenir ?

balltrap34 · Answer

salut content pour toioui pour hj a tous hazard il vaut mieux verifierquand a la protection utilise les prog que l ont ta fait tele(spybot/ad-aware/cleanup)passe les au minimum toutes les semaines

donvtt · Answer

Salut Balltrap,Je suppose que tu sais à quel point je dois me sentir soulagé. Je te poste un dernier HJ de contrôle. Et t'inquiète que je vais les passer les Spybot, Ad-Aware et autres ... !!! lolLogfile of HijackThis v1.99.1Scan saved at 22:50:41, on 12/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\ewido\security suite\ewidoctrl.exeC:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\WINDOWS\System32
vsvc32.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Beau fils de Castro\Bureau\My Downloads\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-be\msntb.dllO3 - Toolbar: Yahoo! Barra de Herramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn1\ycomp5_6_2_0.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr-be\msnappau.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exeO4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmeses.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exeO23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\GHOSTS~2.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

balltrap34 · Answer

reje sais pas si je te le dit lolmais oui il est oka++

donvtt · Answer

C'est un peu comme quand tu quittes le médecin.T'as envie de lui dire "à bientôt" mais dans le fond tu te dis que t'as pas vraiment envie de retomber malade. Alors tu dis juste "aurevoir" .lolBonne route et encore merci.Ciao.DonVtt

balltrap34 · Answer

a la prochaine mais sans soucisa+++++++

stabil · Answer

Bonsoir,

Pour tous ceux qui ont Windows Vista et qui ont téléchargé Le" Gadjet Magentic" d' Incredimail, ils peuvent
le désinstaller, il cause ce problème de" page vierge explorer".

J' en ai fait l' expérience et tout ce passe à merveille.

About:blank et autre soucis

147 réponses

Votre réponse

Discussions similaires

Newsletters