Ecran bleu d'erreur,mon PC redemarre tt seul
Résolu/Fermé
A voir également:
- Ecran bleu d'erreur,mon PC redemarre tt seul
- Double ecran pc - Guide
- Ecran noir pc - Guide
- Erreur 0x80070643 - Guide
- Écran bleu - Guide
- Benchmark pc - Guide
43 réponses
LE-CHTI
Messages postés
181
Date d'inscription
mardi 14 janvier 2003
Statut
Membre
Dernière intervention
23 juin 2011
1
20 août 2005 à 12:03
20 août 2005 à 12:03
Bonjour,
C'est bien de balancer un rapport comme une bouteille à la mer!
C'est mieux de connaitre ce qu'il contient :-)
http://www.lacave.net/~jokeuse/usenet/ht.html
Bon courage !
papy
C'est bien de balancer un rapport comme une bouteille à la mer!
C'est mieux de connaitre ce qu'il contient :-)
http://www.lacave.net/~jokeuse/usenet/ht.html
Bon courage !
papy
Merci pour ce site web, c est sur que ca me permet de comprendre mieux le fonctionnement de hijack, mais le probleme est que je ne comprends pas pourquoi au demarage de windows il n y a plus d icone sur mom bureau, ni de barre de demarage....
Si tu as une idee....
Merci beaucoup !!!
Si tu as une idee....
Merci beaucoup !!!
Utilisateur anonyme
20 août 2005 à 19:26
20 août 2005 à 19:26
salut
tu peux reposter un hijack stp, il a du peut etre evoluer depuis
a+
tu peux reposter un hijack stp, il a du peut etre evoluer depuis
a+
Salut,
En fait effectivement le probleme a evolue....
Je n ai plus d icones qui s afichent sur mon ecran, plus de taskbar, plus de desktop.
Je peux juste faire un CTRL ALT SUP, c est tout.
par contre mon pc fonctionne en demarrant en sans echec.
CHOSE TRES IMPORTANTE A SIGNALER:
je n ai pas le cd de windows, par consequent je ne peux formater.
Je post le rapport hijack:
Logfile of HijackThis v1.99.1
Scan saved at 1:49:23 PM, on 8/20/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\strouill\Desktop\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
J ai vu que ce probleme est assez recurrent dans plusieurs forums, fr et us. Mais personne n a reussi a le resoudre, a part formatage, et encore meme avec formatage, ca marche pas.
J ai vu qu une personne avait flashe son BIOS, reinstalle MS DOS et ensuite WinXP. Moi je ne peux faire ca...
A L AIDE !!!!
En fait effectivement le probleme a evolue....
Je n ai plus d icones qui s afichent sur mon ecran, plus de taskbar, plus de desktop.
Je peux juste faire un CTRL ALT SUP, c est tout.
par contre mon pc fonctionne en demarrant en sans echec.
CHOSE TRES IMPORTANTE A SIGNALER:
je n ai pas le cd de windows, par consequent je ne peux formater.
Je post le rapport hijack:
Logfile of HijackThis v1.99.1
Scan saved at 1:49:23 PM, on 8/20/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\strouill\Desktop\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
J ai vu que ce probleme est assez recurrent dans plusieurs forums, fr et us. Mais personne n a reussi a le resoudre, a part formatage, et encore meme avec formatage, ca marche pas.
J ai vu qu une personne avait flashe son BIOS, reinstalle MS DOS et ensuite WinXP. Moi je ne peux faire ca...
A L AIDE !!!!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
20 août 2005 à 20:58
20 août 2005 à 20:58
si tu peut telecharge ceci
telecharge ceci
http://www.downloads.subratam.org/l2mfix.exe
decompresse le double clik sur l2mfix.bat appuie sur n importe quelle touche et ensuite choisi l option 2
relance hijack coche et fix
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
recherche et suppr ceci
C:\WINDOWS\SYSTEM32\drct16.dll
C:\WINDOWS\SYSTEM32\tcpG4T.dll
----------
regarde si tu trouve ceci
Dans gestionnaire des taches vous allez dans processus et trouver le fichier nommé " Sysu.exe " sélectionnez le et faites terminer le processus.
2/Une fois que vous retrouvez votre bureau n'oubliez pas de supprimer ce fichier
3/Dans msconfig aller dans l'onglet Démarage et désélectionner le fichier qui devrais s'appeler " Msbb "
fait ctrl alt suppr regarde si tu trouve sysu.exe
Si oui clik dessus et terminer le processus
Et si la tu retrouve ton bureau recherche et suppr se fichier
Et dit moi si tu trouve aussi Msbb
telecharge ceci
http://www.downloads.subratam.org/l2mfix.exe
decompresse le double clik sur l2mfix.bat appuie sur n importe quelle touche et ensuite choisi l option 2
relance hijack coche et fix
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
recherche et suppr ceci
C:\WINDOWS\SYSTEM32\drct16.dll
C:\WINDOWS\SYSTEM32\tcpG4T.dll
----------
regarde si tu trouve ceci
Dans gestionnaire des taches vous allez dans processus et trouver le fichier nommé " Sysu.exe " sélectionnez le et faites terminer le processus.
2/Une fois que vous retrouvez votre bureau n'oubliez pas de supprimer ce fichier
3/Dans msconfig aller dans l'onglet Démarage et désélectionner le fichier qui devrais s'appeler " Msbb "
fait ctrl alt suppr regarde si tu trouve sysu.exe
Si oui clik dessus et terminer le processus
Et si la tu retrouve ton bureau recherche et suppr se fichier
Et dit moi si tu trouve aussi Msbb
Utilisateur anonyme
20 août 2005 à 21:01
20 août 2005 à 21:01
tu as decoché des prog dans msconfig ?
parce qu'il ne reste plus grand chose dans ton hijack
laisse moi quelques minutes le temp de regarder en detail les 2 log
a tout de suite
parce qu'il ne reste plus grand chose dans ton hijack
laisse moi quelques minutes le temp de regarder en detail les 2 log
a tout de suite
Utilisateur anonyme
20 août 2005 à 21:22
20 août 2005 à 21:22
telecharge ceci:
http://www.atribune.org/downloads/HSFix.zip
puis en mode sans echec et apres avoir rendu visible les fichiers cachés et systeme
ouvre le bloc note et copie et colle ce qui est en gras ci-dessous:
REGEDIT4
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msudp4]
Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer
ensuite double clic sur fix.reg et accepte de fusionner
lance hijackthis et supprime:
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
recherche et supprime
C:\WINDOWS\System32\explorer6s4.exe
PrcIdle.exe
C:\WINDOWS\SYSTEM32\drct16.dll
C:\WINDOWS\SYSTEM32\tcpG4T.dll
____________________________________
lance hsfix.bat qui se trouve dans le dossier hsfix et sauvegarde le rapport que tu postera apres avoir redemarré
_____________________________________
redemarre le pc et reposte un hijack+ le rapport hsfix
http://www.atribune.org/downloads/HSFix.zip
puis en mode sans echec et apres avoir rendu visible les fichiers cachés et systeme
ouvre le bloc note et copie et colle ce qui est en gras ci-dessous:
REGEDIT4
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msudp4]
Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer
ensuite double clic sur fix.reg et accepte de fusionner
lance hijackthis et supprime:
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
recherche et supprime
C:\WINDOWS\System32\explorer6s4.exe
PrcIdle.exe
C:\WINDOWS\SYSTEM32\drct16.dll
C:\WINDOWS\SYSTEM32\tcpG4T.dll
____________________________________
lance hsfix.bat qui se trouve dans le dossier hsfix et sauvegarde le rapport que tu postera apres avoir redemarré
_____________________________________
redemarre le pc et reposte un hijack+ le rapport hsfix
Je tiens avant tout a vous remercier pour votre aide!!
Effectivement j ai desactive tous les programmes tiers au demarrage de windows.
Balltrap m a conseille de lancer un logiciel intitule L2Mfix,
grace a ce logiciel, je peux de nouveau revoir mon bureau, mais a partir du moment ou je le ferme, mon bureau disparait...
Je vous repost le log de Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 2:23:44 PM, on 8/20/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cmd.exe
C:\windows\system32\mdms.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2cf41f1db14bc8f414e16e1555b77108\update\update.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\strouill\Desktop\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O4 - HKLM\..\Run: [second] C:\Documents and Settings\strouill\Desktop\l2mfix\second.bat
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
Aussi windows ne veut pas supprimer ces deux DLL car elles sont en cours d utilisation, et quand je vais dans le gestionnaire des taches, impossible d arreter les processus.
Je vous remercie pour l aide que vous m apportez!!!
A tout de suite.
Effectivement j ai desactive tous les programmes tiers au demarrage de windows.
Balltrap m a conseille de lancer un logiciel intitule L2Mfix,
grace a ce logiciel, je peux de nouveau revoir mon bureau, mais a partir du moment ou je le ferme, mon bureau disparait...
Je vous repost le log de Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 2:23:44 PM, on 8/20/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cmd.exe
C:\windows\system32\mdms.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2cf41f1db14bc8f414e16e1555b77108\update\update.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\strouill\Desktop\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O4 - HKLM\..\Run: [second] C:\Documents and Settings\strouill\Desktop\l2mfix\second.bat
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
Aussi windows ne veut pas supprimer ces deux DLL car elles sont en cours d utilisation, et quand je vais dans le gestionnaire des taches, impossible d arreter les processus.
Je vous remercie pour l aide que vous m apportez!!!
A tout de suite.
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
20 août 2005 à 21:33
20 août 2005 à 21:33
► relance hijack coche ces lignes et ensuite clik sur fix
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O4 - HKLM\..\Run: [second] C:\Documents and Settings\strouill\Desktop\l2mfix\second.bat
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
----------------------
►utilise la killbox avec la methode du bloc note(voir demo)avec ces fichiers
C:\WINDOWS\system32\appwiz.dll
c:\windows\system32\mdms.exe
C:\WINDOWS\System32\explorer6s4.exe
PrcIdle.exe
C:\WINDOWS\SYSTEM32\drct16.dll
C:\WINDOWS\SYSTEM32\tcpG4T.dll
-----------------
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O4 - HKLM\..\Run: [second] C:\Documents and Settings\strouill\Desktop\l2mfix\second.bat
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
----------------------
►utilise la killbox avec la methode du bloc note(voir demo)avec ces fichiers
C:\WINDOWS\system32\appwiz.dll
c:\windows\system32\mdms.exe
C:\WINDOWS\System32\explorer6s4.exe
PrcIdle.exe
C:\WINDOWS\SYSTEM32\drct16.dll
C:\WINDOWS\SYSTEM32\tcpG4T.dll
-----------------
Utilisateur anonyme
20 août 2005 à 21:33
20 août 2005 à 21:33
supprime celle ci aussi
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
et supprime c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
et supprime c:\windows\system32\mdms.exe
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
20 août 2005 à 21:37
20 août 2005 à 21:37
tu veut de la protection solaire tu vas finir pas etre tous rouge lol
Utilisateur anonyme
20 août 2005 à 21:39
20 août 2005 à 21:39
c'est mes doigts qui sont tout rouge, vont pas assez vite lol
Merci Moe et Balltrap de me soutenir, car je suis desespere!! Surtout que mes connaissances en informatique se resume a presque rien...
Donc j ai lance hsfix en mode sans echec, j ai cree le document text et fusionne, j ai supprime les dll suspectes dans system32, je pense avoir vu d autres fichiers, mais je ne sais pas si ils sont supects ou pas....
j ai lance hs et voici le log suivant:
Horseserver Removal Tool v1.05
by Atri
-
-
1. Registry Fix Started
-
Registry fix complete
-
2. Deleted Services
-
WINLOW
[SC] DeleteService SUCCESS
vdmt16
[SC] DeleteService SUCCESS
-
3. Finding files Located on system
-
klogini.dll
p2.ini
ps.a3d
vdmt16.sys
winlow.sys
mszx23.exe
cz.dll
tmp*.exe
w32tm.exe
-
4. Deleting files that were found.
-
-
5. Checking for and Removing Winupdate
-
-
-
Je refais aussi un log de hijack pour me dire ce que vous en pensez:
Logfile of HijackThis v1.99.1
Scan saved at 2:41:59 PM, on 8/20/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cmd.exe
C:\windows\system32\mdms.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\strouill\Desktop\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O4 - HKLM\..\Run: [second] C:\Documents and Settings\strouill\Desktop\l2mfix\second.bat
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
Est-ce que balltrap tu as une idee du fait que mon bureau reapparait, mais quand je ferme la fenetre MS DOS, il disparait??
Je vous remercie vivement Moe et Balltrap !!!!
Donc j ai lance hsfix en mode sans echec, j ai cree le document text et fusionne, j ai supprime les dll suspectes dans system32, je pense avoir vu d autres fichiers, mais je ne sais pas si ils sont supects ou pas....
j ai lance hs et voici le log suivant:
Horseserver Removal Tool v1.05
by Atri
-
-
1. Registry Fix Started
-
Registry fix complete
-
2. Deleted Services
-
WINLOW
[SC] DeleteService SUCCESS
vdmt16
[SC] DeleteService SUCCESS
-
3. Finding files Located on system
-
klogini.dll
p2.ini
ps.a3d
vdmt16.sys
winlow.sys
mszx23.exe
cz.dll
tmp*.exe
w32tm.exe
-
4. Deleting files that were found.
-
-
5. Checking for and Removing Winupdate
-
-
-
Je refais aussi un log de hijack pour me dire ce que vous en pensez:
Logfile of HijackThis v1.99.1
Scan saved at 2:41:59 PM, on 8/20/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cmd.exe
C:\windows\system32\mdms.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\strouill\Desktop\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O4 - HKLM\..\Run: [second] C:\Documents and Settings\strouill\Desktop\l2mfix\second.bat
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
Est-ce que balltrap tu as une idee du fait que mon bureau reapparait, mais quand je ferme la fenetre MS DOS, il disparait??
Je vous remercie vivement Moe et Balltrap !!!!
jean38
Messages postés
2534
Date d'inscription
samedi 16 avril 2005
Statut
Contributeur
Dernière intervention
17 juillet 2017
47
20 août 2005 à 21:45
20 août 2005 à 21:45
savais pas que moe commencait à avoir de l'artoze...
je le voyais jeune et beau... et bin en se sent moins seul .
pour la protection spéciale hautes²temperatures, je crois qu'il doit m'en rester un peu.
Pas cher mon frere, 20 chameaux...
lol
je le voyais jeune et beau... et bin en se sent moins seul .
pour la protection spéciale hautes²temperatures, je crois qu'il doit m'en rester un peu.
Pas cher mon frere, 20 chameaux...
lol
Je n arrive pas non plus a supprimer MDMS.EXE, a cote il y a aussi une DLL qui s appelle MDMSINST.DLL...
Utilisateur anonyme
20 août 2005 à 21:50
20 août 2005 à 21:50
pour MDMSINST.DLL fait le analyser ici:
http://www.virustotal.com/xhtml/virustotal_en.html
et poste le resultat
toujours en mode sans echec et tous les fichiers visibles
lance hijack et suprime
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O4 - HKLM\..\Run: [second] C:\Documents and Settings\strouill\Desktop\l2mfix\second.bat
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
Recherche et supprime si présent
C:\windows\system32\mdms.exe
c:\windows\system32\mcsmss.exe
c:\windows\tgbcde
c:\windows\system32\winacpi.dll
C:\WINDOWS\system32\appwiz.dll
:: Supprimer les fichiers temporaires ::
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
vider tout le contenu de ces dossiers.
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
redemarre le pc et telecharge silentrunners ici:
http://www.silentrunners.org/Silent%20Runners.vbs
lance le et poste le rapport + un nouvel hijack
http://www.virustotal.com/xhtml/virustotal_en.html
et poste le resultat
toujours en mode sans echec et tous les fichiers visibles
lance hijack et suprime
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O4 - HKLM\..\Run: [second] C:\Documents and Settings\strouill\Desktop\l2mfix\second.bat
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
Recherche et supprime si présent
C:\windows\system32\mdms.exe
c:\windows\system32\mcsmss.exe
c:\windows\tgbcde
c:\windows\system32\winacpi.dll
C:\WINDOWS\system32\appwiz.dll
:: Supprimer les fichiers temporaires ::
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
vider tout le contenu de ces dossiers.
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
redemarre le pc et telecharge silentrunners ici:
http://www.silentrunners.org/Silent%20Runners.vbs
lance le et poste le rapport + un nouvel hijack
Utilisateur anonyme
20 août 2005 à 22:13
20 août 2005 à 22:13
re les gars,
pour la barre de taches etc qui ont disparue, cela pourrait il marcher?
http://www.d2i.ch/pn/az/b.html
a+ Olivier et Gerard
pour la barre de taches etc qui ont disparue, cela pourrait il marcher?
http://www.d2i.ch/pn/az/b.html
a+ Olivier et Gerard
Voila donc j ai suivi tes consignes. Seule chose, je n ai pas reussi a supprimer mdms, winacpi. Et je n ai pas trouve dans les dossiers tgbcde et mcsmm.
Je post le rapport silent runner:
"Silent Runners.vbs", revision 40, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SysMemory manager" = "c:\windows\system32\mdms.exe" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Display Panning CPL Extension"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{352EC2B7-8B9A-11D1-B8AE-006008059382}" = "Shell Application Manager"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\appwiz.cpl" [file not found]
"{0B124F8F-91F0-11D1-B8B5-006008059382}" = "Installed Apps Enumerator"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\appwiz.cpl" [file not found]
"{CFCCC7A0-A282-11D1-9082-006008059382}" = "Darwin App Publisher"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\appwiz.cpl" [file not found]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{9ED66769-A198-41FE-8615-601691C68846}" = "TouchPad Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\TPprop.dll" ["COMPAL ELECTRONIC INC."]
"{8FF43EAA-2BB1-4A53-8E18-D9221E56E593}" = "CePMTab Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\CePMTab.dll" ["COMPAL ELECTRONIC INC."]
"{955B7B84-5308-419c-8ED8-0B9CA3C56985}" = "America Online"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common Files\aolshare\shell\us\shellext.dll" ["America Online, Inc."]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Sonic\RecordNow!\shlext.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "st"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\winacpi.dll" [null data]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csuxw.exe" [file not found]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! wzcnotif\DLLName = "wzcdlg.dll" [MS]
HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
sysacpildap\(Default) = "{5E2121EE-0300-11D4-8D3B-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\winacpi.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\strouill\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Enabled Scheduled Tasks:
------------------------
"Symantec NetDetect" -> launches: "C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
------------------------------------
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Research"
All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------
Application Management, AppMgmt, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\appmgmts.dll" [file not found]}
ASP.NET State Service, aspnet_state, "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe" [MS]
Fax, Fax, "C:\WINDOWS\system32\fxssvc.exe" [MS]
Logical Disk Manager Administrative Service, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
Office Source Engine, ose, "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE" [MS]
Portable Media Serial Number Service, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\mspmsnsv.dll" [MS]}
WMI Performance Adapter, WmiApSrv, "C:\WINDOWS\System32\wbem\wmiapsrv.exe" [MS]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "Yes" at the first message box.
---------- (total run time: 43 seconds, including 9 seconds for message boxes)
D apres vous, vous pensez que la situation evolue positivement ??
Dans tous les cas je vous remercie mille fois de l aide que vous m apportez!!!
Je post le rapport silent runner:
"Silent Runners.vbs", revision 40, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SysMemory manager" = "c:\windows\system32\mdms.exe" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Display Panning CPL Extension"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{352EC2B7-8B9A-11D1-B8AE-006008059382}" = "Shell Application Manager"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\appwiz.cpl" [file not found]
"{0B124F8F-91F0-11D1-B8B5-006008059382}" = "Installed Apps Enumerator"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\appwiz.cpl" [file not found]
"{CFCCC7A0-A282-11D1-9082-006008059382}" = "Darwin App Publisher"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\appwiz.cpl" [file not found]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{9ED66769-A198-41FE-8615-601691C68846}" = "TouchPad Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\TPprop.dll" ["COMPAL ELECTRONIC INC."]
"{8FF43EAA-2BB1-4A53-8E18-D9221E56E593}" = "CePMTab Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\CePMTab.dll" ["COMPAL ELECTRONIC INC."]
"{955B7B84-5308-419c-8ED8-0B9CA3C56985}" = "America Online"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common Files\aolshare\shell\us\shellext.dll" ["America Online, Inc."]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Sonic\RecordNow!\shlext.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "st"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\winacpi.dll" [null data]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csuxw.exe" [file not found]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! wzcnotif\DLLName = "wzcdlg.dll" [MS]
HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
sysacpildap\(Default) = "{5E2121EE-0300-11D4-8D3B-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\winacpi.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\strouill\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Enabled Scheduled Tasks:
------------------------
"Symantec NetDetect" -> launches: "C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06
Toolbars, Explorer Bars, Extensions:
------------------------------------
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Research"
All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------
Application Management, AppMgmt, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\appmgmts.dll" [file not found]}
ASP.NET State Service, aspnet_state, "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe" [MS]
Fax, Fax, "C:\WINDOWS\system32\fxssvc.exe" [MS]
Logical Disk Manager Administrative Service, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
Office Source Engine, ose, "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE" [MS]
Portable Media Serial Number Service, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\mspmsnsv.dll" [MS]}
WMI Performance Adapter, WmiApSrv, "C:\WINDOWS\System32\wbem\wmiapsrv.exe" [MS]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "Yes" at the first message box.
---------- (total run time: 43 seconds, including 9 seconds for message boxes)
D apres vous, vous pensez que la situation evolue positivement ??
Dans tous les cas je vous remercie mille fois de l aide que vous m apportez!!!
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
20 août 2005 à 22:24
20 août 2005 à 22:24
ouvre le bloc note et copie colle ceci entre les etoiles pas les etoiles
nomme le ww.reg
dans la case type met sur tous fichiers
double clik sur se fichier que tu vient de faire et accepte la fusion
*********
REGEDIT4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control]
"Impersonate"=-
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control \
MPRServicesTestService]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \
Winlogon\Notify\debugg]
"DllName"=-
"Startup"=-
"Impersonate"=-
"Asynchronous"=-
"MaxWait"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\boot32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\boot32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\boot32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\boot32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sdmapi]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sdmapi]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sdmapi]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sdmapi]
[-HKLM\SYSTEM\CurrentControlSet\Services\memlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\memlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\memlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\memlow]
[-HKLM\SYSTEM\CurrentControlSet\Services\vdnt32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdnt32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vdnt32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vdnt32]
[-HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \
Notify\draw32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vdmt16]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vdmt16]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VDMT16]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOW]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Secboot" =-
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"Neutralisez TrayIcon" =-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"StackSize" =-
"Personnifient" =-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"hws" =-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Session Manager\Memory Management]
"EnforceWriteProtect" =-
*************
recherche et suppr ceci
assure toi de voir les fichiers cacher
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais "Ok" pour valider les changements.
Et appliquer
KLOGINI.DLL
BOOT32.SYS
SDMAPI.SYS
DEBUGG.DLL
C3.DLL
C3.SYS
C4.SYS
_SS.EXE
P2.INI
ps.a3d
vdmt16.sys
winlow.sys
mszx23.exe
cz.dll
w32tm.exe
nomme le ww.reg
dans la case type met sur tous fichiers
double clik sur se fichier que tu vient de faire et accepte la fusion
*********
REGEDIT4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control]
"Impersonate"=-
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control \
MPRServicesTestService]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \
Winlogon\Notify\debugg]
"DllName"=-
"Startup"=-
"Impersonate"=-
"Asynchronous"=-
"MaxWait"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\boot32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\boot32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\boot32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\boot32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sdmapi]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sdmapi]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sdmapi]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sdmapi]
[-HKLM\SYSTEM\CurrentControlSet\Services\memlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\memlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\memlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\memlow]
[-HKLM\SYSTEM\CurrentControlSet\Services\vdnt32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdnt32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vdnt32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vdnt32]
[-HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \
Notify\draw32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vdmt16]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vdmt16]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VDMT16]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOW]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Secboot" =-
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"Neutralisez TrayIcon" =-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"StackSize" =-
"Personnifient" =-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"hws" =-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Session Manager\Memory Management]
"EnforceWriteProtect" =-
*************
recherche et suppr ceci
assure toi de voir les fichiers cacher
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais "Ok" pour valider les changements.
Et appliquer
KLOGINI.DLL
BOOT32.SYS
SDMAPI.SYS
DEBUGG.DLL
C3.DLL
C3.SYS
C4.SYS
_SS.EXE
P2.INI
ps.a3d
vdmt16.sys
winlow.sys
mszx23.exe
cz.dll
w32tm.exe
