Vsconfig.xml

Résolu/Fermé
Audelaet
Messages postés
19
Date d'inscription
mercredi 15 juin 2005
Statut
Membre
Dernière intervention
25 août 2005
- 16 août 2005 à 21:25
 Utilisateur anonyme - 18 août 2005 à 17:27
Bonjour,

Je viens de détecter sur ma machine le fichier vsconfig.xml
Ce fichier se connecte à la machine 209.87.208.60 et autorise un process fssm32.exe à télécharger des infos apparemment malgré mon pare-feu (ZoneAlarm).

Ad-aware et SpyBot ne m'ont rien dit à son propos.

Je ne peux pas le supprimer, il est en cours d'utilisation. Est-ce normal ?

Merci de votre réponse.

22 réponses

Utilisateur anonyme
16 août 2005 à 21:37
salut

si ton av est F-secure, le processus fssm32.exe en fait partie (fsecure scanner manager)
http://support.f-secure.fr/fra/home/supportissue/av2004/usage/usage-issue-2004012000.shtml

pour vsconfig.xml, il fait souvent partie de zone alarm, mais certains trojan utilisent aussi ce nom de fichier, fais le analyser ici:
http://www.virustotal.com/xhtml/virustotal_en.html

a+
0
Audelaet
Messages postés
19
Date d'inscription
mercredi 15 juin 2005
Statut
Membre
Dernière intervention
25 août 2005

16 août 2005 à 21:55
Bonsoir Moe,

Je tente l'analyse via http://www.virustotal.com/xhtml/virustotal_en.html , mais ça part en boucle.

Mon anti-virus n'est pas F-Secure.

L'analyse en ligne sur secuser a été interrompue par une déconnection, je reste un peu dubitatif sur le caractère bienveillant de ce fichier.
As-tu d'autres sites à me conseiller pour effectuer le test ?

L'adresse spécifiée renvoie vers une page qui dit HELLO.

Merci d'avance.
0
Utilisateur anonyme
16 août 2005 à 21:58
tu peux essayer ici:
http://virusscan.jotti.org/

ou là:
http://webscanner.kaspersky.fr/

fais scanner les 2 fichiers

a+
0
Audelaet
Messages postés
19
Date d'inscription
mercredi 15 juin 2005
Statut
Membre
Dernière intervention
25 août 2005

16 août 2005 à 22:17
Les 2 sites m'ont dit que mon fichier est clean.

Je continue à passer mon anti-virus, parce que la machine est anormalement lente.

Merci de ton aide et de ces bons conseils.
A bientôt.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
16 août 2005 à 22:23
l'adrees ip que tu mentionnais tout à l'heure correspond à zone labs, société qui edite zone alarm
http://www.dnsstuff.com/tools/whois.ch?ip=+209.87.208.60+

si tu as quand meme un doute telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijack
et surtout pas dans un dossier temporaire (temp)
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
Si tu as du mal, regarde ceci:
http://pageperso.aol.fr/balltrap34/demohijack.htm

ca permettra peut etre de voir s'il y a quelque chose d'anormal

a+
0
Audelaet
Messages postés
19
Date d'inscription
mercredi 15 juin 2005
Statut
Membre
Dernière intervention
25 août 2005

16 août 2005 à 22:45
Voici mon log hijackthis.

Vois-tu quelque chose d'anormal ?

Logfile of HijackThis v1.99.1
Scan saved at 22:35:29, on 16/08/2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\EUSEXE.EXE
C:\PROGRAM FILES\COMPAQ\COMPAQ MANAGEMENT AGENTS\CPQALERT.EXE
C:\PROGRAM FILES\COMPAQ\COMPAQ MANAGEMENT AGENTS\DMI\WIN32\BIN\WIN32SL.EXE
C:\PROGRAM FILES\COMPAQ\COMPAQ MANAGEMENT AGENTS\CPQDMI.EXE
C:\PROGRAM FILES\COMPAQ\COMPAQ MANAGEMENT AGENTS\CPQWEBDMI\WEBDMI.EXE
C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE
C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAM FILES\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\WINDOWS\SYSTEM\SBMX.EXE
C:\PROGRAM FILES\COMPAQ\COMPAQ MANAGEMENT AGENTS\CHKADMIN.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE
C:\PROGRAM FILES\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTTRAYAPP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPC32.EXE
C:\WINDOWS\SYSTEM\WUCRTUPD.EXE
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
C:\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.wanadoo.fr/go/qqo/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [SBMX] C:\WINDOWS\SYSTEM\sbmx.exe
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\COMPAQ\COMPAQ~1\CHKADMIN.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ICH Synth] eusexe.exe
O4 - HKLM\..\RunServices: [CPQALERT] C:\PROGRA~1\COMPAQ\COMPAQ~1\CPQALERT.EXE
O4 - HKLM\..\RunServices: [Win32SL] C:\PROGRA~1\COMPAQ\COMPAQ~1\DMI\WIN32\bin\win32sl.exe -i -p -r
O4 - HKLM\..\RunServices: [CPQDMI] C:\PROGRA~1\COMPAQ\COMPAQ~1\CPQDMI.EXE
O4 - HKLM\..\RunServices: [cpqWebDmi] C:\PROGRA~1\COMPAQ\COMPAQ~1\CPQWEB~1\WEBDMI.EXE
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe
O4 - HKLM\..\RunServices: [rtvscn95] C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\rtvscn95.exe
O4 - HKLM\..\RunServices: [GhostStartService] C:\PROGRAM FILES\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [CallerID Monitor] c:\program files\callerid monitor 1.5\callerid.exe
O4 - HKCU\..\Run: [msmc] C:\WINDOWS\SYSTEM\msmc.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate into English - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_ansi.cab



Merci.
0
Utilisateur anonyme
16 août 2005 à 23:05
fais analyser chez kaspersky ce fichier, pour moi il est douteux:
C:\WINDOWS\SYSTEM\msmc.exe

a+
0
Audelaet
Messages postés
19
Date d'inscription
mercredi 15 juin 2005
Statut
Membre
Dernière intervention
25 août 2005

16 août 2005 à 23:13
Ce fichier n'est pas présent sur la machine dans le répertoire cité ni dans aucun autre.

Il est dans la base de registre en Windows Current version Run.
Dois-je le supprimer ?

A+
0
Utilisateur anonyme
16 août 2005 à 23:17
est ce que tu as rendu visible tous les fichiers et dossiers avant de le rechercher y compris les fichiers systemes?
voir la manip ici:
http://assiste.free.fr/p/comment/voir_fichiers_caches.php
0
Audelaet
Messages postés
19
Date d'inscription
mercredi 15 juin 2005
Statut
Membre
Dernière intervention
25 août 2005

16 août 2005 à 23:21
Oui tous les fichiers sont apparents.

Dans la base de registre, j'ai ça : c:\program files\callerid monitor 1.5\callerid.exe accollé au msmc.exe.
Est-ce que je dois le virer ?

A+
0
Utilisateur anonyme
16 août 2005 à 23:28
est ce que ce prog est présent sur ton pc
C:\Program Files\ClientMan

pour callerid monitor 1.5 laisse le il est clean

reessaye un dernier truc, va sur le site: http://virusscan.jotti.org/

clic sur parcourir, ensuite dans la boite de dialogue qui s'ouvre et dans "nom du fichier" tu copie et colle ceci:
C:\WINDOWS\SYSTEM\msmc.exe
valide et clic sur submit

et dis moi s'il y a un resultat
0
Audelaet
Messages postés
19
Date d'inscription
mercredi 15 juin 2005
Statut
Membre
Dernière intervention
25 août 2005

16 août 2005 à 23:33
J'ai le résultat suivant :

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Je pense que quelque chose le bloque mais ni SpyBot ni Ad-Aware n'ont trouvé de malware.
Qu'en penses-tu ?
0
Utilisateur anonyme
16 août 2005 à 23:39
fais un scan complet de ton pc chez kaspersky et on sera fixé

et personnellement je supprimerais la ligne en question dans hijackthis (il est possible de la remettre en cas de fausse manip).

coche la case devant
O4 - HKCU\..\Run: [msmc] C:\WINDOWS\SYSTEM\msmc.exe
et valide avec fix checked

est ce que ce prog est présent sur ton pc
C:\Program Files\ClientMan

je dois te laisser, demain levé 5h

a+ tard
0
Audelaet
Messages postés
19
Date d'inscription
mercredi 15 juin 2005
Statut
Membre
Dernière intervention
25 août 2005

16 août 2005 à 23:41
Je te remercie de ton aide,

Bonne nuit.
0
Audelaet
Messages postés
19
Date d'inscription
mercredi 15 juin 2005
Statut
Membre
Dernière intervention
25 août 2005

17 août 2005 à 18:10
Bonsoir,

Je n'ai pas sur la machine le C:\Program Files\ClientMan.
En démarrant la machine et en lançant un Hijackthis, je n'ai plus le msmc.exe, ni inscrit dans la base de registres.

J'ai lancé CWShredder pour voir ce qu'il en est, il ne détecte rien.
Est-ce normal ?

Dois-je en faire plus ?

Je lance Kaspersky en ligne.

Je vous tiens au courant et merci pour l'aide précieuse de moe hier soir.
A+
0
Utilisateur anonyme
17 août 2005 à 18:20
salut

fais le scan chez kaspersky et poste ici le resultat du rapport d'analyse, on verra ensuite en fonction de ce qu'il trouvera (ou pas).

a+
0
Audelaet
Messages postés
19
Date d'inscription
mercredi 15 juin 2005
Statut
Membre
Dernière intervention
25 août 2005

17 août 2005 à 18:57
Bonsoir moe,

Kaspersky a trouvé ça :

Infected Object Name - Virus Name
c:\WINDOWS\SYSTEM\mscif.exe Infected: Trojan.Win32.Small.i
c:\WINDOWS\SYSTEM\mseggo.gif Infected: Trojan-Spy.Win32.Delf.dx

Comment puis-je m'en débarasser ?
Merci.
0
Utilisateur anonyme
17 août 2005 à 19:02
tu peux reposter un hijackthis stp ?
0
Audelaet
Messages postés
19
Date d'inscription
mercredi 15 juin 2005
Statut
Membre
Dernière intervention
25 août 2005

17 août 2005 à 19:05
Voici le log obtenu

Logfile of HijackThis v1.99.1
Scan saved at 19:05:49, on 17/08/2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\EUSEXE.EXE
C:\PROGRAM FILES\COMPAQ\COMPAQ MANAGEMENT AGENTS\CPQALERT.EXE
C:\PROGRAM FILES\COMPAQ\COMPAQ MANAGEMENT AGENTS\DMI\WIN32\BIN\WIN32SL.EXE
C:\PROGRAM FILES\COMPAQ\COMPAQ MANAGEMENT AGENTS\CPQDMI.EXE
C:\PROGRAM FILES\COMPAQ\COMPAQ MANAGEMENT AGENTS\CPQWEBDMI\WEBDMI.EXE
C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE
C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAM FILES\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\WINDOWS\SYSTEM\SBMX.EXE
C:\PROGRAM FILES\COMPAQ\COMPAQ MANAGEMENT AGENTS\CHKADMIN.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTTRAYAPP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALEVENT.EXE
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
C:\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.wanadoo.fr/go/qqo/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [SBMX] C:\WINDOWS\SYSTEM\sbmx.exe
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\COMPAQ\COMPAQ~1\CHKADMIN.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ICH Synth] eusexe.exe
O4 - HKLM\..\RunServices: [CPQALERT] C:\PROGRA~1\COMPAQ\COMPAQ~1\CPQALERT.EXE
O4 - HKLM\..\RunServices: [Win32SL] C:\PROGRA~1\COMPAQ\COMPAQ~1\DMI\WIN32\bin\win32sl.exe -i -p -r
O4 - HKLM\..\RunServices: [CPQDMI] C:\PROGRA~1\COMPAQ\COMPAQ~1\CPQDMI.EXE
O4 - HKLM\..\RunServices: [cpqWebDmi] C:\PROGRA~1\COMPAQ\COMPAQ~1\CPQWEB~1\WEBDMI.EXE
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe
O4 - HKLM\..\RunServices: [rtvscn95] C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\rtvscn95.exe
O4 - HKLM\..\RunServices: [GhostStartService] C:\PROGRAM FILES\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [CallerID Monitor] c:\program files\callerid monitor 1.5\callerid.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate into English - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_ansi.cab

Merci.
0
Utilisateur anonyme
17 août 2005 à 19:07
bon, le hijack est correct, pas de nouvelles entrée depuis hier

essaye de supprimer manuellement:

c:\WINDOWS\SYSTEM\mscif.exe
c:\WINDOWS\SYSTEM\mseggo.gif

et vide la corbeille
0
Audelaet
Messages postés
19
Date d'inscription
mercredi 15 juin 2005
Statut
Membre
Dernière intervention
25 août 2005

17 août 2005 à 19:11
C'est fait sans problèmes, je vérifie avec Kaspersky ce qu'il en est de la suite.

Faut-il que je redémarre ?
0
Utilisateur anonyme
17 août 2005 à 19:14
oui, redemarre et refais le scan pour vérifier
0