Help !!

Question

J'ai récement été infecté par un virus/spyware/trojan, je ne sais pas exactement. Lorsque je visite certaines pages web, je suis redirigé vers des sites commerciaux ou malveillants (je suppose que le programme doit réagir à certains mots clés, car ça ne me le fait pas tout le temps)... Enfin bref, j'ai Norton Antivirus 2005 et il n'a rien trouvé après l'analyse, j'ai Spybot aussi qui n'a rien trouvé, cwshredder qui n'a rien trouvé non plus,  et Ad-Aware qui se bloque à un moment et qui ne termine pas l'analyse. Le fichier sur lequel bloque Ad-Aware se trouve dans mes documents et il s'agit de mon dossier avec mes cours de finance (une raison de plus de maudir cette matière...). Lorsque j'essaye d'aller voir le dossier ou de le supprimer, j'ai un message d'erreur : "Explorer.EXE a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru." Du coup je ne sais pas quel est le problème exactement et comment faire pour résoudre le problème. Pouvez-vous m'aider ??

Utilisateur anonyme · Answer

salut raphaeltelecharge hijackthis:http://www.merijn.org/files/hijackthis.zip Dezippe le dans un dossier prévu a cet effet.Par exemple C:\hijacket surtout pas dans un dossier temporaire (temp)lance le puis:clic sur "do a system scan and save logfile" et pas autre choseLe bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.Si tu as du mal, regarde ceci:http://pageperso.aol.fr/balltrap34/demohijack.htm a+

Raphael · Answer

Logfile of HijackThis v1.99.1Scan saved at 18:00:05, on 07/08/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\S24EvMon.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZCfgSvc.exeC:\WINDOWS\System32\1XConfig.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeC:\WINDOWS\System32\igfxtray.exeC:\WINDOWS\System32\hkcmd.exeC:\Program Files\TOSHIBA\TME3\TMERzCtl.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\TFNF5.exeC:\WINDOWS\System32\alg.exeC:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exeC:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32\TPSBattM.exeC:\WINDOWS\LTSMMSG.exeC:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeC:\WINDOWS\System32\RegSrvc.exeC:\Program Files\Apoint2K\Apoint.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeC:\Program Files\TOSHIBA\TME3\Tmesrv31.exeC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exeC:\Program Files\TOSHIBA\TME3\TMEEJME.EXEC:\Program Files\Apoint2K\Apntex.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\MSN Messenger\msnmsgr.exeC:\WINDOWS\explorer.exeC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\ROBERT~1\LOCALS~1\Temp\Rar$EX02.166\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Program Files\TOSHIBA\Free Update Service\splash.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: (no name) - {70C52BDB-0B2E-4933-A479-1BA74A18F1B1} - C:\WINDOWS\System32\obek.dll (file missing)O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /LogonO4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /ServiceO4 - HKLM\..\Run: [TFncKy] TFncKy.exeO4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [TPSMain] TPSMain.exeO4 - HKLM\..\Run: [TFNF5] TFNF5.exeO4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exeO4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exeO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exeO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.htmlO16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/fr/win/QuickTimeInstaller.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{99CEA241-CF2F-41D5-8DB7-D1845F185C72}: NameServer = 69.50.176.198 85.255.112.12O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dllO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeO23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exeO23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeO23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe" /Service (file missing)

Utilisateur anonyme · Answer

salutapparement tu as eu quelques soucis avec aboutblank on dirait ?Pas grand chose ne ressort de ton hijack. Lance hijackthis et clic sur [do a system scan only]cocher la case au début des lignes suivantes:R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: (no name) - {70C52BDB-0B2E-4933-A479-1BA74A18F1B1} - C:\WINDOWS\System32\obek.dll (file missing) O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O17 - HKLM\System\CCS\Services\Tcpip\..\{99CEA241-CF2F-41D5-8DB7-D1845F185C72}: NameServer = 69.50.176.198 85.255.112.12 valider en cliquant sur [fix checked]redemarre le pc, reconnecte toi et ensuite refais un hijack et poste le resultat

Raphael · Answer

Merci de ta réponse. Voici le nouveau logfileLogfile of HijackThis v1.99.1Scan saved at 18:22:05, on 07/08/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\S24EvMon.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZCfgSvc.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\1XConfig.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeC:\WINDOWS\System32\igfxtray.exeC:\WINDOWS\System32\hkcmd.exeC:\Program Files\TOSHIBA\TME3\TMERzCtl.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeC:\WINDOWS\System32\TFNF5.exeC:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exeC:\WINDOWS\LTSMMSG.exeC:\Program Files\Apoint2K\Apoint.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exeC:\WINDOWS\System32\TPSBattM.exeC:\Program Files\Apoint2K\Apntex.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\alg.exeC:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeC:\WINDOWS\System32\RegSrvc.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeC:\Program Files\TOSHIBA\TME3\Tmesrv31.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\TOSHIBA\TME3\TMEEJME.EXEC:\Program Files\Messenger\msmsgs.exeC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\ROBERT~1\LOCALS~1\Temp\Rar$EX00.877\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Program Files\TOSHIBA\Free Update Service\splash.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /LogonO4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /ServiceO4 - HKLM\..\Run: [TFncKy] TFncKy.exeO4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [TPSMain] TPSMain.exeO4 - HKLM\..\Run: [TFNF5] TFNF5.exeO4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exeO4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exeO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exeO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.htmlO16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/fr/win/QuickTimeInstaller.exeO20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dllO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeO23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exeO23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeO23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe" /Service (file missing)

Utilisateur anonyme · Answer

salutest ce que tu peux reposter un hijack fais apres s'etre connecté au net.je voudrais vérifier si cette ligne est là ou pas O17 - HKLM\System\CCS\Services\Tcpip\..\{99CEA241-CF2F-41D5-8DB7-D1845F185C72}: NameServer = 69.50.176.198 85.255.112.12 car cette adresse ip 69.50.176.198 corrrespond à coolwebsearch

Raphael · Answer

Merci beaucoup pour ton aide !!! J'ai refais un hijack après connection au net et effectivement la ligne s'y trouve. Que dois-je faire alors ? Voici mon logfile:Logfile of HijackThis v1.99.1Scan saved at 18:31:52, on 07/08/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\S24EvMon.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZCfgSvc.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\1XConfig.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeC:\WINDOWS\System32\igfxtray.exeC:\WINDOWS\System32\hkcmd.exeC:\Program Files\TOSHIBA\TME3\TMERzCtl.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\TFNF5.exeC:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exeC:\WINDOWS\LTSMMSG.exeC:\Program Files\Apoint2K\Apoint.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exeC:\WINDOWS\System32\TPSBattM.exeC:\Program Files\Apoint2K\Apntex.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\alg.exeC:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeC:\WINDOWS\System32\RegSrvc.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeC:\Program Files\TOSHIBA\TME3\Tmesrv31.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\TOSHIBA\TME3\TMEEJME.EXEC:\Program Files\Messenger\msmsgs.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\ROBERT~1\LOCALS~1\Temp\Rar$EX00.066\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Program Files\TOSHIBA\Free Update Service\splash.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /LogonO4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /ServiceO4 - HKLM\..\Run: [TFncKy] TFncKy.exeO4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [TPSMain] TPSMain.exeO4 - HKLM\..\Run: [TFNF5] TFNF5.exeO4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exeO4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exeO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exeO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.htmlO16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/fr/win/QuickTimeInstaller.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{99CEA241-CF2F-41D5-8DB7-D1845F185C72}: NameServer = 69.50.176.198 85.255.112.12O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dllO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeO23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exeO23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeO23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe" /Service (file missing)

Utilisateur anonyme · Answer

essaye ceci : va dans demarrer > connections > clic droit sur ta connection > propriétés > onglet gestion de réseau Vérifie que protocole internet soit en surbrillance puis clic sur le bouton propriétés La case "obtenir une adresse IP automatiquement doit etre coché" La case "obtenir les adresses des serveurs DNS automatiquement"valideensuite reposte un hijack, fais apres connection

Raphael · Answer

J'ai fais ce que tu as dit. La case "obtenir une adresse IP automatiquement" était cochée, par contre la case "obtenir les adresses des serveurs DNS automatiquement" n'était elle pas cochée. Voici le nouveau logfile après reconnection :Logfile of HijackThis v1.99.1Scan saved at 19:10:16, on 07/08/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\S24EvMon.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZCfgSvc.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\1XConfig.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeC:\WINDOWS\System32\igfxtray.exeC:\WINDOWS\System32\hkcmd.exeC:\Program Files\TOSHIBA\TME3\TMERzCtl.EXEC:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeC:\WINDOWS\System32\TFNF5.exeC:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exeC:\WINDOWS\LTSMMSG.exeC:\Program Files\Apoint2K\Apoint.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exeC:\WINDOWS\System32\TPSBattM.exeC:\Program Files\Apoint2K\Apntex.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\alg.exeC:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeC:\WINDOWS\System32\RegSrvc.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeC:\Program Files\TOSHIBA\TME3\Tmesrv31.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\TOSHIBA\TME3\TMEEJME.EXEC:\Program Files\Messenger\msmsgs.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\WinRAR\WinRAR.exeC:\DOCUME~1\ROBERT~1\LOCALS~1\Temp\Rar$EX00.409\HijackThis.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\WINDOWS\System32\wuauclt.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Program Files\TOSHIBA\Free Update Service\splash.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /LogonO4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /ServiceO4 - HKLM\..\Run: [TFncKy] TFncKy.exeO4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [TPSMain] TPSMain.exeO4 - HKLM\..\Run: [TFNF5] TFNF5.exeO4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exeO4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exeO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exeO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.htmlO16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/fr/win/QuickTimeInstaller.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{99CEA241-CF2F-41D5-8DB7-D1845F185C72}: NameServer = 80.10.246.130 80.10.246.3O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dllO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeO23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exeO23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeO23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe" /Service (file missing)

Utilisateur anonyme · Answer

si tu es chez wanadoo, les ip sont correctes maintenant.est ce que tu es toujours redirigé ?

Raphael · Answer

Oui je suis chez wanadoo. Alors la bonne nouvelle, c'est que je ne suis plus redirigé. Je suis allé sur le site Post Secret par exemple [url]http://postsecret.blogspot.com[/url], au départ j'étais redirigé automatiquement, maintenant je peux voir le site sans problème. En revanche, le problème avec le dossier dans mes documents que je ne peux pas toucher a toujours lieu. J'ai lancé Ad-Aware pour voir et il bute toujours sur ce dossier au moment de l'analyse du système. Est-ce que tu sais comment se débarasser du dossier ? Merci pour ton aide très précieuse.

Utilisateur anonyme · Answer

Content que tu ne sois plus redirigétu as essayé de passer ad-aware en mode sans echec ?il contient des fichiers de quel types ?Quelle est la taille du dossier ?je crois qu'il y a une taille limite pour supprimer les fichiers en passant par la poubelle, autrement il faut supprimer en faisant MAJ+SUPPR

Raphael · Answer

Alors le dossier contient des fichiers de type word, pdf et un lien internet vers un site de finance il me semble. Il n'est pas volumineux, mais je n'ai pas pu voir la taille exact du dossier puisque à chaque fois que je clique dessus (clique droit ou clique gauche), mes documents se ferment automatiquement et j'ai un message de rapport d'erreur. J'ai essayé Ad-Aware en mode sans echecs et le problème est le même. Si je fais une analyse complète du pc, Ad-Aware s'arrête sur le dossier en question, si je choisis l'analyse "custom" et que je déséléctionne le dossier, Ad-Aware fonctionne sans problème. Donc le dossier dans mes documents a bien un problème. Supprimer son contenu ne me dérange pas, puisqu'il n'y a pas beaucoup de fichiers dedans et qu'ils ne sont plus trop importants, mais je n'arrive pas du tout à le supprimer. J'ai remarqué un autre problème qui survient depuis les derniers changements d'aujourd'hui. Quand je clique sur un lien dans google, j'ai une page d'erreur 403 (refusé), quand je fais précédent et que je reclique sur le même lien, il marche sans problème. Tu pense qu'il y a encore un trojan qui pourrait être caché ?

Raphael · Answer

J'ai oublié de préciser que WareOut s'était installé tout seul (sans que je m'en rende compte) et que je l'ai supprimé aujourd'hui à partir du panneau de configuration. Je ne sais pas si ça a un lien avec le reste.

Utilisateur anonyme · Answer

tu as essayé de le supprimer avec l'effaceur de securité de spybot ?spybot (mode avancé) Outils > effaceur de sécurité clic droit > ajouter un fichieret tu met tous les fichier contenu dans ton dossiervalide.telecharge aussi, pour voir s'il y autre chose silentrunners ici:http://www.silentrunners.org/Silent%20Runners.vbslance le et poste le rapporta+

Raphael · Answer

Merci encore une fois. Spybot n'a pas pu supprimer le fichier, c'est toujours le même problème, il suffit de cliquer sur le dossier pour qu'il ferme le programme automatiquement. Pour silentrunners, je l'ai téléchargé à partir de ton lien, mais Norton a repéré un risque eleve et recommande d'arrêter le script.

Utilisateur anonyme · Answer

c'est normal pour silentrunners que norton t'avertisses, chaque fois que tu utilisera un fichier .vbs il va te demander ton autorisation.dans la boite de dialogue de norton:autorise l'integralité du script une seule fois et validequel est le chemin complet du dossier en question ?

Utilisateur anonyme · Answer

c est pour ware out?http://www.doxdesk.com/parasite/WareOut.html

Utilisateur anonyme · Answer

salut regisje sais pas encore, qu'est ce qui te fais dire qu'il s'agit de ware out ?

Raphael · Answer

Rebonjour,Impossible de faire marcher Silentrunner même en autorisant le script, car j'ai un message d'erreur "windows script host". Le chemin exact du dossier est : C:\Documents and Settings\Robert Mitchum\Mes documents\Cours\FinanceSinon, j'ai essayé d'utiliser l'antivirus en ligne Trend Micro. Lors de l'analyse complète, j'ai un message d'erreur et tout se ferme automatiquement. Lors de l'analyse en ignorant le dossier problématique, Trend Micro peut finir l'analyse. Le rapport dit qu'il y a 3 spywares qu'il a pu supprimer et 45 (!!) dangers potentiels. Lorsque j'essaye de faire les windows update recommandées, au moment de l'installation, j'ai un message d'erreur disant que la langue du pc n'est pas la même que la mise à jour et qu'elle ne peut donc pas se terminer. Pourtant j'ai séléctionné la mise à jour en français... J'ai fais un essai avec la mise à jour en anglais et j'ai le même problème.

Utilisateur anonyme · Answer

si tu veux supprimer le dossier finance, alors essaye ceci:demarrer > ts les programmes > accessoires > invite de commande.fais un copier coller de ce qui est en gras ci-dessous:RD /s /q "C:\Documents and Settings\Robert Mitchum\Mes documents\Cours\Finance"valide avec entréea+

Raphael · Answer

Merci milles fois !!! Le dossier a été supprimé et il n'y a plus de problèmes, Ad-Aware marche correctement maintenant.

Pour les windows update, est-ce que tu sais pourquoi il y a ce problème de langue ?

Utilisateur anonyme · Answer

content pour toi ;-)est ce qu'il y a un numero d'erreur dans le message pour windows update ?quel est le message exact ?a+

Raphael · Answer

Je te recopie exactement ce qui apparait :KB903235 Setup ErrorSetup cannot update your Windows XP files because the language installed on your system is different from the update language

Utilisateur anonyme · Answer

bizarre, je trouve rien de spécial sur cette erreur, par contre ici:
http://www.sophos.com/virusinfo/analyses/trojblackloga.html
apparement un trojan genere ce type de message.

verifie apres avoir rendu visible les fichiers cachés et systeme si ces fichiers sont présents:
C:\WINDOWS\System32\msserv.exe
C:\WINDOWS\System32\servms.dll

a+

Raphael · Answer

J'ai regardé et je n'ai pas ces deux fichiers.

Utilisateur anonyme · Answer

salut

essaye de faire quelques scan av en ligne pour voir:

fais ton choix:
http://www.ravantivirus.com
http://housecall.trendmicro.com
http://www.bitdefender.com/scan/licence.php
http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
http://support.f-secure.com/enu/home/ols.shtml

a+

Raphael · Answer

Salut, Housecall Trend Micro n'a rien trouvé et RAV Antivirus a trouvé deux fichiers suspects, mais qui sont une fausse alerte d'après ce site http://www.f-secure.com/v-descs/poebot_d.shtml

Les fichiers sont :

C:\Program Files\wrar32b4.exe->(RARSfx)->Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious

Raphael · Answer

Ah et je viens d'avoir un message de Norton Antivirus. Risque élevé.

Nom de l'objet C:\WINDOWS\System32\hclean32.exe
Nom du virus Trojan Horse
Action effectuée L'accès au fichier a été refusé

Utilisateur anonyme · Answer

il l'a supprimé ?c'est dommage que tu ne puisse pas executer silentrunners

Raphael · Answer

Salut, j'ai fais quelque recherche sur google et apparement, ce fichier hclean32.exe provient de la suppression de WareOut. Quand on supprime ce faux spyware, il laisse une trace sur le pc (à l'emplacement C:\WINDOWS\System32\hclean32.exe). J'ai constament de faux messages d'alerte windows (la boite de dialogue ressemble presque à celles de windows, mais on peut voir qu'elle est légèrement différente) qui me disent que le firewall a détecté des logiciels espions et qui me demandent si je veux savoir comment m'en débarasser (quand on clique sur ok, on est dirigé vers un site web). Norton me donne souvent des messages d'alerte sur ce fichier également. Donc à chaque fois que Norton le supprime, il revient. Sais-tu comment le trouver et s'en débarasser définitivement ? Merci beaucoup.

Raphael · Answer

up, aidez moi, s'il vous plaît. merci !

Utilisateur anonyme · Answer

salut
a quoi ressemble ces messages?
essai ceci, peut etre que...
• Démarrer
• Panneau de configuration
• Outil d’administration
• Services
• Cherche Affichage des Messages
• Clique droit dessus puis propriété
• Dans le menu déroulant, Mettre « Désactivé », Plus bas dans la fenêtre tu mets « Arrêter »
• Applique
• Redémarre ton pc

a+

Raphael · Answer

Salut merci pour ta réponse, j'ai fais ce que tu m'as dit. Mais si je comprends bien, ça devrait juste empêcher le message d'apparaitre, non ? hclean32 sera toujours présent. J'ai trouvé ce forum en anglais http://forums.net-integration.net/index.php?showtopic=32220 La personne qui a posté ce message décrit exactement le problème que je rencontre. Par contre je ne comprends pas du tout la procédure pour se débarasser du truc. Si tu comprends l'anglais et que tu comprends la démarche, peux-tu m'expliquer ? Merci.

Utilisateur anonyme · Answer

salutil corrige la faille, ce que je te disais au poste 32, donc t inquietes pas c est bon !je vais y regardera+

Raphael · Answer

Ok merci beaucoup. Mais malheureusement après redémarrage, les messages reviennent toujours. Je te recopie ce que je reçois exactement.

Dans le faux message d'alerte windows:

WARNING: Windows Firewall detected suspicious network activity on your computer. Malicious software codes try to steal your privacy information, such as credit card numbers, electronic mail accounts, financial data or passwords. Do you want to learn how to protect your computer ?

Tu peux cliquer sur Oui ou Non.

Et dans la bulle d'information qui sort de la barre des tâches:

Your computer might be at risk

Your virus protection status is bad
Spyware Activity Detected

Click this baloon to fix this problem

Utilisateur anonyme · Answer

re,verifie qu il est bien sur arreter !ensuite remet un hijack this stpa+

Raphael · Answer

Resalut Regis,alors le truc était bien sur arrêter. Sinon voici le log HijackThis:Logfile of HijackThis v1.99.1Scan saved at 10:54:06, on 11/08/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\S24EvMon.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZCfgSvc.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\1XConfig.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\alg.exeC:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeC:\WINDOWS\System32\RegSrvc.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeC:\Program Files\TOSHIBA\TME3\Tmesrv31.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeC:\WINDOWS\System32\igfxtray.exeC:\WINDOWS\System32\hkcmd.exeC:\Program Files\TOSHIBA\TME3\TMERzCtl.EXEC:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\TFNF5.exeC:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exeC:\WINDOWS\LTSMMSG.exeC:\Program Files\Apoint2K\Apoint.exeC:\WINDOWS\System32\00THotkey.exeC:\Program Files\TOSHIBA\TME3\TMEEJME.EXEC:\WINDOWS\System32\ctfmon.exeC:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exeC:\WINDOWS\System32\TPSBattM.exeC:\Program Files\Apoint2K\Apntex.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\eMule\emule.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Program Files\TOSHIBA\Free Update Service\splash.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /LogonO4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /ServiceO4 - HKLM\..\Run: [TFncKy] TFncKy.exeO4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [TPSMain] TPSMain.exeO4 - HKLM\..\Run: [TFNF5] TFNF5.exeO4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exeO4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exeO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exeO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.htmlO8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.htmlO16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cabO16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/fr/win/QuickTimeInstaller.exeO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{99CEA241-CF2F-41D5-8DB7-D1845F185C72}: NameServer = 80.10.246.130 80.10.246.3O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dllO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeO23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exeO23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeO23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe" /Service (file missing)

Raphael · Answer

Re à tous,

j'avais complètement zappé le lien que tu avais posté au post 17 Regis et il est en fait très utile puisqu'il explique la démarche complète (semble-t-il) pour se débarrasser de WareOut et ses composants. Finalement je suis allé dans regedit et non seulement j'ai supprimé les lignes indiquées par le lien, mais j'y ai aussi trouvé un dossier WareOut dans HKEY_LOCAL_MACHINE. Donc si vous rencontrez le même problème, allez voir là dedans.

Pour l'instant, je n'ai pas encore eu de nouveau message. Mais mieux vaut être prudent. J'espère tout de même avoir définitivement supprimé le truc !

Merci beaucoup à Moe et à Regis !!

Utilisateur anonyme · Answer

saluttu as pu supprimer hclean32.exe ?a+

Raphael · Answer

Je suis désesperé, je croyais avoir supprimé définitivement hclean32.exe et les traces laissées par WareOut grâce à la manip du lien de Regis, mais il est encore là. J'ai toujours les deux messages.... moe, tu sais ce que je peux faire ?

Utilisateur anonyme · Answer

salutreposte un hijack, et telecharge ce proghttp://get.yourfile.net/qy64993.zipdezippe le et lance rdsn.batle bloc note va s'ouvrir, copie et colle le contenu icia+

Raphael · Answer

Merci. Voici mon log HijackThis:Logfile of HijackThis v1.99.1Scan saved at 12:45:11, on 12/08/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\S24EvMon.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZCfgSvc.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\1XConfig.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\alg.exeC:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeC:\WINDOWS\System32\RegSrvc.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeC:\Program Files\TOSHIBA\TME3\Tmesrv31.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeC:\WINDOWS\System32\igfxtray.exeC:\WINDOWS\System32\hkcmd.exeC:\Program Files\TOSHIBA\TME3\TMERzCtl.EXEC:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\TFNF5.exeC:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exeC:\WINDOWS\LTSMMSG.exeC:\Program Files\Apoint2K\Apoint.exeC:\WINDOWS\System32\00THotkey.exeC:\Program Files\TOSHIBA\TME3\TMEEJME.EXEC:\WINDOWS\System32\ctfmon.exeC:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exeC:\WINDOWS\System32\TPSBattM.exeC:\Program Files\Apoint2K\Apntex.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\eMule\emule.exeC:\Program Files\Musicmatch\Musicmatch Jukebox\MMJB.EXEC:\Program Files\Musicmatch\Musicmatch Jukebox\MMDiag.exeC:\Program Files\Musicmatch\Musicmatch Jukebox\mm_director.exeC:\PROGRA~1\MUSICM~1\MUSICM~2\MM_TDM~1.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Program Files\TOSHIBA\Free Update Service\splash.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /LogonO4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /ServiceO4 - HKLM\..\Run: [TFncKy] TFncKy.exeO4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [TPSMain] TPSMain.exeO4 - HKLM\..\Run: [TFNF5] TFNF5.exeO4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exeO4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exeO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.htmlO8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.htmlO16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/fr/win/QuickTimeInstaller.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{99CEA241-CF2F-41D5-8DB7-D1845F185C72}: NameServer = 80.10.246.1 80.10.246.132O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dllO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exeO23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exeO23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exeO23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe" /Service (file missing)et le rapport rdsn:Rapport fait à 12:46:02,71 le 12/08/2005Executé à partir de C:\Documents and Settings\Robert Mitchum\BureauOS: Microsoft Windows XP [version 5.1.2600]Recherche processus démarrage...! REG.EXE VERSION 3.0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run    SunJavaUpdateSched	REG_SZ	C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe    IgfxTray	REG_SZ	C:\WINDOWS\System32\igfxtray.exe    HotKeysCmds	REG_SZ	C:\WINDOWS\System32\hkcmd.exe    TMESRV.EXE	REG_SZ	C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /Logon    TMERzCtl.EXE	REG_SZ	C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /Service    TFncKy	REG_SZ	TFncKy.exe    PRONoMgr.exe	REG_SZ	c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe    ccApp	REG_SZ	"C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"    SSC_UserPrompt	REG_SZ	C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe    Symantec NetDriver Monitor	REG_SZ	C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer    TPSMain	REG_SZ	TPSMain.exe    TFNF5	REG_SZ	TFNF5.exe    SigmaTel StacMon	REG_SZ	C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe    LTSMMSG	REG_SZ	LTSMMSG.exe    Apoint	REG_SZ	C:\Program Files\Apoint2K\Apoint.exe    QuickTime Task	REG_SZ	"C:\Program Files\QuickTime\qttask.exe" -atboottime    00THotkey	REG_SZ	C:\WINDOWS\System32\00THotkey.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents! REG.EXE VERSION 3.0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon    system	REG_SZ	Recherche dossier Internet Explorer... Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 00BD-5CE1 R‚pertoire de C:\Program Files\Internet Explorer24/04/2003  13:00            91ÿ136 IEXPLORE.EXE               1 fichier(s)           91ÿ136 octets               0 R‚p(s)   2ÿ861ÿ256ÿ704 octets libresRecherche Recherche presence rdsndin.exe ... non trouvé...Merci pour ton aide moe.

Utilisateur anonyme · Answer

bon, apparement rien du suspect dans hijackthis, ni dans le prog que je t'ai fais telecharger.rend visible les fichiers cachés et systeme (dans options des dossiers)et dis moi si un ou plusieurs de ces fichiers sont présents:C:\WINDOWS\System32\cisvvc.exe C:\WINDOWS\System32\drv2cltr.dll C:\WINDOWS\System32\hybsys32.dll C:\WINDOWS\System32\loadctr.exeC:\WINDOWS\System32\rdsndin.exe C:\WINDOWS\System32\pxpcya64.exe si aucun n'est présent, supprime  hclean32.exe avec killboxhttp://www.downloads.subratam.org/KillBox.exeDouble clic sur killbox.exe (Pocket Killbox)- clic sur tool > delete temp files- coche: delete on reboot- Dans "Full Path of File to Delete"copie et colle:C:\WINDOWS\System32\hclean32.exe- clic sur le rond rouge- une fenetre va apparaitre pour confirmation clic sur YES- une seconde fenetre te demande si tu veux redemarrer clic sur YESLaisse le pc redemarrer et dis moi si tu as toujours des messages qui s'affichenta+

Raphael · Answer

J'ai regardé en affichant les fichiers cachés et le fichier cisvc.exe est présent (tu as écrit cisvvc.exe est-ce un autre fichier ?). Dis moi s'il faut que j'en fasse quelque chose, sinon je lance killbox. Merci encore.

Utilisateur anonyme · Answer

désolé pour la reponse tardive, mais j'ai du repartir bossercisvc.exe est sain, ne le supprime pashttp://www.commentcamarche.net/processus/cisvc-exe.php3

Raphael · Answer

Ok merci pour tout. Je vais donc utiliser killbox et je te donne des nouvelles.

Raphael · Answer

moe, killbox a eu raison de hclean32 !! je n'ai plus aucun message. merci milles fois !!

Utilisateur anonyme · Answer

okcontent pour toia+

Help !!

48 réponses

Votre réponse

Newsletters