facturation france telecom

Question

j'ai la neuf box et je viens de recevoir un efacture france telecom tres lourde de sevices payant internet.
il parait que l'on peut être dirigé sur france telecom sur cetain site et ceci sans nous prévenir.est ce vrai?
je pratique pas le chat , est ce le cas de ce service?

Afficher la suite

Utilisateur anonyme · Answer

coucou MonaEffectivement tu peux faire parti d une arnaque, comme c est le cas en ce moment avec France Telecom (cf site CCM)Ensuite, a toi de voir si personne n a consulter de sites payants (comme sites X ou jeux)Sans plus de details, je ne peux que dire celaa+

Utilisateur anonyme · Answer

coucou Mona,(j adore ce prenom)si je comprends mieux, quand tu surf tu es redirigée vers des sites payants de FTOn va regarder cela plus clairementtélécharge hijackthis ici: http://www.hijackthis.de/downloads/hijackthis_199.zip  Dézippe le dans un dossier prévu a cet effet. Par exemple C:\hijackthis < Enregistre le bien dans c : ! Lancez le puis: clic sur "do a system scan and save logfile" (cf demo)faire un copier coller du log entier sur le forumDémo : (merci a balltrap34 pour cette réalisation)http://pageperso.aol.fr/balltrap34/demohijack.htmBon courage (ne fais rien toi meme lol)A+; Bises

Utilisateur anonyme · Answer

rej'ai telecharger le logiciel en question <---super, met moi le rapport stpmais les manip suivantes me paraissent risquees. <--oui surtout si tu fais ca toi meme !de plus quelles lignes faut il supprimer <---met le sur le forum je te le diraisquels sont les risques? <----defaillance de ton pc, des logiciels ne marchent plus, gros soucis etca+

Utilisateur anonyme · Answer

receciLancez le puis: clic sur "do a system scan and save logfile" (cf demo) faire un copier coller du log entier sur le forum Démo : (merci a balltrap34 pour cette réalisation) http://pageperso.aol.fr/balltrap34/demohijack.htm

mona · Answer

file of HijackThis v1.99.1Scan saved at 15:28:32, on 20/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\drivers\CDAC11BA.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Norman\bin\Zanda.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\wdfmgr.exeC:\Norman\bin\NJEEVES.EXEC:\Norman\Nvc\bin
vcoas.exeC:\NORMAN\Nvc\BIN
ipsvc.exeC:\Norman\Nvc\BIN\NVCSCHED.EXEC:\WINDOWS\System32\alg.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\Mixer.exeC:\WINDOWS\system32\pctspk.exeC:\Program Files\ahead\InCD\InCD.exeC:\Program Files\QuickTime\qttask.exeC:\Anuman Interactive\Le journal de votre naissance\anniv.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Friendly Technologies\BroadbandAccess\fts.exeC:\Norman\bin\ZLH.EXEC:\Program Files\OpiStat\OpiStat\OpiStat.exeC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exeC:\Program Files\Microsoft Money\System\mnyexpr.exeC:\Program Files\Messenger\msmsgs.exeC:\WINDOWS\System32undll32.exeC:\Program Files\MSN\MSNCoreFiles\MSN6.EXEC:\Program Files\Internet Explorer\iexplore.exeC:\DOCUME~1\monique\LOCALS~1\Temp\Répertoire temporaire 3 pour hijackthis_199.zip\HijackThis.exeC:\DOCUME~1\monique\LOCALS~1\Temp\Répertoire temporaire 4 pour hijackthis_199.zip\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dllO2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startupO4 - HKLM\..\Run: [PCTVOICE] pctspk.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Anniversaires] C:\Anuman Interactive\Le journal de votre naissance\anniv.exeO4 - HKLM\..\Run: [ATIPTA] atiptaxx.exeO4 - HKLM\..\Run: [Watch] C:\PROGRA~1\MINITEL\Watch.exeO4 - HKLM\..\Run: [Counter Strike: Source] CSS.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exeO4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASHO4 - HKLM\..\Run: [OpiStat] C:\Program Files\OpiStat\OpiStat\OpiStat.exeO4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintrayO4 - HKLM\..\Run: [ripudsvkgt] c:\windows\system32ipudsvkgt.exe -startO4 - HKLM\..\RunServices: [Counter Strike: Source] CSS.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"O4 - HKCU\..\Run: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exeO4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\monique\Application Data\MP3Chansons[1].exe tO4 - HKCU\..\Run: [123DownloadsFR] C:\Documents and Settings\monique\Application Data\123DownloadsFR[1].exe tO4 - HKCU\..\Run: [123MP3FR] rundll32.exe  C:\WINDOWS\system32\MSA64CHK.dll,DllMostrar Matrix_HTML:123MP3FR:tO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\TV\EXPLBAR.DLLO9 - Extra button: 123MP3FR - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - C:\WINDOWS\system32\123MP3FR (file missing)O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dllO9 - Extra button: MP3Chansons - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\monique\Application Data\MP3Chansons[1].exe (file missing)O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cabO16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cabO16 - DPF: {15651C7C-E812-44A2-A9AC-B467A2233E7D} - http://portail.escritorioactivo.com/GIDCAI32.cabO16 - DPF: {1604DF98-D1A5-44FE-844A-98D6FD0518D0} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1060_XP.cabO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409O16 - DPF: {1CD49DC9-FD88-41FA-B892-47E037267D45} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1059_XP.cabO16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CABO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://www.bocata.net/webs/FR_Pop2/laaplicacion.cabO16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cabO16 - DPF: {9C5B2F29-1F46-4639-A6B4-828942301D3E} - http://portail.escritorioactivo.com/SIPSPI32.cabO16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cabO16 - DPF: {EF4DCD99-D26B-44A4-BA77-CFDCC97E7291} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1062_XP.cabO16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} - http://www.sponsoradulto.com/fr/SysWebTelecom.cabO16 - DPF: {FA605711-8E72-46B2-AE49-BED11B2E729D} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_ASPIV4_XP.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{D49CD9F9-085B-49EE-B751-953E2F9CA72E}: NameServer = 80.118.196.40 80.118.192.110O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exeO23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXEO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN
ipsvc.exeO23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXEO23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\Zanda.exeO23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin
vcoas.exeO23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXEO23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exeO23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)voilà le résultat

Utilisateur anonyme · Answer

coucou monique,il y a des choses a virer par contre je dois m absenter, reponds a ce message pour que je te l analyse si tot rentrermercibisous

mona · Answer

j'ai lu ton message .tu crois que cela peut venir de là.j'ai installer spy sweeper sur avis d'un copain il me detecte des sites espion mais je n'arrive pas à les détruire .peut être que tout est lié finalement.gros bisous mon sauveur de pc.

Utilisateur anonyme · Answer

Bonjour, Méthode a suivre dans l'ordre... ---------------------------------------------------------------------------- ¤Télécharge ces logiciels mais que tu n utilises pas tout de suite: 1/Spybot S&D 1.4 <<nouvelle versionhttp://www.safer-networking.org/fr/index.html  Démo d utilisation (merci a Balltrap34 pour cette réalisation)http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm2/Ad-Aware SE 1.06 <<nouvelle versionhttp://www.lavasoftusa.com/software/adaware/ -Une aide:http://www.tutopat.com/viewtopic.php?t=1191 - installe le patch français, tu pourra le trouver ici: http://download.lavasoft.de.edgesuite.net/public/pllangs.exe et une petite vidéo ici d'utilisation:(merci a Moe31 pour cette réalisation)http://pageperso.aol.fr/balltrap34/adawrevid.asf 3/Clean Up 40:http://pageperso.aol.fr/balltrap34/CleanUp40.exe -aide en image:(merci a Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm---------------------------------------------------------------------------- ¤Démarre en mode sans échec : Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal ! (Si F8 ne marche pas utilise la touche F5) ---------------------------------------------------------------------------- ¤Affiche tous les fichiers et dossiers : Clique sur démarrer/panneau de configuration/option des dossiers/affichage Cocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décocher masquer les extensions dont le type est connu Puis fais «Ok» pour valider les changements. Et appliquer ! ---------------------------------------------------------------------------- ¤Vide tes fichiers temps et tempory internet file: utilise ceci pour le faire (tu as télécharger avant)  http://pageperso.aol.fr/balltrap34/CleanUp40.exe ---------------------------------------------------------------------------- ¤Relance Hijack This, coche les cases devant ces lignes et ensuite click sur fix checked : R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [Counter Strike: Source] CSS.exe O4 - HKLM\..\Run: [ripudsvkgt] c:\windows\system32\ripudsvkgt.exe -start O4 - HKLM\..\RunServices: [Counter Strike: Source] CSS.exe O4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\monique\Application Data\MP3Chansons[1].exe t O4 - HKCU\..\Run: [123DownloadsFR] C:\Documents and Settings\monique\Application Data\123DownloadsFR[1].exe t O4 - HKCU\..\Run: [123MP3FR] rundll32.exe C:\WINDOWS\system32\MSA64CHK.dll,DllMostrar Matrix_HTML:123MP3FR:t O9 - Extra button: 123MP3FR - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - C:\WINDOWS\system32\123MP3FR (file missing) O9 - Extra button: MP3Chansons - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\monique\Application Data\MP3Chansons[1].exe (file missing) O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cabO16 - DPF: {15651C7C-E812-44A2-A9AC-B467A2233E7D} - http://portail.escritorioactivo.com/GIDCAI32.cab O16 - DPF: {1604DF98-D1A5-44FE-844A-98D6FD0518D0} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1060_XP.cab O16 - DPF: {1CD49DC9-FD88-41FA-B892-47E037267D45} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1059_XP.cab O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://www.bocata.net/webs/FR_Pop2/laaplicacion.cab O16 - DPF: {9C5B2F29-1F46-4639-A6B4-828942301D3E} - http://portail.escritorioactivo.com/SIPSPI32.cab O16 - DPF: {EF4DCD99-D26B-44A4-BA77-CFDCC97E7291} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1062_XP.cab O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} - http://www.sponsoradulto.com/fr/SysWebTelecom.cab O16 - DPF: {FA605711-8E72-46B2-AE49-BED11B2E729D} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_ASPIV4_XP.cab ----------------------------------------------------------------------------¤Recherche et supprime ceci: attention seulement les fichiers  (si present)CSS.exe  c:\windows\system32\ripudsvkgt.exe -start  C:\Documents and Settings\monique\Application Data\MP3Chansons[1].exe t  C:\Documents and Settings\monique\Application Data\123DownloadsFR[1].exe t C:\WINDOWS\system32\MSA64CHK.dllC:\WINDOWS\system32\123MP3FR  C:\Documents and Settings\monique\Application Data\MP3Chansons[1].exe ----------------------------------------------------------------------------¤ Passe adaware et vire tous se qu il trouve ----------------------------------------------------------------------------¤ Passe spybot et vire tous se qu il trouve ----------------------------------------------------------------------------> Tu vide ta poubelle et tu redémarre en mode normal et refait un Hijack Précise tes soucis si il en restes.... Tiens moi au courant  a+

mona · Answer

quel dimanche formidable! on s'est cassé la tête pour chercher des espions et voilà qi'ils sont toujours là.si j'ai bien fais la manip , j'espère .il rest toujours trois vilains adware 123 mania                instant access( celui qui renvoie vers les sites payants)                opistat (je l'ai mis pour avoir norman gratuit)que dois je faire maintenant ? ils apparaissent bien dans les listes mais on les supprime et ils reviennent.au secours j'en ai ras le bol.merci de m'aider encore une fois.

Utilisateur anonyme · Answer

re,tu peux mettre un nouvel hijack this stp?Par contre pour norman, prkoi ne pas le desinstaller et installer un antivirus super, simple, gratuit, francais et irreprochable??a+

mona · Answer

coucou regisJe veux bien virer norman si tu dis que ce n'est pas ok.ai départ il est fourni pour 6 mois avec le neuf.c'est pour cela que je l'ai priset après plus rien alors je l'ai repris  avec opistat. mais je veux bien un autre si tu me dis lequel.je t'envoie une autre copie.bisousLogfile of HijackThis v1.99.1Scan saved at 09:37:15, on 22/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\drivers\CDAC11BA.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Norman\bin\Zanda.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\wdfmgr.exeC:\Norman\Nvc\BIN\NVCSCHED.EXEC:\Norman\Nvc\bin
vcoas.exeC:\Norman\bin\NJEEVES.EXEC:\NORMAN\Nvc\BIN
ipsvc.exeC:\WINDOWS\System32\alg.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\Mixer.exeC:\WINDOWS\system32\pctspk.exeC:\Program Files\ahead\InCD\InCD.exeC:\Program Files\QuickTime\qttask.exeC:\Anuman Interactive\Le journal de votre naissance\anniv.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Friendly Technologies\BroadbandAccess\fts.exeC:\Norman\bin\ZLH.EXEC:\Program Files\OpiStat\OpiStat\OpiStat.exeC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exeC:\Program Files\Microsoft Money\System\mnyexpr.exeC:\Program Files\Messenger\msmsgs.exeC:\WINDOWS\System32undll32.exeC:\Program Files\MSN\MSNCoreFiles\MSN6.EXEC:\DOCUME~1\monique\LOCALS~1\Temp\Répertoire temporaire 6 pour hijackthis_199.zip\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dllO2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startupO4 - HKLM\..\Run: [PCTVOICE] pctspk.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Anniversaires] C:\Anuman Interactive\Le journal de votre naissance\anniv.exeO4 - HKLM\..\Run: [ATIPTA] atiptaxx.exeO4 - HKLM\..\Run: [Watch] C:\PROGRA~1\MINITEL\Watch.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exeO4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASHO4 - HKLM\..\Run: [OpiStat] C:\Program Files\OpiStat\OpiStat\OpiStat.exeO4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintrayO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"O4 - HKCU\..\Run: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exeO4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\monique\Application Data\MP3Chansons[1].exe tO4 - HKCU\..\Run: [123DownloadsFR] C:\Documents and Settings\monique\Application Data\123DownloadsFR[1].exe tO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\TV\EXPLBAR.DLLO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cabO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CABO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cabO16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{D49CD9F9-085B-49EE-B751-953E2F9CA72E}: NameServer = 80.118.196.42 80.118.192.112O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exeO23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXEO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN
ipsvc.exeO23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXEO23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\Zanda.exeO23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin
vcoas.exeO23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXEO23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exeO23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

Utilisateur anonyme · Answer

re,bon on va proceder par etapeDesinstalle norman et installe avasthttp://www.inoculer.com/gratuits.php3 et remet un hijack this apres caA+

mona · Answer

voici une nouvLogfile of HijackThis v1.99.1Scan saved at 15:15:27, on 22/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\System32\drivers\CDAC11BA.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\wdfmgr.exeC:\WINDOWS\Mixer.exeC:\WINDOWS\system32\pctspk.exeC:\Program Files\ahead\InCD\InCD.exeC:\Program Files\QuickTime\qttask.exeC:\Anuman Interactive\Le journal de votre naissance\anniv.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Friendly Technologies\BroadbandAccess\fts.exeC:\Program Files\OpiStat\OpiStat\OpiStat.exeC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exeC:\Program Files\Microsoft Money\System\mnyexpr.exeC:\Program Files\Messenger\msmsgs.exeC:\WINDOWS\System32undll32.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\System32\alg.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\Program Files\MSN\MSNCoreFiles\MSN6.EXEC:\DOCUME~1\monique\LOCALS~1\Temp\Répertoire temporaire 7 pour hijackthis_199.zip\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dllO2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startupO4 - HKLM\..\Run: [PCTVOICE] pctspk.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Anniversaires] C:\Anuman Interactive\Le journal de votre naissance\anniv.exeO4 - HKLM\..\Run: [ATIPTA] atiptaxx.exeO4 - HKLM\..\Run: [Watch] C:\PROGRA~1\MINITEL\Watch.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exeO4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"O4 - HKLM\..\Run: [OpiStat] C:\Program Files\OpiStat\OpiStat\OpiStat.exeO4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintrayO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"O4 - HKCU\..\Run: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exeO4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\monique\Application Data\MP3Chansons[1].exe tO4 - HKCU\..\Run: [123DownloadsFR] C:\Documents and Settings\monique\Application Data\123DownloadsFR[1].exe tO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\TV\EXPLBAR.DLLO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cabO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CABO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cabO16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{D49CD9F9-085B-49EE-B751-953E2F9CA72E}: NameServer = 80.118.192.110 80.118.196.40O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXEO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN
ipsvc.exe (file missing)O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exeO23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)elle copie apres installation d'avast.bonne réception

Utilisateur anonyme · Answer

re---------------------------------------------------------------------------- ¤Relance Hijack This, coche les cases devant ces lignes et ensuite click sur fix checked : O4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\monique\Application Data\MP3Chansons[1].exe t O4 - HKCU\..\Run: [123DownloadsFR] C:\Documents and Settings\monique\Application Data\123DownloadsFR[1].exe t O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN
ipsvc.exe (file missing) ----------------------------------------------------------------------------¤Recherche et supprime ceci: attention seulement les fichiers  (si present)C:\Documents and Settings\monique\Application Data\MP3Chansons[1].exe t C:\Documents and Settings\monique\Application Data\123DownloadsFR[1].exe t C:\NORMANet remet un hijack thisPS/ tu peux te faire rembourser par france telecom

Utilisateur anonyme · Answer

re¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked : O4 - HKCU\..\Run: [MP3Chansons] C:\Documents and Settings\monique\Application Data\MP3Chansons[1].exe t O4 - HKCU\..\Run: [123DownloadsFR] C:\Documents and Settings\monique\Application Data\123DownloadsFR[1].exe t O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN
ipsvc.exe (file missing) ----------------------------------------------------------------------------¤Recherche et supprime ceci: attention seulement les fichiers  (si présents) C:\Documents and Settings\monique\Application Data\MP3Chansons[1].exe t  C:\Documents and Settings\monique\Application Data\123DownloadsFR[1].exe t C:\NORMAN***¤Arrête ces services :Clique sur Démarrer->exécuter->tape: services.msc Double-clique: Service: Norman API-hooking helper Règle-le sur "Arrêté" et "DésactivéPS:si tu arrives pas a te faire rembourser, dis le moi, je demanderais a une amie sa demarche pour s avoir comment elle a ete rembourseea+

mona · Answer

salut régis j'ai déja essayer d'annuler les 3 lignes dans hijack mais cela ne marche pas.suite à la manip pour "norman" lui à disparu de la liste mais pas les 2 autres.d'autre part si je lance adaware il ne trouve rien par contre spy sweeper lui me trouve 3 adware à savoir123 maniainstant accessopistatmais lui n'arrive pas à les détruiresque dois je faire maintenant avec tous ces espions.bisous

Utilisateur anonyme · Answer

salut,passe spybot dis moi si il detecte qqchosea+

Utilisateur anonyme · Answer

et colle moi le rapport de scan de spy sweeper

mona · Answer

voici le rapport14:31: |···  Début de session, mercredi 24 août 2005  ···|14:31: Spy Sweeper démarrée14:31: Analyse lancée avec la version des définitions 51914:31: Démarrage de l’analyse de la mémoire14:35: Analyse de la mémoire terminée, temps passé : 00:03:4414:35: Démarrage de l’analyse du Registre14:35:   Trouvé Adware: 123mania14:35:   HKU\WRSS_Profile_S-1-5-21-71594873-4269483969-3991436212-1007\software\microsoft\internet explorer\urlsearchhooks\ || {15651c7c-e812-44a2-a9ac-b467a2233e7d} (ID = 101878)14:35:   Trouvé Adware: instant access14:35:   HKU\WRSS_Profile_S-1-5-21-71594873-4269483969-3991436212-1007\software\egdhtml\  (11 traces secondaires) (ID = 128787)14:35:   HKU\WRSS_Profile_S-1-5-21-71594873-4269483969-3991436212-1007\software\microsoft\windows\currentversion\wintrust	rust providers\software publishing	rust database\0\ || goicfboogidikkejccmclpieicihhlpo bgdjdn (ID = 128845)14:35: Analyse du Registre terminée, temps passé :00:00:2314:35: Démarrage de l’analyse des cookies14:35: Analyse des cookies terminée, temps passé : 00:00:0014:35: Démarrage de l’analyse des fichiers14:35:   Avertissement: Failed to open file "c:\pagefile.sys". Accès refusé14:35:   Avertissement: Failed to open file "c:\hiberfil.sys". Accès refusé14:36:   Avertissement: Failed to open file "c:\documents and settings
etworkservice
tuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:36:   Avertissement: Failed to open file "c:\documents and settings
etworkservice
tuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:36:   Avertissement: Failed to open file "c:\documents and settings
etworkservice\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:36:   Avertissement: Failed to open file "c:\documents and settings
etworkservice\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:36:   Avertissement: Failed to open file "c:\documents and settings\localservice
tuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:36:   Avertissement: Failed to open file "c:\documents and settings\localservice
tuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:36:   Avertissement: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:36:   Avertissement: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:36:   Avertissement: Failed to open file "c:\documents and settings\monique
tuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:36:   Avertissement: Failed to open file "c:\documents and settings\monique
tuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:36:   Avertissement: Failed to open file "c:\documents and settings\monique\local settings	emp\perflib_perfdata_b54.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:36:   Avertissement: Failed to open file "c:\documents and settings\monique\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:36:   Avertissement: Failed to open file "c:\documents and settings\monique\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:37:   Avertissement: Failed to open file "c:\documents and settings\monique\application data\microsoft\outlook\views.dat". Accès refusé14:37:   Avertissement: Failed to open file "c:\documents and settings\cyril\application data\123mp3fr.exe". Accès refusé14:47:   Avertissement: Failed to open file "c:\windows\system32\config\default". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:47:   Avertissement: Failed to open file "c:\windows\system32\config\sam". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:47:   Avertissement: Failed to open file "c:\windows\system32\config\security". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:47:   Avertissement: Failed to open file "c:\windows\system32\config\software". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:47:   Avertissement: Failed to open file "c:\windows\system32\config\system". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:47:   Avertissement: Failed to open file "c:\windows\system32\config\sam.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:47:   Avertissement: Failed to open file "c:\windows\system32\config\default.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:47:   Avertissement: Failed to open file "c:\windows\system32\config\system.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:47:   Avertissement: Failed to open file "c:\windows\system32\config\software.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:47:   Avertissement: Failed to open file "c:\windows\system32\config\security.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:48:   Avertissement: Failed to open file "c:\windows	emp\jet76e1.tmp". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:48:   Avertissement: Failed to open file "c:\windows	emp\perflib_perfdata_6d8.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:48:   Avertissement: Failed to open file "c:\windows	emp\_avast4_\webshlock.txt". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:48:   Avertissement: Failed to open file "c:\windows\softwaredistribution\eventcache\{ef1fcb11-b416-430a-8861-5aa094338f63}.bin". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus14:52: Analyse des fichiers terminée, temps passé : 00:16:5314:52: Analyse complète terminée. Durée 00:21:0814:52: Traces trouvées : 1414:52: Processus de suppression lancé.14:52:   Mise en quarantaine de toutes les traces : 123mania14:52:   Mise en quarantaine de toutes les traces : instant access14:52: Processus de suppression lancé. Durée 00:00:09********14:06: |···  Début de session, mercredi 24 août 2005  ···|14:06: Spy Sweeper démarrée14:06: Analyse lancée avec la version des définitions 51914:06: Démarrage de l’analyse de la mémoire14:07:   Analyse annulée14:07: Analyse de la mémoire terminée, temps passé : 00:00:3014:07: Traces trouvées : 014:11: Protection Cookies de suivi Internet Explorer : Supprimée weborama cookie14:11: Protection Cookies de suivi Internet Explorer : Supprimée adtech cookie14:18: Protection Cookies de suivi Internet Explorer : Supprimée xiti cookie14:18: Protection Cookies de suivi Internet Explorer : Supprimée 247realmedia cookie14:31: |···  Fin de session, mercredi 24 août 2005  ···|********09:59: |···  Début de session, mercredi 24 août 2005  ···|09:59: Spy Sweeper démarrée09:59: Analyse lancée avec la version des définitions 51909:59: Démarrage de l’analyse de la mémoire09:59:   Analyse annulée09:59: Analyse de la mémoire terminée, temps passé : 00:00:0409:59: Traces trouvées : 010:00: Protection Cookies de suivi Internet Explorer : Supprimée weborama cookie10:00: Protection Cookies de suivi Internet Explorer : Supprimée adtech cookie10:01: Protection Cookies de suivi Internet Explorer : Supprimée xiti cookie14:06: Une analyse planifiée va démarrer.14:06: Analyser uniquement les dossiers où les menaces résident habituellement14:06: |···  Fin de session, mercredi 24 août 2005  ···|********09:49: |···  Début de session, mercredi 24 août 2005  ···|09:49: Spy Sweeper démarrée09:49: Analyse lancée avec la version des définitions 51909:49: Démarrage de l’analyse de la mémoire09:53: Analyse de la mémoire terminée, temps passé : 00:03:4709:53: Démarrage de l’analyse du Registre09:53:   Trouvé Adware: 123mania09:53:   HKU\WRSS_Profile_S-1-5-21-71594873-4269483969-3991436212-1007\software\microsoft\internet explorer\urlsearchhooks\ || {15651c7c-e812-44a2-a9ac-b467a2233e7d} (ID = 101878)09:53:   Trouvé Adware: instant access09:53:   HKU\WRSS_Profile_S-1-5-21-71594873-4269483969-3991436212-1007\software\egdhtml\  (11 traces secondaires) (ID = 128787)09:53:   HKU\WRSS_Profile_S-1-5-21-71594873-4269483969-3991436212-1007\software\microsoft\windows\currentversion\wintrust	rust providers\software publishing	rust database\0\ || goicfboogidikkejccmclpieicihhlpo bgdjdn (ID = 128845)09:53:   Trouvé Adware: opistat09:53:   HKLM\software\opistat\  (3 traces secondaires) (ID = 136464)09:53: Analyse du Registre terminée, temps passé :00:00:2109:53: Démarrage de l’analyse des cookies09:53: Analyse des cookies terminée, temps passé : 00:00:0009:53: Démarrage de l’analyse des fichiers09:53:   Avertissement: Failed to open file "c:\pagefile.sys". Accès refusé09:53:   Avertissement: Failed to open file "c:\hiberfil.sys". Accès refusé09:53:   Analyse annulée09:53: Analyse des fichiers terminée, temps passé : 00:00:1109:53: Traces trouvées : 1809:54: Processus de suppression lancé.09:54:   Mise en quarantaine de toutes les traces : 123mania09:54:   Mise en quarantaine de toutes les traces : instant access09:54:   Mise en quarantaine de toutes les traces : opistat09:54: Processus de suppression lancé. Durée 00:00:1209:59: Une analyse planifiée va démarrer.09:59: Analyser uniquement les dossiers où les menaces résident habituellement09:59: |···  Fin de session, mercredi 24 août 2005  ···|********09:35: |···  Début de session, mercredi 24 août 2005  ···|09:35: Spy Sweeper démarrée09:35: Analyse lancée avec la version des définitions 51909:35: Démarrage de l’analyse de la mémoire09:35:   Analyse annulée09:35: Analyse de la mémoire terminée, temps passé : 00:00:1309:35: Traces trouvées : 009:37: Protection Cookies de suivi Internet Explorer : Supprimée adtech cookie09:37: Protection Cookies de suivi Internet Explorer : Supprimée weborama cookie09:38: Protection Cookies de suivi Internet Explorer : Supprimée weborama cookie09:43: Protection Cookies de suivi Internet Explorer : Supprimée weborama cookie********

Utilisateur anonyme · Answer

coucoutu as deja ete ds le registre?C est tres delicat et faut faire attention, oui?

mona · Answer

coucou c'est mona

c'est pas ce que tu voulais comme rapport de spy sweeper.
dis moi alors ce qu'il te faut.
Va t on s'en sortir de plus maintenant le neuf se deconnecte tout seul au bout de quelques minutes.
bon courage

Utilisateur anonyme · Answer

salut,avant, dis moi, regarde si ils sont ds la quarantaine de spy sweeper , si oui supprimea+

mona · Answer

oui ils sont bien dans le dossier quarantaine mais je ne peux pas les supprimer il supprime au bout de 7 jours et il n'y a pas moins.
d'autre part si je relance spy sweeper il me les detecte de nouveau.
est ce normal si ils sont en quarantaine.
les autres logiciels ne trouvent toujours rien.
et je ne peux pas supprimer les lignes concernees dan hijacktis.
bon week end si on ne se contact pas avant.

Utilisateur anonyme · Answer

re,
essai ceci
demarer<executer<tape regedit
une fois dedans (attention, ne fais rien, c est tre stres delicat)
HKU\WRSS_Profile_S-1-5-21-71594873-4269483969-3991436212-1007\software\microsoft\internet explorer\urlsearchhooks\ || {15651c7c-e812-44a2-a9ac-b467a2233e7d} (ID = 101878)

HKU\WRSS_Profile_S-1-5-21-71594873-4269483969-3991436212-1007\software\egdhtml\ (11 traces secondaires) (ID = 128787)

HKU\WRSS_Profile_S-1-5-21-71594873-4269483969-3991436212-1007\software\microsoft\windows\currentversion\wintrust\trust providers\software publishing\trust database\0\ || goicfboogidikkejccmclpieicihhlpo bgdjdn (ID = 128845)

Trouve tu ces 3 valeurs au dessus?

A+

Utilisateur anonyme · Answer

coucoutelecharge silent runner http://www.silentrunners.org/ copie/colle le rapportmercia+

mona · Answer

ilent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"ATI Launchpad" = ""C:\Program Files\ATI Multimedia\main\launchpd.exe"" ["ATI Technologies Inc."]
"ATI Remote Control" = "C:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exe" ["ATI Technologies Inc."]
"(Default)" = (empty string)
"MoneyAgent" = ""C:\Program Files\Microsoft Money\System\mnyexpr.exe"" [MS]
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"MP3Chansons" = "C:\Documents and Settings\monique\Application Data\MP3Chansons[1].exe t" [file not found]
"123DownloadsFR" = "C:\Documents and Settings\monique\Application Data\123DownloadsFR[1].exe t" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"]
"PCTVOICE" = "pctspk.exe" [empty string]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"InCD" = "C:\Program Files\ahead\InCD\InCD.exe" ["Copyright (C) ahead software gmbh and its licensors"]
"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Microsoft Inet Xp.." = (empty string)
"Anniversaires" = "C:\Anuman Interactive\Le journal de votre naissance\anniv.exe" [null data]
"ATIPTA" = "atiptaxx.exe" [file not found]
"Watch" = "C:\PROGRA~1\MINITEL\Watch.exe" ["France Télécom R&D"]
"TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"DSLAGENTEXE" = "dslagent.exe" [file not found]
"%FP%Friendly fts.exe" = ""C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"" ["Friendly Technologies"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{243B17DE-77C7-46BF-B94B-0B5F309A0E64}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Money\System\mnyside.dll" [MS]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\Office\OLKFSTUB.DLL" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshellext.dll" ["RealNetworks"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{7C9D5882-CB4A-4090-96C8-430BFE8B795B}" = "Webroot Spy Sweeper Context Menu Integration"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{81559C35-8464-49F7-BB0E-07A383BEF910}" = "SpywareGuard"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\SpywareGuard\spywareguard.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{81559C35-8464-49F7-BB0E-07A383BEF910}" = "SpywareGuard"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\SpywareGuard\spywareguard.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
FineReader\(Default) = "{AC0DD14A-8F29-4F88-BE1D-0F0ED1B06C9F}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ABBYY\FineReader 6.0\FECMenu.dll" ["ABBYY (BIT Software)"]
SpySweeper\(Default) = "{7C9D5882-CB4A-4090-96C8-430BFE8B795B}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\monique\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Startup items in "monique" & "All Users" startup folders:
---------------------------------------------------------

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"Lancement rapide d'Adobe Reader" -> shortcut to: "C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]

Enabled Scheduled Tasks:
------------------------

"wrSpySweeper20050823184001" -> launches: "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /ScheduleSweep=wrSpySweeper20050823184001" ["Webroot Software, Inc."]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{44226DFF-747E-4EDC-B30C-78752E50CD0C}\ = "&ATI TV" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ATI Multimedia\TV\EXPLBAR.DLL" ["ATI Technologies Inc."]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{1462651F-F4BA-4C76-A001-C4284D0FE16E}\
"ButtonText" = "Wanadoo"
"Exec" = "http://www.wanadoo.fr" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{44226DFF-747E-4EDC-B30C-78752E50CD0C}\
"ButtonText" = "ATI TV"

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{E023F504-0C5A-4750-A1E7-A9046DEA8A21}\
"ButtonText" = "MoneySide"
"CLSIDExtension" = "{DD6687B5-CB43-4211-BFC9-2942CCBDCB3E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Money\System\mnyside.dll" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

Missing lines (compared with English-language version):
[Strings]: 2 lines

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
HIJACK WARNING! "MGINavigationCanceled" = "C:\Program Files\MGI\MGI PhotoSuite 4\Internet\NavigationCanceled.html" [null data]
HIJACK WARNING! "MGIWelcome" = "C:\Program Files\MGI\MGI PhotoSuite 4\Internet\W_Welcome.html" [null data]
HIJACK WARNING! "MGIOfflineInformation" = "C:\Program Files\MGI\MGI PhotoSuite 4\Internet\OfflineInformation.html" [null data]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
C-DillaCdaC11BA, C-DillaCdaC11BA, "C:\WINDOWS\System32\drivers\CDAC11BA.EXE" ["C-Dilla Ltd"]
Kerio Personal Firewall 4, KPF4, ""C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe"" ["Kerio Technologies"]
Webroot Spy Sweeper Engine, svcWRSSSDK, "C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe" ["Webroot Software, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 59 seconds, including 6 seconds for message boxes)

Justin · Answer

Ben dit donc, 10j que ca traine vot' prob,
tu aurais plus vite fait de sauvegarder tes donnees et de reinstaller un windows propres.
pour eradiquer les saloperies de trojan qui se regenere faut nettoyer la base de registre avant tout, mais vu le nivÔ de corruption de la machine un bon formatage ne peut que lui faire du bien.
du temps de gagner et des chveux blancs en moins ..
cya bonne chasse

mona · Answer

merci pour ta réponse mais comme je disais à régis je suis une néophite et je suis à l'écoute des pro pour résoudre mon probléme et avec Régis il a presque résolu le probléme alors je fais confiance.Après avoir vu ton message il me dira ce qu'il en pense mais je pense que l'on a vaincu le pire.
gros bisous

Facturation france telecom

28 réponses

Votre réponse

Discussions similaires

Newsletters