Problème avec cmd.exe

steal -  
 Utilisateur anonyme -
Bonsoir,

Depuis quelques jours, lorsque je me connecte,voici ce qui s'ouvre :

C:/WINDOWS/System32/cmd.exe

Dans la fenêtre, cela s'éxécute et ce texte s'affiche :

Erreur : le système n'a pas pu trouver la clé ou la valeur de regsitre spécifié.

C'est un problème spécifique récent, lié à la sécurité de windows?

Comment puis-je protéger mon ordi, j'ai un antivirus que je mets à jour, spybot et adaware.

Merci pour votre aide.
Configuration: windows xp Sp1 (ne peut pas installé sp2)
pc packard bell

81 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Le problème décrit implique l'ouverture automatique de C:\WINDOWS\System32\cmd.exe et l'affichage d'une erreur de registre sur Windows XP SP1, signalant une potentielle infection et une conséquence de sécurité récente. Des recommandations incluent l'installation d'un pare-feu gratuit (Zone Alarm, Kerio ou Sygate) et des scans antivirus via des outils comme BitDefender Online Scanner ou HijackThis pour détecter les éléments malveillants. Plusieurs propositions suggèrent de nettoyer les éléments locaux identifiés, de désactiver ou supprimer les composants indésirables, et de vérifier des fichiers suspects dans des emplacements comme C:\Submit et les entrées de démarrage. En cas d'échec des premières mesures, certaines pistes évoquent la désactivation de la restauration système et le nettoyage approfondi via des outils de désinfection en mode veille ou hors connexion.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    salut

    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijack
    et surtout pas dans un dossier temporaire (temp)
    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
    Si tu as du mal, regarde ceci:
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    a+
    0
  2. steal
     
    Voici ce qui s'affiche avant :

    You have an particularly large amount of hijacked domains. It's probably better to delete the file itself then to fix each item (and create a back up).

    If you see the same IP adress in all the reported 01 items, consider deleting your hosts file, which is located :

    C:/WINDO/System32/drivers/etc/hosts

    Qu'est-ce que cela signifie?
    0
  3. steal
     
    Précision, je ne me sers plus d'internet explorer mais de firefox!

    Voilà le scan

    Logfile of HijackThis v1.99.1
    Scan saved at 20:11:45, on 07/09/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDO\System32\smss.exe
    C:\WINDO\system32\winlogon.exe
    C:\WINDO\system32\services.exe
    C:\WINDO\system32\lsass.exe
    C:\WINDO\system32\svchost.exe
    C:\WINDO\System32\svchost.exe
    C:\WINDO\Explorer.EXE
    C:\WINDO\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    C:\WINDO\System32\spooler.exe
    C:\WINDO\System32\svchost.exe
    C:\WINDO\wordpad.exe
    C:\WINDO\System32\msmsngr.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDO\System32\task32w.exe
    C:\Documents and Settings\PETIOT\Mes documents\Diverses installations\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
    R3 - Default URLSearchHook is missing
    O1 - Hosts: 128.250.24.62 onlineaccounts2.abbeynational.co.uk
    O1 - Hosts: 128.250.24.62 www3.aibgbonline.co.uk
    O1 - Hosts: 128.250.24.62 www.bank.alliance-leicester.co.uk
    O1 - Hosts: 128.250.24.62 login.iblogin.com
    O1 - Hosts: 128.250.24.62 ww2.bankofscotlandhalifax-online.co.uk
    O1 - Hosts: 128.250.24.62 inet.barclays.co.uk
    O1 - Hosts: 128.250.24.62 iibank.barclays.co.uk
    O1 - Hosts: 128.250.24.62 iibank.cahoot.com
    O1 - Hosts: 128.250.24.62 www3.coventrybuildingsociety.co.uk
    O1 - Hosts: 128.250.24.62 ww.hsbc.co.uk
    O1 - Hosts: 128.250.24.62 login.ebank.offshore.hsbc.co.je
    O1 - Hosts: 128.250.24.62 ww3.online-offshore.lloydstsb.com
    O1 - Hosts: 128.250.24.62 ww3.online-business.lloydstsb.co.uk
    O1 - Hosts: 128.250.24.62 ww3.online.lloydstsb.co.uk
    O1 - Hosts: 128.250.24.62 ww3.online.lloydstsb.co.uk
    O1 - Hosts: 128.250.24.62 ww3.online-business.lloydstsb.co.uk
    O1 - Hosts: 128.250.24.62 ob2.nationet.com
    O1 - Hosts: 128.250.24.62 ww3.onlinebanking.natwestoffshore.com
    O1 - Hosts: 128.250.24.62 ww1.nwolb.com
    O1 - Hosts: 128.250.24.62 ww1.onlinebanking.iombank.com
    O1 - Hosts: 128.250.24.62 ww1.www.rbsdigital.com
    O1 - Hosts: 128.250.24.62 welcome.smile.co.uk
    O1 - Hosts: 128.250.24.62 login.365online.com
    O1 - Hosts: 128.250.24.62 wvw.citizensbankonline.com
    O1 - Hosts: 128.250.24.62 esecure.regionsnet.com
    O1 - Hosts: 128.250.24.62 rollb.associatedbank.com
    O1 - Hosts: 128.250.24.62 upb.unionplanters.com
    O1 - Hosts: 128.250.24.62 www.onlinebanking.huntington.com
    O1 - Hosts: 128.250.24.62 inet.southtrustonlinebanking.com
    O1 - Hosts: 128.250.24.62 logon.personal.wamu.com
    O1 - Hosts: 128.250.24.62 login.compassweb.com
    O1 - Hosts: 128.250.24.62 logon.firstmeritib.com
    O1 - Hosts: 128.250.24.62 login.ccfcuonline.org
    O1 - Hosts: 128.250.24.62 ww3.etimebanker.bankofthewest.com
    O1 - Hosts: 128.250.24.62 ww2.onlinebanking.lasallebank.com
    O1 - Hosts: 128.250.24.62 wvw.totallyfreebanking.com
    O1 - Hosts: 128.250.24.62 www.online.wellsfargo.com
    O1 - Hosts: 128.250.24.62 www.onlinebanking.bankofoklahoma.com
    O1 - Hosts: 128.250.24.62 accounts4.keybank.com
    O1 - Hosts: 128.250.24.62 logon.bankone.com
    O1 - Hosts: 128.250.24.62 www.secure.tdbanknorth.com
    O1 - Hosts: 128.250.24.62 www.secure.mvnt4.com
    O1 - Hosts: 128.250.24.62 ww.mynfbonline.com
    O1 - Hosts: 128.250.24.62 login.forumcuonline.com
    O1 - Hosts: 128.250.24.62 www.eds.usersonlnet.com
    O1 - Hosts: 128.250.24.62 www.onlineid.bankofamerica.com
    O1 - Hosts: 128.250.24.62 wvw.e-gold.com
    O1 - Hosts: 128.250.24.62 pcbs.peoples.com
    O1 - Hosts: 128.250.24.62 www.global1.onlinebank.com
    O1 - Hosts: 128.250.24.62 ww2.mybranch.lafcu.com
    O1 - Hosts: 128.250.24.62 login.webbanking.comerica.com
    O1 - Hosts: 128.250.24.62 web.banking.firsttennessee.com
    O1 - Hosts: 128.250.24.62 logon.members1st.org
    O1 - Hosts: 128.250.24.62 www.cib.ibanking-services.com
    O1 - Hosts: 128.250.24.62 www.miwebbusbank.ebanking-services.com
    O1 - Hosts: 128.250.24.62 wvw.paypal.com
    O1 - Hosts: 128.250.24.62 www.signin.ebay.com
    O1 - Hosts: 128.250.24.62 wvw.etrade.com
    O1 - Hosts: 128.250.24.62 ww4.fleethomelink.fleet.com
    O1 - Hosts: 128.250.24.62 ww3.connect.skyfi.com
    O1 - Hosts: 128.250.24.62 www6.usbank.com
    O1 - Hosts: 128.250.24.62 www.bvi.bancodevalencia.es
    O1 - Hosts: 128.250.24.62 extrant.banesto.es
    O1 - Hosts: 128.250.24.62 banesnt.banesto.es
    O1 - Hosts: 128.250.24.62 activia.caixagalicia.es
    O1 - Hosts: 128.250.24.62 www.bancae.caixapenedes.com
    O1 - Hosts: 128.250.24.62 login.caixasabadell.net
    O1 - Hosts: 128.250.24.62 oii.cajamadrid.es
    O1 - Hosts: 128.250.24.62 login.cajamar.es
    O1 - Hosts: 128.250.24.62 login.ccm.es
    O1 - Hosts: 128.250.24.62 ww.unicaja.es
    O1 - Hosts: 128.250.24.62 www5.bancopopular.es
    O1 - Hosts: 128.250.24.62 ww3.bbvanet.com
    O1 - Hosts: 128.250.24.62 ww.bayernlb.de
    O1 - Hosts: 128.250.24.62 ww2.berliner-volksbank.de
    O1 - Hosts: 128.250.24.62 ww7.homebanking-berlin.de
    O1 - Hosts: 128.250.24.62 portal09.commerzbanking.de
    O1 - Hosts: 128.250.24.62 www.meine.deutsche-bank.de
    O1 - Hosts: 128.250.24.62 ww2.dresdner-privat.de
    O1 - Hosts: 128.250.24.62 ww.e-banking.helaba.de
    O1 - Hosts: 128.250.24.62 ww.hsh-nordbank.de
    O1 - Hosts: 128.250.24.62 www.my.hypovereinsbank.de
    O1 - Hosts: 128.250.24.62 ww3.homebanking-berlin.de
    O1 - Hosts: 128.250.24.62 ww3.homebanking-berlin.de
    O1 - Hosts: 128.250.24.62 www.banking.lbbw.de
    O1 - Hosts: 128.250.24.62 lrp.sparkasse-banking.de
    O1 - Hosts: 128.250.24.62 ww3.homebanking-niedersachsen.de
    O1 - Hosts: 128.250.24.62 www.onlinebanking.norisbank.de
    O1 - Hosts: 128.250.24.62 www.banking.postbank.de
    O1 - Hosts: 128.250.24.62 wvw.internetbanking.gad.de
    O1 - Hosts: 128.250.24.62 ww1.portal.izb.de
    O1 - Hosts: 128.250.24.62 wvw.kunden-service.lbs.de
    O1 - Hosts: 128.250.24.62 ibanking.seb.de
    O1 - Hosts: 128.250.24.62 bw7.sparkasse-banking.de
    O1 - Hosts: 128.250.24.62 ww2.homebanking-sparkasse.de
    O1 - Hosts: 128.250.24.62 ww2.vr-networld-ebanking.de
    O1 - Hosts: 128.250.24.62 ww.bics.fr
    O1 - Hosts: 128.250.24.62 www.co.caixabank.fr
    O1 - Hosts: 128.250.24.62 ww.creditmutuel.fr
    O1 - Hosts: 128.250.24.62 internetbank.intesabci.it
    O1 - Hosts: 128.250.24.62 ww.extensive.bancalombarda.it
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Microsoft Java Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\WINDO\System32\dllcache\java.dll
    O4 - HKLM\..\Run: [msmsngr] C:\WINDO\System32\msmsngr.exe
    O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
    O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
    O4 - HKLM\..\RunServices: [notes] notes.exe
    O4 - HKLM\..\RunServices: [RcNB Test] blda32a.exe
    O4 - HKLM\..\RunServices: [Internet2 Optimizer] wkfix.exe
    O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
    O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
    O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
    O10 - Unknown file in Winsock LSP: c:\windo\system32\winlspak.dll
    O10 - Unknown file in Winsock LSP: c:\windo\system32\winlspak.dll
    O10 - Unknown file in Winsock LSP: c:\windo\system32\winlspak.dll
    O10 - Unknown file in Winsock LSP: c:\windo\system32\winlspak.dll
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDO\System32\spooler.exe
    O23 - Service: wordpad - Unknown owner - C:\WINDO\wordpad.exe
    0
  4. Utilisateur anonyme
     
    salut

    il dit que ton fichier host est hijacké
    Est ce que tu es souvent redirigé, c'est à dire quand tu veux aller sur certains sites et que tu atteris sur un autre ?
    est ce que tu peux faire ceci:
    lance hijackthis puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message ?

    il faudrait que tu puisse mettre le rapport
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    ne tiens pas compte de mon dernier post j'avais pas vu le rapport et apparement il à l'air bien chargé.
    0
  7. steal
     
    Il n' y a plus personne pour m'aider ????
    0
  8. steal
     
    Je n'arrive pas à avoir de rapport, alors j'ai emandéé à avoir le résultat dans ma boite mail, toujours rien pour le moment!!!

    Sinon le second fichier, je ne le trouve pas....
    0
  9. steal
     
    Je fais donc un scan avec ad aware car la fenetre s'est de nouveau ouverte cmd.exe....
    0
  10. Utilisateur anonyme
     
    le 1er est mauvais c'est sur :
    http://castlecops.com/lsp-151.html

    pour le second, au lieu de le rechercher, tu copie et colle directement le chemin du fichier dans la boite de dialogue
    C:\WINDO\wordpad.exe
    0
  11. steal
     
    oui toujours là j'ai eu un bug le temps de scanner!!

    Donc, que dois-je faire pour éradiquer ces problèmes? tu me dis que lme premier est mauvais???
    0
  12. Utilisateur anonyme
     
    on va commencer d'abord par virer les ligne 010 dans hijack (winlspak.dll)

    il faut un prog pour ca:
    http://www.cexx.org/LSPFix.exe

    lance LSPFIX
    agrandi la fenetre du prog, sinon on voit pas le bouton "finish"

    Coche 'I know what I'm doing'

    Dans la colonne de gauche (KEEP) selectionne winlspak.dll (et surtout rien d'autre, attention ! tu peux perdre ta connection internet) et tu le fais passer dans la colonne de droite (REMOVE).
    (tu peux le faire glisser avec la souris ou te servir des fleches dans la barre du milieu)
    clic sur finish

    redemarre le pc et reposte un hijack
    0
  13. steal
     
    voilà le new scan :

    Logfile of HijackThis v1.99.1
    Scan saved at 21:33:05, on 07/09/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDO\System32\smss.exe
    C:\WINDO\system32\winlogon.exe
    C:\WINDO\system32\services.exe
    C:\WINDO\system32\lsass.exe
    C:\WINDO\system32\svchost.exe
    C:\WINDO\System32\svchost.exe
    C:\WINDO\system32\spoolsv.exe
    C:\WINDO\Explorer.EXE
    C:\WINDO\System32\msmsngr.exe
    C:\WINDO\System32\task32w.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    C:\WINDO\System32\spooler.exe
    C:\WINDO\System32\svchost.exe
    C:\WINDO\wordpad.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\PETIOT\Mes documents\Diverses installations\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
    R3 - Default URLSearchHook is missing
    O1 - Hosts: 128.250.24.62 onlineaccounts2.abbeynational.co.uk
    O1 - Hosts: 128.250.24.62 www3.aibgbonline.co.uk
    O1 - Hosts: 128.250.24.62 www.bank.alliance-leicester.co.uk
    O1 - Hosts: 128.250.24.62 login.iblogin.com
    O1 - Hosts: 128.250.24.62 ww2.bankofscotlandhalifax-online.co.uk
    O1 - Hosts: 128.250.24.62 inet.barclays.co.uk
    O1 - Hosts: 128.250.24.62 iibank.barclays.co.uk
    O1 - Hosts: 128.250.24.62 iibank.cahoot.com
    O1 - Hosts: 128.250.24.62 www3.coventrybuildingsociety.co.uk
    O1 - Hosts: 128.250.24.62 ww.hsbc.co.uk
    O1 - Hosts: 128.250.24.62 login.ebank.offshore.hsbc.co.je
    O1 - Hosts: 128.250.24.62 ww3.online-offshore.lloydstsb.com
    O1 - Hosts: 128.250.24.62 ww3.online-business.lloydstsb.co.uk
    O1 - Hosts: 128.250.24.62 ww3.online.lloydstsb.co.uk
    O1 - Hosts: 128.250.24.62 ww3.online.lloydstsb.co.uk
    O1 - Hosts: 128.250.24.62 ww3.online-business.lloydstsb.co.uk
    O1 - Hosts: 128.250.24.62 ob2.nationet.com
    O1 - Hosts: 128.250.24.62 ww3.onlinebanking.natwestoffshore.com
    O1 - Hosts: 128.250.24.62 ww1.nwolb.com
    O1 - Hosts: 128.250.24.62 ww1.onlinebanking.iombank.com
    O1 - Hosts: 128.250.24.62 ww1.www.rbsdigital.com
    O1 - Hosts: 128.250.24.62 welcome.smile.co.uk
    O1 - Hosts: 128.250.24.62 login.365online.com
    O1 - Hosts: 128.250.24.62 wvw.citizensbankonline.com
    O1 - Hosts: 128.250.24.62 esecure.regionsnet.com
    O1 - Hosts: 128.250.24.62 rollb.associatedbank.com
    O1 - Hosts: 128.250.24.62 upb.unionplanters.com
    O1 - Hosts: 128.250.24.62 www.onlinebanking.huntington.com
    O1 - Hosts: 128.250.24.62 inet.southtrustonlinebanking.com
    O1 - Hosts: 128.250.24.62 logon.personal.wamu.com
    O1 - Hosts: 128.250.24.62 login.compassweb.com
    O1 - Hosts: 128.250.24.62 logon.firstmeritib.com
    O1 - Hosts: 128.250.24.62 login.ccfcuonline.org
    O1 - Hosts: 128.250.24.62 ww3.etimebanker.bankofthewest.com
    O1 - Hosts: 128.250.24.62 ww2.onlinebanking.lasallebank.com
    O1 - Hosts: 128.250.24.62 wvw.totallyfreebanking.com
    O1 - Hosts: 128.250.24.62 www.online.wellsfargo.com
    O1 - Hosts: 128.250.24.62 www.onlinebanking.bankofoklahoma.com
    O1 - Hosts: 128.250.24.62 accounts4.keybank.com
    O1 - Hosts: 128.250.24.62 logon.bankone.com
    O1 - Hosts: 128.250.24.62 www.secure.tdbanknorth.com
    O1 - Hosts: 128.250.24.62 www.secure.mvnt4.com
    O1 - Hosts: 128.250.24.62 ww.mynfbonline.com
    O1 - Hosts: 128.250.24.62 login.forumcuonline.com
    O1 - Hosts: 128.250.24.62 www.eds.usersonlnet.com
    O1 - Hosts: 128.250.24.62 www.onlineid.bankofamerica.com
    O1 - Hosts: 128.250.24.62 wvw.e-gold.com
    O1 - Hosts: 128.250.24.62 pcbs.peoples.com
    O1 - Hosts: 128.250.24.62 www.global1.onlinebank.com
    O1 - Hosts: 128.250.24.62 ww2.mybranch.lafcu.com
    O1 - Hosts: 128.250.24.62 login.webbanking.comerica.com
    O1 - Hosts: 128.250.24.62 web.banking.firsttennessee.com
    O1 - Hosts: 128.250.24.62 logon.members1st.org
    O1 - Hosts: 128.250.24.62 www.cib.ibanking-services.com
    O1 - Hosts: 128.250.24.62 www.miwebbusbank.ebanking-services.com
    O1 - Hosts: 128.250.24.62 wvw.paypal.com
    O1 - Hosts: 128.250.24.62 www.signin.ebay.com
    O1 - Hosts: 128.250.24.62 wvw.etrade.com
    O1 - Hosts: 128.250.24.62 ww4.fleethomelink.fleet.com
    O1 - Hosts: 128.250.24.62 ww3.connect.skyfi.com
    O1 - Hosts: 128.250.24.62 www6.usbank.com
    O1 - Hosts: 128.250.24.62 www.bvi.bancodevalencia.es
    O1 - Hosts: 128.250.24.62 extrant.banesto.es
    O1 - Hosts: 128.250.24.62 banesnt.banesto.es
    O1 - Hosts: 128.250.24.62 activia.caixagalicia.es
    O1 - Hosts: 128.250.24.62 www.bancae.caixapenedes.com
    O1 - Hosts: 128.250.24.62 login.caixasabadell.net
    O1 - Hosts: 128.250.24.62 oii.cajamadrid.es
    O1 - Hosts: 128.250.24.62 login.cajamar.es
    O1 - Hosts: 128.250.24.62 login.ccm.es
    O1 - Hosts: 128.250.24.62 ww.unicaja.es
    O1 - Hosts: 128.250.24.62 www5.bancopopular.es
    O1 - Hosts: 128.250.24.62 ww3.bbvanet.com
    O1 - Hosts: 128.250.24.62 ww.bayernlb.de
    O1 - Hosts: 128.250.24.62 ww2.berliner-volksbank.de
    O1 - Hosts: 128.250.24.62 ww7.homebanking-berlin.de
    O1 - Hosts: 128.250.24.62 portal09.commerzbanking.de
    O1 - Hosts: 128.250.24.62 www.meine.deutsche-bank.de
    O1 - Hosts: 128.250.24.62 ww2.dresdner-privat.de
    O1 - Hosts: 128.250.24.62 ww.e-banking.helaba.de
    O1 - Hosts: 128.250.24.62 ww.hsh-nordbank.de
    O1 - Hosts: 128.250.24.62 www.my.hypovereinsbank.de
    O1 - Hosts: 128.250.24.62 ww3.homebanking-berlin.de
    O1 - Hosts: 128.250.24.62 ww3.homebanking-berlin.de
    O1 - Hosts: 128.250.24.62 www.banking.lbbw.de
    O1 - Hosts: 128.250.24.62 lrp.sparkasse-banking.de
    O1 - Hosts: 128.250.24.62 ww3.homebanking-niedersachsen.de
    O1 - Hosts: 128.250.24.62 www.onlinebanking.norisbank.de
    O1 - Hosts: 128.250.24.62 www.banking.postbank.de
    O1 - Hosts: 128.250.24.62 wvw.internetbanking.gad.de
    O1 - Hosts: 128.250.24.62 ww1.portal.izb.de
    O1 - Hosts: 128.250.24.62 wvw.kunden-service.lbs.de
    O1 - Hosts: 128.250.24.62 ibanking.seb.de
    O1 - Hosts: 128.250.24.62 bw7.sparkasse-banking.de
    O1 - Hosts: 128.250.24.62 ww2.homebanking-sparkasse.de
    O1 - Hosts: 128.250.24.62 ww2.vr-networld-ebanking.de
    O1 - Hosts: 128.250.24.62 ww.bics.fr
    O1 - Hosts: 128.250.24.62 www.co.caixabank.fr
    O1 - Hosts: 128.250.24.62 ww.creditmutuel.fr
    O1 - Hosts: 128.250.24.62 internetbank.intesabci.it
    O1 - Hosts: 128.250.24.62 ww.extensive.bancalombarda.it
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Microsoft Java Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\WINDO\System32\dllcache\java.dll
    O4 - HKLM\..\Run: [msmsngr] C:\WINDO\System32\msmsngr.exe
    O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
    O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
    O4 - HKLM\..\RunServices: [notes] notes.exe
    O4 - HKLM\..\RunServices: [RcNB Test] blda32a.exe
    O4 - HKLM\..\RunServices: [Internet2 Optimizer] wkfix.exe
    O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
    O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
    O4 - HKCU\..\Run: [MS taskbar W] task32w.exe
    O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDO\System32\spooler.exe
    O23 - Service: wordpad - Unknown owner - C:\WINDO\wordpad.exe
    0
  14. Utilisateur anonyme
     
    ok, voilà la suite de la manip:

    Imprime, ou enregistre la manip dans le bloc note pour etre sur ne rien oublier et de tout faire dans l'ordre

    Déconnecte toi d'internet:

    Ferme tout les programmes en cours

    Redémarre en mode sans échec
    Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Vide le cache de tous tes navigateurs et supprime les cookies:

    Pour Internet Explorer:
    * Panneau de configuration >> Options internet >> Onglet "Général"
    - Clic sur [supprimer les cookies]
    - Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
    Valide avec ok

    Pour Firefox:
    menu 'Outils' > Options
    icône 'Vie privée'
    rubrique Cache, appuyer sur le bouton "Vider le cache"
    rubrique Cookies appuyer sur le bouton "Effacer"
    valide ok

    Pour Mozilla
    Edition > Préférences > Avancé > Cache
    clic sur "Vider le cache"
    et pour les cookies:
    Outils > Gestionnaire de cookies > Gérer les cookies stockés
    clic sur "Supprimer les cookies"
    valider ok

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Dans le menu Demarrer>Executer >tape: Services.msc
    recherche le service avec cette orthographe exacte:
    Print Spooler
    et
    wordpad
    Double clic dessus et clic sur [arreter] puis dans :
    type de demarrage --> sélectionne désactivé.

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis et clic sur [do a system scan only]
    cocher la case au début des lignes suivantes:

    R3 - Default URLSearchHook is missing
    O1 - Hosts: 128.250.24.62 onlineaccounts2.abbeynational.co.uk
    O1 - Hosts: 128.250.24.62 www3.aibgbonline.co.uk
    O1 - Hosts: 128.250.24.62 www.bank.alliance-leicester.co.uk
    O1 - Hosts: 128.250.24.62 login.iblogin.com
    O1 - Hosts: 128.250.24.62 ww2.bankofscotlandhalifax-online.co.uk
    O1 - Hosts: 128.250.24.62 inet.barclays.co.uk
    O1 - Hosts: 128.250.24.62 iibank.barclays.co.uk
    O1 - Hosts: 128.250.24.62 iibank.cahoot.com
    O1 - Hosts: 128.250.24.62 www3.coventrybuildingsociety.co.uk
    O1 - Hosts: 128.250.24.62 ww.hsbc.co.uk
    O1 - Hosts: 128.250.24.62 login.ebank.offshore.hsbc.co.je
    O1 - Hosts: 128.250.24.62 ww3.online-offshore.lloydstsb.com
    O1 - Hosts: 128.250.24.62 ww3.online-business.lloydstsb.co.uk
    O1 - Hosts: 128.250.24.62 ww3.online.lloydstsb.co.uk
    O1 - Hosts: 128.250.24.62 ww3.online.lloydstsb.co.uk
    O1 - Hosts: 128.250.24.62 ww3.online-business.lloydstsb.co.uk
    O1 - Hosts: 128.250.24.62 ob2.nationet.com
    O1 - Hosts: 128.250.24.62 ww3.onlinebanking.natwestoffshore.com
    O1 - Hosts: 128.250.24.62 ww1.nwolb.com
    O1 - Hosts: 128.250.24.62 ww1.onlinebanking.iombank.com
    O1 - Hosts: 128.250.24.62 ww1.www.rbsdigital.com
    O1 - Hosts: 128.250.24.62 welcome.smile.co.uk
    O1 - Hosts: 128.250.24.62 login.365online.com
    O1 - Hosts: 128.250.24.62 wvw.citizensbankonline.com
    O1 - Hosts: 128.250.24.62 esecure.regionsnet.com
    O1 - Hosts: 128.250.24.62 rollb.associatedbank.com
    O1 - Hosts: 128.250.24.62 upb.unionplanters.com
    O1 - Hosts: 128.250.24.62 www.onlinebanking.huntington.com
    O1 - Hosts: 128.250.24.62 inet.southtrustonlinebanking.com
    O1 - Hosts: 128.250.24.62 logon.personal.wamu.com
    O1 - Hosts: 128.250.24.62 login.compassweb.com
    O1 - Hosts: 128.250.24.62 logon.firstmeritib.com
    O1 - Hosts: 128.250.24.62 login.ccfcuonline.org
    O1 - Hosts: 128.250.24.62 ww3.etimebanker.bankofthewest.com
    O1 - Hosts: 128.250.24.62 ww2.onlinebanking.lasallebank.com
    O1 - Hosts: 128.250.24.62 wvw.totallyfreebanking.com
    O1 - Hosts: 128.250.24.62 www.online.wellsfargo.com
    O1 - Hosts: 128.250.24.62 www.onlinebanking.bankofoklahoma.com
    O1 - Hosts: 128.250.24.62 accounts4.keybank.com
    O1 - Hosts: 128.250.24.62 logon.bankone.com
    O1 - Hosts: 128.250.24.62 www.secure.tdbanknorth.com
    O1 - Hosts: 128.250.24.62 www.secure.mvnt4.com
    O1 - Hosts: 128.250.24.62 ww.mynfbonline.com
    O1 - Hosts: 128.250.24.62 login.forumcuonline.com
    O1 - Hosts: 128.250.24.62 www.eds.usersonlnet.com
    O1 - Hosts: 128.250.24.62 www.onlineid.bankofamerica.com
    O1 - Hosts: 128.250.24.62 wvw.e-gold.com
    O1 - Hosts: 128.250.24.62 pcbs.peoples.com
    O1 - Hosts: 128.250.24.62 www.global1.onlinebank.com
    O1 - Hosts: 128.250.24.62 ww2.mybranch.lafcu.com
    O1 - Hosts: 128.250.24.62 login.webbanking.comerica.com
    O1 - Hosts: 128.250.24.62 web.banking.firsttennessee.com
    O1 - Hosts: 128.250.24.62 logon.members1st.org
    O1 - Hosts: 128.250.24.62 www.cib.ibanking-services.com
    O1 - Hosts: 128.250.24.62 www.miwebbusbank.ebanking-services.com
    O1 - Hosts: 128.250.24.62 wvw.paypal.com
    O1 - Hosts: 128.250.24.62 www.signin.ebay.com
    O1 - Hosts: 128.250.24.62 wvw.etrade.com
    O1 - Hosts: 128.250.24.62 ww4.fleethomelink.fleet.com
    O1 - Hosts: 128.250.24.62 ww3.connect.skyfi.com
    O1 - Hosts: 128.250.24.62 www6.usbank.com
    O1 - Hosts: 128.250.24.62 www.bvi.bancodevalencia.es
    O1 - Hosts: 128.250.24.62 extrant.banesto.es
    O1 - Hosts: 128.250.24.62 banesnt.banesto.es
    O1 - Hosts: 128.250.24.62 activia.caixagalicia.es
    O1 - Hosts: 128.250.24.62 www.bancae.caixapenedes.com
    O1 - Hosts: 128.250.24.62 login.caixasabadell.net
    O1 - Hosts: 128.250.24.62 oii.cajamadrid.es
    O1 - Hosts: 128.250.24.62 login.cajamar.es
    O1 - Hosts: 128.250.24.62 login.ccm.es
    O1 - Hosts: 128.250.24.62 ww.unicaja.es
    O1 - Hosts: 128.250.24.62 www5.bancopopular.es
    O1 - Hosts: 128.250.24.62 ww3.bbvanet.com
    O1 - Hosts: 128.250.24.62 ww.bayernlb.de
    O1 - Hosts: 128.250.24.62 ww2.berliner-volksbank.de
    O1 - Hosts: 128.250.24.62 ww7.homebanking-berlin.de
    O1 - Hosts: 128.250.24.62 portal09.commerzbanking.de
    O1 - Hosts: 128.250.24.62 www.meine.deutsche-bank.de
    O1 - Hosts: 128.250.24.62 ww2.dresdner-privat.de
    O1 - Hosts: 128.250.24.62 ww.e-banking.helaba.de
    O1 - Hosts: 128.250.24.62 ww.hsh-nordbank.de
    O1 - Hosts: 128.250.24.62 www.my.hypovereinsbank.de
    O1 - Hosts: 128.250.24.62 ww3.homebanking-berlin.de
    O1 - Hosts: 128.250.24.62 ww3.homebanking-berlin.de
    O1 - Hosts: 128.250.24.62 www.banking.lbbw.de
    O1 - Hosts: 128.250.24.62 lrp.sparkasse-banking.de
    O1 - Hosts: 128.250.24.62 ww3.homebanking-niedersachsen.de
    O1 - Hosts: 128.250.24.62 www.onlinebanking.norisbank.de
    O1 - Hosts: 128.250.24.62 www.banking.postbank.de
    O1 - Hosts: 128.250.24.62 wvw.internetbanking.gad.de
    O1 - Hosts: 128.250.24.62 ww1.portal.izb.de
    O1 - Hosts: 128.250.24.62 wvw.kunden-service.lbs.de
    O1 - Hosts: 128.250.24.62 ibanking.seb.de
    O1 - Hosts: 128.250.24.62 bw7.sparkasse-banking.de
    O1 - Hosts: 128.250.24.62 ww2.homebanking-sparkasse.de
    O1 - Hosts: 128.250.24.62 ww2.vr-networld-ebanking.de
    O1 - Hosts: 128.250.24.62 ww.bics.fr
    O1 - Hosts: 128.250.24.62 www.co.caixabank.fr
    O1 - Hosts: 128.250.24.62 ww.creditmutuel.fr
    O1 - Hosts: 128.250.24.62 internetbank.intesabci.it
    O1 - Hosts: 128.250.24.62 ww.extensive.bancalombarda.it

    O4 - HKLM\..\Run: [msmsngr] C:\WINDO\System32\msmsngr.exe
    O4 - HKLM\..\Run: [MS taskbar W] task32w.exe
    O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
    O4 - HKLM\..\RunServices: [notes] notes.exe
    O4 - HKLM\..\RunServices: [RcNB Test] blda32a.exe
    O4 - HKLM\..\RunServices: [Internet2 Optimizer] wkfix.exe
    O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
    O4 - HKLM\..\RunServices: [MS taskbar W] task32w.exe
    O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe

    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Recherche et supprime:

    Dans le cas ou tu utiliserais la fonction Rechercher:
    Assure toi que dans:
    Tous les fichiers et tous les dossiers >> Options avancées
    • Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
    • Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
    • Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !

    Supprimer les fichiers en suivant le chemin des fichiers infectés, plutot que d'utiliser la fonction "Rechercher"

    S'ils sont présents, supprime:

    C:\WINDO\System32\spooler.exe
    C:\WINDO\System32\msnq3insller.exe
    C:\WINDO\wordpad.exe
    C:\WINDO\System32\msmsngr.exe
    C:\WINDO\System32\task32w.exe
    C:\WINDO\System32\blda32a.exe
    C:\WINDO\System32\MSASP32.exe
    C:\WINDO\System32\notes.exe
    C:\WINDO\System32\compq32.exe
    C:\WINDO\System32\wkfix.exe
    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite, tres important:

    :: Supprimer les fichiers temporaires ::

    Manuellement:

    vider tout le contenu des dossiers Temp:

    * C:\Documents and Settings\ton compte\Local Settings\Temp
    * C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
    * C:\Windows\Temp

    :: Le contenu du dossier prefetch ::

    * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

    * Ne pas oublier de vider la corbeille !

    Ou avec Cleanup:
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    regarder ceci avant d'utiliser:
    http://pageperso.aol.fr/balltrap34/democleanup.htm

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis, clic sur [Open the misc tools section]
    clic sur [Delete an NT service]
    copie et colle ceci dans le champ
    Print Spooler
    clic sur ok
    et fais pareil pour:
    wordpad
    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    redemarre le pc et fais un scan ici:
    http://webscanner.kaspersky.fr/
    apres le chargement du control active X, clic sur suivant
    puis clic sur configuration et choisis "étendue"
    Choisis l'analyse répertoire et choisis ton ou tes disques durs
    et poste le rapport + un nouvel hijack

    Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.

    a+
    0
  15. steal
     
    Je n'arrive pas à faire le scan avec kapersky, j'ai firefox et rien ne s'affiche...

    Voici le nouvel hijack

    Logfile of HijackThis v1.99.1
    Scan saved at 22:25:45, on 07/09/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDO\System32\smss.exe
    C:\WINDO\system32\winlogon.exe
    C:\WINDO\system32\services.exe
    C:\WINDO\system32\lsass.exe
    C:\WINDO\system32\svchost.exe
    C:\WINDO\System32\svchost.exe
    C:\WINDO\Explorer.EXE
    C:\WINDO\system32\spoolsv.exe
    C:\WINDO\System32\ctfmon.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    C:\WINDO\System32\spooler.exe
    C:\WINDO\System32\svchost.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\PETIOT\Mes documents\Diverses installations\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Microsoft Java Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\WINDO\System32\dllcache\java.dll
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDO\System32\ctfmon.exe
    O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDO\System32\spooler.exe
    0
  16. Utilisateur anonyme
     
    faut le faire avec IE, imperatif

    arrete ce processus dans le gestionnaire des tache:
    spooler.exe

    Dans le menu Demarrer>Executer >tape: Services.msc
    recherche le service avec cette orthographe exacte:
    Print Spooler
    Double clic dessus et clic sur [arreter] puis dans :
    type de demarrage --> sélectionne désactivé.

    lance hijackthis et supprime cette ligne:
    O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe

    Reance hijackthis, clic sur [Open the misc tools section]
    clic sur [Delete an NT service]
    copie et colle ceci dans le champ
    Print Spooler
    et valide

    rend visible tous les fichiers et dossiers (caché et systeme)
    puis recherche et supprime

    C:\WINDO\System32\spooler.exe
    C:\WINDO\System32\compq32.exe

    reessaye de faire le scan chez kaspersky avec IE, car il n'y a pratiquement aucun av en ligne qui passe avec firefox, et poste le rapport

    a+
    0
  17. steal
     
    Ok pour Internet explorer mais le dossier spooler je ne l'ai pas trouvé je ne peux donc pas l'arrêter !!!!aie aie

    Comment faire?
    0
  • 1
  • 2
  • 3
  • 4
  • 5