Infection de partout
KaNyBaL
Messages postés
10
Statut
Membre
-
KaNyBaL Messages postés 10 Statut Membre -
KaNyBaL Messages postés 10 Statut Membre -
Voilà le scan du pc en question :
Logfile of HijackThis v1.99.1
Scan saved at 14:58:32, on 08/21/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\NavNT\DefWatch.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\svchost.exe
C:\LDClient\LOCALSCH.EXE
C:\WINNT\system32\cba\pds.exe
C:\LDClient\QIPCLNT.EXE
C:\LDClient\tmcsvc.exe
C:\notes\ntmulti.exe
C:\Program Files\NavNT\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\LDClient\wuser32.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\LDCLIENT\SDISTHK.EXE
C:\WINNT\Explorer.EXE
C:\LDClient\SOFTMON.EXE
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\NavNT\vptray.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\Pfrmuu\Xikm.exe
C:\Program Files\WinFixer 2005\wfx5.exe
C:\program files\180searchassistant\salm.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\DOCUME~1\e2\LOCALS~1\Temp\bundle_cdt1006.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\rundll32.exe
C:\program files\internet explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\program files\internet explorer\iexplore.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\mIRC\mirc.exe
C:\program files\internet explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
D:\Mes images\iMeshV5.exe
C:\program files\internet explorer\iexplore.exe
D:\Mes images\HijackThis.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
C:\Program Files\HbTools\Bin\4.6.2.0\HbtSrv.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oemji.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oemji.com/side_search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,,C:\LDCLIENT\SDISTHK.EXE,C:\LDClient\SOFTMON.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Program Files\Oemji\Toolbar\PopupBlocker\PBHelper.dll
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho13.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll (file missing)
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Program Files\Oemji\Toolbar\OemjiSrc.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [IntelAPMClient] C:\LDClient\amclient.exe /apm /s /bw=WAN
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [spsrgn] C:\WINNT\spsrgn.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [ywrb5Tb] C:\WINNT\barou.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Zqoocg] C:\Program Files\Pfrmuu\Xikm.exe
O4 - HKLM\..\Run: [ErrorGuard] C:\Program Files\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.6.2.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.6.2.0\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\wfx5.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\e2\LOCALS~1\Temp\bundle_cdt1006.exe run
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1042.dll,InstantAccess
O4 - Global Startup: Exécution de la tâche.LNK = C:\LDClient\AMCLIENT.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Prise d'inventaire.LNK = C:\LDClient\LDISCN32.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind13.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://misoaa.lagardre-active.com
O15 - Trusted Zone: http://misprj.lagardre-active.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_glob.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/FVBcmNXAy44qd730urhF.chm::/on-line.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c5.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/17f2554183853cc6e405/netzip/RdxIE601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_mp3.cab
O16 - DPF: {83252F41-71B7-492E-8B2E-A68AA3E301E7} (Ulysse Class) - http://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Penelope.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) - http://misoaa.lagardere-active.com:8000/jinitiator/oajinit.exe
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://www.advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR.cab
O16 - DPF: {C9269872-E3D6-4811-8E5E-835CA8CBD0B3} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1042_FR_XP.cab
O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www5.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.41optYplkOmji/SpySpotterCabInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: NameServer = 193.252.19.3,192.252.19.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: NameServer = 193.252.19.3,192.252.19.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CS2\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: NameServer = 193.252.19.3,192.252.19.4
O18 - Filter: text/html - {E8D8871B-C66C-4625-B3BB-18A181239677} - C:\Documents and Settings\e2\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel Local Scheduler Service - LANDesk Software Ltd. - C:\LDClient\LOCALSCH.EXE
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\cba\pds.exe
O23 - Service: Intel QIP Client Service - LANDesk® Software Ltd. - C:\LDClient\QIPCLNT.EXE
O23 - Service: Intel Targeted Multicast - LANDesk® Software Ltd. - C:\LDClient\tmcsvc.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\notes\ntmulti.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\Rtvscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Intel Remote Control Service (Wuser32) - LANDesk® Software Ltd. - C:\LDClient\wuser32.exe
Ca a l'air bourré de spys :s
De + j'ai la toolbar google dans IE qui bloque les popups, mais certains genre Winfixer etc s'affichent quand meme.
Help plz :(
Logfile of HijackThis v1.99.1
Scan saved at 14:58:32, on 08/21/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\NavNT\DefWatch.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\svchost.exe
C:\LDClient\LOCALSCH.EXE
C:\WINNT\system32\cba\pds.exe
C:\LDClient\QIPCLNT.EXE
C:\LDClient\tmcsvc.exe
C:\notes\ntmulti.exe
C:\Program Files\NavNT\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\LDClient\wuser32.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\LDCLIENT\SDISTHK.EXE
C:\WINNT\Explorer.EXE
C:\LDClient\SOFTMON.EXE
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\NavNT\vptray.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\Pfrmuu\Xikm.exe
C:\Program Files\WinFixer 2005\wfx5.exe
C:\program files\180searchassistant\salm.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\DOCUME~1\e2\LOCALS~1\Temp\bundle_cdt1006.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\rundll32.exe
C:\program files\internet explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\program files\internet explorer\iexplore.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\mIRC\mirc.exe
C:\program files\internet explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
D:\Mes images\iMeshV5.exe
C:\program files\internet explorer\iexplore.exe
D:\Mes images\HijackThis.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
C:\Program Files\HbTools\Bin\4.6.2.0\HbtSrv.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oemji.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oemji.com/side_search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,,C:\LDCLIENT\SDISTHK.EXE,C:\LDClient\SOFTMON.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Program Files\Oemji\Toolbar\PopupBlocker\PBHelper.dll
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho13.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll (file missing)
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Program Files\Oemji\Toolbar\OemjiSrc.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [IntelAPMClient] C:\LDClient\amclient.exe /apm /s /bw=WAN
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [spsrgn] C:\WINNT\spsrgn.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [ywrb5Tb] C:\WINNT\barou.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Zqoocg] C:\Program Files\Pfrmuu\Xikm.exe
O4 - HKLM\..\Run: [ErrorGuard] C:\Program Files\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.6.2.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.6.2.0\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\wfx5.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\e2\LOCALS~1\Temp\bundle_cdt1006.exe run
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1042.dll,InstantAccess
O4 - Global Startup: Exécution de la tâche.LNK = C:\LDClient\AMCLIENT.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Prise d'inventaire.LNK = C:\LDClient\LDISCN32.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind13.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://misoaa.lagardre-active.com
O15 - Trusted Zone: http://misprj.lagardre-active.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_glob.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/FVBcmNXAy44qd730urhF.chm::/on-line.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c5.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/17f2554183853cc6e405/netzip/RdxIE601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_mp3.cab
O16 - DPF: {83252F41-71B7-492E-8B2E-A68AA3E301E7} (Ulysse Class) - http://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Penelope.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) - http://misoaa.lagardere-active.com:8000/jinitiator/oajinit.exe
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://www.advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR.cab
O16 - DPF: {C9269872-E3D6-4811-8E5E-835CA8CBD0B3} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1042_FR_XP.cab
O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www5.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.41optYplkOmji/SpySpotterCabInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: NameServer = 193.252.19.3,192.252.19.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: NameServer = 193.252.19.3,192.252.19.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CS2\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: NameServer = 193.252.19.3,192.252.19.4
O18 - Filter: text/html - {E8D8871B-C66C-4625-B3BB-18A181239677} - C:\Documents and Settings\e2\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel Local Scheduler Service - LANDesk Software Ltd. - C:\LDClient\LOCALSCH.EXE
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\cba\pds.exe
O23 - Service: Intel QIP Client Service - LANDesk® Software Ltd. - C:\LDClient\QIPCLNT.EXE
O23 - Service: Intel Targeted Multicast - LANDesk® Software Ltd. - C:\LDClient\tmcsvc.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\notes\ntmulti.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\Rtvscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Intel Remote Control Service (Wuser32) - LANDesk® Software Ltd. - C:\LDClient\wuser32.exe
Ca a l'air bourré de spys :s
De + j'ai la toolbar google dans IE qui bloque les popups, mais certains genre Winfixer etc s'affichent quand meme.
Help plz :(
A voir également:
- Infection de partout
- Infection Bloom ? ✓ - Forum Virus
- Infection ad.doubleclick.net ✓ - Forum Virus
- Infection FileRepMetagen - Forum Virus
- Infection WonderShare ✓ - Forum Virus
- Infection winrmsrv ✓ - Forum Virus
9 réponses
Bonjour,
Avant de commencer, oemji tu t en sers, c est toi qui l utilise volontairement? si oui ne coche pas ce qui se rapporte a lui si dessou(je te les mets en gras)
Méthode a suivre dans l'ordre...
----------------------------------------------------------------------------
¤Télécharge ces logiciels mais que tu n utilises pas tout de suite:
1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.html
Démo d utilisation (merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourra le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo ici d'utilisation:(merci a Moe31 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf
3/Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
----------------------------------------------------------------------------
¤Démarre en mode sans échec :
Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer !
----------------------------------------------------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as télécharger avant)
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
----------------------------------------------------------------------------
¤Relance Hijack This, coche les cases devant ces lignes et ensuite click sur fix checked :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oemji.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oemji.com/side_search.html
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho13.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll (file missing)
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Program Files\Oemji\Toolbar\OemjiSrc.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O4 - HKLM\..\Run: [spsrgn] C:\WINNT\spsrgn.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [ywrb5Tb] C:\WINNT\barou.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Zqoocg] C:\Program Files\Pfrmuu\Xikm.exe
O4 - HKLM\..\Run: [ErrorGuard] C:\Program Files\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.6.2.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.6.2.0\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\wfx5.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\e2\LOCALS~1\Temp\bundle_cdt1006.exe run
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1042.dll,InstantAccess
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind13.dll (file missing)
O15 - Trusted Zone: http://misoaa.lagardre-active.com
O15 - Trusted Zone: http://misprj.lagardre-active.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_glob.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/FVBcmNXAy44qd730urhF.chm::/on-line.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c5.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_mp3.cab
O16 - DPF: {83252F41-71B7-492E-8B2E-A68AA3E301E7} (Ulysse Class) - http://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Penelope.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) - http://misoaa.lagardere-active.com:8000/jinitiator/oajinit.exe
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) -
http://www.advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR.cab
O16 - DPF: {C9269872-E3D6-4811-8E5E-835CA8CBD0B3} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1042_FR_XP.cab
O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.41optYplkOmji/SpySpotterCabInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CS2\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O18 - Filter: text/html - {E8D8871B-C66C-4625-B3BB-18A181239677} - C:\Documents and Settings\e2\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
---------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si present)
c:\program files\180searchassistant
C:\Program Files\HbTools
C:\Program Files\SideFind
C:\Program Files\Oemji
C:\Program Files\ISTbar
C:\WINNT\spsrgn.exe
C:\Program Files\ISTsvc
C:\WINNT\barou.exe
C:\Program Files\Power Scan
C:\Program Files\Pfrmuu
C:\Program Files\ErrorGuard
C:\Program Files\WinFixer 2005
C:\Program Files\Media Gateway
"C:\Program Files\Internet Optimizer
----------------------------------------------------------------------------
En "mode sans échec" (soit par redémarrage+touche F8 ou par la commande "msconfig" et là vous cochez "Safeboot" dans "BOOT.INI"
- Une fois en mode sans échec tu click sur démarrer, puis "exécuter" et tapez "regedit"... là vous vous faites le chemin suivant : HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run :Instant Access REG_SZ rundll32.exe EGDHTM_1024.dll,Instant Access et vous supprimez !
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : UninstallString
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : DisplayName
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
- Si vous trouvez également le fichier navpmc à cet endroit vous le supprimez également.
- Ensuite vous supprimez tous les raccourcis vers "instant access"
----------------------------------------------------------------------------
¤ Passe adaware et vire tous se qu il trouve
----------------------------------------------------------------------------
¤ Passe spybot et vire tous se qu il trouve
----------------------------------------------------------------------------
> Tu vide ta poubelle et tu redémarre en mode normal et refait un Hijack
Précise tes soucis si il en restes....
Tiens moi au courant
a+
Avant de commencer, oemji tu t en sers, c est toi qui l utilise volontairement? si oui ne coche pas ce qui se rapporte a lui si dessou(je te les mets en gras)
Méthode a suivre dans l'ordre...
----------------------------------------------------------------------------
¤Télécharge ces logiciels mais que tu n utilises pas tout de suite:
1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.html
Démo d utilisation (merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourra le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo ici d'utilisation:(merci a Moe31 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf
3/Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
----------------------------------------------------------------------------
¤Démarre en mode sans échec :
Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer !
----------------------------------------------------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as télécharger avant)
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
----------------------------------------------------------------------------
¤Relance Hijack This, coche les cases devant ces lignes et ensuite click sur fix checked :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oemji.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oemji.com/side_search.html
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho13.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll (file missing)
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Program Files\Oemji\Toolbar\OemjiSrc.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O4 - HKLM\..\Run: [spsrgn] C:\WINNT\spsrgn.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [ywrb5Tb] C:\WINNT\barou.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Zqoocg] C:\Program Files\Pfrmuu\Xikm.exe
O4 - HKLM\..\Run: [ErrorGuard] C:\Program Files\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.6.2.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.6.2.0\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\wfx5.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\e2\LOCALS~1\Temp\bundle_cdt1006.exe run
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1042.dll,InstantAccess
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind13.dll (file missing)
O15 - Trusted Zone: http://misoaa.lagardre-active.com
O15 - Trusted Zone: http://misprj.lagardre-active.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_glob.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/FVBcmNXAy44qd730urhF.chm::/on-line.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c5.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_mp3.cab
O16 - DPF: {83252F41-71B7-492E-8B2E-A68AA3E301E7} (Ulysse Class) - http://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Penelope.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) - http://misoaa.lagardere-active.com:8000/jinitiator/oajinit.exe
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) -
http://www.advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR.cab
O16 - DPF: {C9269872-E3D6-4811-8E5E-835CA8CBD0B3} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1042_FR_XP.cab
O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.41optYplkOmji/SpySpotterCabInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CS2\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O18 - Filter: text/html - {E8D8871B-C66C-4625-B3BB-18A181239677} - C:\Documents and Settings\e2\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
---------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si present)
c:\program files\180searchassistant
C:\Program Files\HbTools
C:\Program Files\SideFind
C:\Program Files\Oemji
C:\Program Files\ISTbar
C:\WINNT\spsrgn.exe
C:\Program Files\ISTsvc
C:\WINNT\barou.exe
C:\Program Files\Power Scan
C:\Program Files\Pfrmuu
C:\Program Files\ErrorGuard
C:\Program Files\WinFixer 2005
C:\Program Files\Media Gateway
"C:\Program Files\Internet Optimizer
----------------------------------------------------------------------------
En "mode sans échec" (soit par redémarrage+touche F8 ou par la commande "msconfig" et là vous cochez "Safeboot" dans "BOOT.INI"
- Une fois en mode sans échec tu click sur démarrer, puis "exécuter" et tapez "regedit"... là vous vous faites le chemin suivant : HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run :Instant Access REG_SZ rundll32.exe EGDHTM_1024.dll,Instant Access et vous supprimez !
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : UninstallString
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : DisplayName
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
- Si vous trouvez également le fichier navpmc à cet endroit vous le supprimez également.
- Ensuite vous supprimez tous les raccourcis vers "instant access"
----------------------------------------------------------------------------
¤ Passe adaware et vire tous se qu il trouve
----------------------------------------------------------------------------
¤ Passe spybot et vire tous se qu il trouve
----------------------------------------------------------------------------
> Tu vide ta poubelle et tu redémarre en mode normal et refait un Hijack
Précise tes soucis si il en restes....
Tiens moi au courant
a+
Merci ! Merci beaucoup Regis59 !
J'ai (partiellement) fait ce que tu m'as dis sur le pc en question, car manque de temps ...
ET CA MARCHE !!!
Je recommencerais demain à cocher les quelques lignes non accomplies suivant ta methode, et je te copierai le log Hijackthis si ça ne te derange pas.
Par contre, du PC où je suis (le mien), j'ai un autre petit probleme.
Hier soir en cliquant sur une banniere, je me suis retrouvé sur un site, ensuite redirigé sur un site de phreakers. Là rien de grave (c'est leur droit d'emmerder France Telecom ..), jusqu'à c'qu'une alerte de Norton me signale un virus, que je n'ai pas eu le temps de suppr.
Le PC a redémarré à mon insu, certainement trojanté.
Rien de suspect ne s'est manifesté jusqu'à ce que je veuille imprimer un document .txt (ton rapport sur le hijackthis en fait).
Et là, lors de l'impression, c'est le drame :
Nouvelle alerte, me signalant que le fichier C:\windows\TEMP\~EMF1160.TMP est infecté par Bloodhound.Exploit.6
A la vue du mot Exploit j'ai commencé à m'inquiéter.
Aussi est apparu un nouveau processus dans mon gestionnaire des taches : Hpzstatx.
J'ai vu sur un forum qu'il se situait dans le dossier System.
J'ai donc killé le processus, puis supp Hpzstatx.exe dans C:\windows\system. Mais cela ne resoud pas mon probleme de Bloodhount.Exploit.6
(je m'en vais de ce pas faire un scan en ligne sur secuser et ravantivirus)
Si tu en sais un peu + que moi sur ce virus, pourrais-tu m'aider stp ?
Merci encore de m'avoir guidé pour la desinfection du pc "parental" :)
J'ai (partiellement) fait ce que tu m'as dis sur le pc en question, car manque de temps ...
ET CA MARCHE !!!
Je recommencerais demain à cocher les quelques lignes non accomplies suivant ta methode, et je te copierai le log Hijackthis si ça ne te derange pas.
Par contre, du PC où je suis (le mien), j'ai un autre petit probleme.
Hier soir en cliquant sur une banniere, je me suis retrouvé sur un site, ensuite redirigé sur un site de phreakers. Là rien de grave (c'est leur droit d'emmerder France Telecom ..), jusqu'à c'qu'une alerte de Norton me signale un virus, que je n'ai pas eu le temps de suppr.
Le PC a redémarré à mon insu, certainement trojanté.
Rien de suspect ne s'est manifesté jusqu'à ce que je veuille imprimer un document .txt (ton rapport sur le hijackthis en fait).
Et là, lors de l'impression, c'est le drame :
Nouvelle alerte, me signalant que le fichier C:\windows\TEMP\~EMF1160.TMP est infecté par Bloodhound.Exploit.6
A la vue du mot Exploit j'ai commencé à m'inquiéter.
Aussi est apparu un nouveau processus dans mon gestionnaire des taches : Hpzstatx.
J'ai vu sur un forum qu'il se situait dans le dossier System.
J'ai donc killé le processus, puis supp Hpzstatx.exe dans C:\windows\system. Mais cela ne resoud pas mon probleme de Bloodhount.Exploit.6
(je m'en vais de ce pas faire un scan en ligne sur secuser et ravantivirus)
Si tu en sais un peu + que moi sur ce virus, pourrais-tu m'aider stp ?
Merci encore de m'avoir guidé pour la desinfection du pc "parental" :)
PS : (oemji ma mere ne savait meme pas où elle l'a dégoté, je l'ai donc viré via Hijackthis puis des repertoires appropriés dans le lecteur C)
re,
pour le log j ai analyser pas de soucis, continue et remet s en un apres
pour l autre utilise clean up (tu as le lien en 3/ au dessu) puis met un hijack this aussi
tu vois?
a+
pour le log j ai analyser pas de soucis, continue et remet s en un apres
pour l autre utilise clean up (tu as le lien en 3/ au dessu) puis met un hijack this aussi
tu vois?
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
attention regis explique bien quand tu dit de suppr dans le registre que c est pas la clef a suppr mais la valeur
Euh là, j'ai peut etre fait une betise ...
Mais je n'ai suppr que les dossiers portant le nom de ces trojs/spys (OemjiSearchPlus, HbTools, etc ..)
Je vais poster le Hijackthis de MON pc dans un autre sujet où j'expliquerai mon probleme avec le virus Bloodhound.Exploit.6
Histoire de ne pas mélanger le pbm des 2 ordis et d'avoir (peut-etre) l'explication d'une personne connaissant ce virii.
Mais je n'ai suppr que les dossiers portant le nom de ces trojs/spys (OemjiSearchPlus, HbTools, etc ..)
Je vais poster le Hijackthis de MON pc dans un autre sujet où j'expliquerai mon probleme avec le virus Bloodhound.Exploit.6
Histoire de ne pas mélanger le pbm des 2 ordis et d'avoir (peut-etre) l'explication d'une personne connaissant ce virii.
C est cette partie ci que balltrap fait reference
En "mode sans échec" (soit par redémarrage+touche F8 ou par la commande "msconfig" et là vous cochez "Safeboot" dans "BOOT.INI"
- Une fois en mode sans échec tu click sur démarrer, puis "exécuter" et tapez "regedit"... là vous vous faites le chemin suivant : HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run :Instant Access REG_SZ rundll32.exe EGDHTM_1024.dll,Instant Access et vous supprimez !
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : UninstallString
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : DisplayName
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
En effet ne supprime pas la clé entiere mais uniquement la valeur ! (je pense que t etais pas neuneu pour comprendre ca lol)
En "mode sans échec" (soit par redémarrage+touche F8 ou par la commande "msconfig" et là vous cochez "Safeboot" dans "BOOT.INI"
- Une fois en mode sans échec tu click sur démarrer, puis "exécuter" et tapez "regedit"... là vous vous faites le chemin suivant : HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run :Instant Access REG_SZ rundll32.exe EGDHTM_1024.dll,Instant Access et vous supprimez !
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : UninstallString
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : DisplayName
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
En effet ne supprime pas la clé entiere mais uniquement la valeur ! (je pense que t etais pas neuneu pour comprendre ca lol)
