zlip.exe ? (suite discussion avec Moe31)

Question

Salut "Moe31" !D'abord je te rappelle mes problèmes, en recopiant le message que je t'avais envoyé (et des fois que ca puisse servir à quelqu'un d'autre ...) :Salut ! Comme tu as l'air super calé, je me suis dis que tu pourrais peut-être m'aider, moi qui ne comprends rien de rien en virus et tout ca... Bref, j'ai un souci avec mon PC, ou peut-être plusieurs soucis qui ne sont pas forcément liés : - au démarrage, il y a un programme qui se lance automatiquement, et je ne sais pas pourquoi, et je ne sais pas ce que c'est ni comment le virer. Il s'appelle "zlip", et s'ouvre comme une fenêtre réduite, puis disparaît tout seul avant que je puisse y accéder. J'ai recherché où se trouvait cette application, et elle est dans WINNT\system32\a7abgd , donc j'ose pas trop y toucher... - ensuite, j'ai régulièrement des fenêtres d'erreur de l'éditeur du registre qui s'ouvrent, avec le message suivant : "impossible d'importer flk23reg" Si je laisse le PC tourner toute la journée, quand je reviens le soir il peut y avoir 20 fenêtres comme ca qui se sont ouvertes... - il y a aussi d'autres fenêtres d'erreur "GSfx Archive" qui s'ouvrent de temps en temps, avec le message : ErrorC:WINNT\system32\a7abgd\zlip.exe Je ne sais pas d'où tout ca vient, mais j'étais en coloc, et je soupconne mon coloc d'avoir installé un tas de truc pas clean sur mon PC. Il y a par exemple un reste de mIRC que je n'arrive pas à désinstaller... Si tu as une idée, ca serait vraiment sympa si tu pouvais m'aider ! A bientôt j'espère, et désolée de m'être incrustée dans la conversation :-O AlineJ'ai donc suivi tes instructions, et voici ce qui sort :Logfile of HijackThis v1.99.1Scan saved at 19:29:38, on 09/10/2005Platform: Windows 2000 SP2 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\WINNT\System32\svchost.exeC:\WINNT\system32egsvc.exeC:\WINNT\System32\expl0rer.exeC:\WINNT\system32\MSTask.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\Explorer.EXEC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINNT\loadqm.exeC:\Program Files\Winamp\winampa.exeC:\WINNT\System32\wuupdate.exeC:\WINNT\System32\der	mm.exeC:\WINNT\System32\wisp.exeC:\WINNT\System32\a7abgd\zlip.exeC:\WINNT\System32\internat.exeC:\Program Files\eMule\emule.exeC:\WINNT\system32\cmd.exeC:\WINNT\System32\msw32.pifC:\Program Files\Internet Explorer\Connection Wizard\ICWCONN1.EXEC:\WINNT\etb\pokapoka75.exeC:\WINNT\System32\om4r.exeC:\Program Files\Internet Explorer\iexplore.exeC:\PROGRA~1\WINZIP\wzqkpick.exeC:\Documents and Settings\Lanterne\Mes documents\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exeO4 - HKLM\..\Run: [Configuration Loadings] expl0rer.exeO4 - HKLM\..\Run: [Configuration Loaded] wuupdate.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [Microsoft Update 32] om4r.exeO4 - HKLM\..\Run: [KasbperSKY] C:\WINNT\System32\der	mm.exeO4 - HKLM\..\Run: [MCX Update] wisp.exeO4 - HKLM\..\Run: [] C:\WINNT\System32\a7abgd\zlip.exeO4 - HKLM\..\Run: [MSN Service Pro3] rBot.exeO4 - HKLM\..\Run: [Win Security] msw32.pifO4 - HKLM\..\Run: [System service75] C:\WINNT\etb\pokapoka75.exeO4 - HKLM\..\RunServices: [Configuration Loadings] expl0rer.exeO4 - HKLM\..\RunServices: [Configuration Loaded] wuupdate.exeO4 - HKLM\..\RunServices: [Microsoft Update 32] om4r.exeO4 - HKLM\..\RunServices: [MCX Update] wisp.exeO4 - HKLM\..\RunServices: [MSN Service Pro3] rBot.exeO4 - HKLM\..\RunServices: [Win Security] msw32.pifO4 - HKCU\..\Run: [internat.exe] internat.exeO4 - HKCU\..\Run: [] C:\WINNT\System32\a7abgd\zlip.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\webelated.htmO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128422881753O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cabO23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEO23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing)O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)Bref, moi j'y comprends rien, mais ca m'a l'air génial ce qui se passe dans mon PC...Merci d'avance pour ton aide !Aline

Real Mona · Answer

Bonjour,J'analyse ton log et je reviens vers toi(moe je te dois bien ca...)M.

Real Mona · Answer

Re, Commence par mettre Hijackthis dans son propre dossier par exemple C:\Documents and Settings\Lanterne\Mes documents\hijackthis\HijackThis.exe Imprime ceci pour ne rien oublier de faire : Méthode à suivre dans l'ordre... ---------------------------------------------------------------------------- ¤Télécharge ces logiciels (si tu ne les as pas) mais que tu n‘utilises pas tout de suite: 1/Spybot S&D 1.4 < le dossier C:\WINNT\System32\internat.exe C:\WINNT\etb\pokapoka75.exe--> le dossier C:\WINNT\System32\om4r.exe ---------------------------------------------------------------------------- ¤Arrête ces services : Clique sur Démarrer->exécuter->tape: services.msc Double-clique: Service: Configuration Loadings (sam111) Service: Remote_Procedure_Call (svchost) Règle-les sur "Arrêté" et "Désactivé". ---------------------------------------------------------------------------- ¤ Passe Ad-Aware et vire tout ce qu’il trouve ---------------------------------------------------------------------------- ¤ Passe Spybot et vire tout ce qu’il trouve ---------------------------------------------------------------------------- > Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis - Et enfin un petit conseil : installe un pare-feu (ou firewall) Si tu utilises celui de XP désactive le et installe http://download.zonelabs.com/bin/free/fr/download/comparison.html Pour désactiver ton firewall Windows XP tu fais la chose suivante : clique sur le bouton Démarrer, sur Paramètres, puis double clique sur Connexion Réseau. Sélectionne ta connexion puis clique dessus avec le bouton droit de la souris. Choisis la commande Propriétés. Dans l'onglet Avancé, décoche la case Protéger mon ordinateur et le réseau... Valide par OK A+ M.

moe31 · Answer

merci mona ;-)aline, suis bien les conseils de mona, je passerais voir apres les manips si tout est ok.a+

Aline · Answer

OK, merci. Je fais tout ca demain soir et je vous tiens au courant.Juste un truc à propos de ton dernier conseil : je n'ai pas XP, mais seulement Windows 2000, donc je suppose que je ne dois rien désactiver ?A demain !Aline

Real Mona · Answer

Bonjour,Oups, cela voulait donc dire que tu n'avais pas du tout de parefeu, pas bien ca ! lol installe ZoneAlarm de toute urgence, et effectivement sous 2000 rien à désactiver.A+Mona

Aline · Answer

Salut Mona Voici les résultats de ce que j'ai fait :Pour le début, ca roule- Je n'ai pas trouvé l'onglet "restauration systeme". Donc je n'ai pas pu désactiver la restauration systemePour le reste ca a roulé, sauf :- Je n'ai pas réussi à supprimer C:\WINNT\System32\expl0rer.exe : il me renvoie un message "impossible"- Pour C:\WINNT\System32\a7abgd\zlip.exe => tu dis de supprimer le dossier : il faut que je supprime tout le dossier "a7abgd" ou juste l'application "zlip.exe ?- Le dossier C:\WINNT\etb\pokapoka75.exe n'existe pas- Impossible d'arreter le service "Configuration Loadings (sam111)- Le service "Remote_Procedure_Call (svchost) était déjà arreté- Ad-Aware a viré "Alexa"- Spybot a ramé pendant 2h pour télécharger les updates, mais n'a pas réussi à tout récupérer  : sous l'onglet info c'est marqué "erreur de parité"Du coup je n'ai pas encore fait tourner HijackThis...Qu'est-ce-que je fais maintenant ???Sinon, il y avait une nouveauté depuis hier : je ne peux plus ouvrir Winamp

Real Mona · Answer

- Je n'ai pas trouvé l'onglet "restauration systeme". Donc je n'ai pas pu désactiver la restauration systemeC'est normal il n'y en a pas sous W2000- Je n'ai pas réussi à supprimer C:\WINNT\System32\expl0rer.exe : il me renvoie un message "impossible"On verra tout à l'heure- Pour C:\WINNT\System32\a7abgd\zlip.exe => tu dis de supprimer le dossier : il faut que je supprime tout le dossier "a7abgd" ou juste l'application "zlip.exe ?J'ai mis exprès ce qu'il y avait à supprimer en gras, donc tout le dossier a7abgd.- Le dossier C:\WINNT\etb\pokapoka75.exe n'existe pasJ'ai mis "si présents" donc tant mieux s'il y est plus !- Impossible d'arreter le service "Configuration Loadings (sam111)On verra tout à l'heure- Le service "Remote_Procedure_Call (svchost) était déjà arretéTant mieux !- Ad-Aware a viré "Alexa"Parfait- Spybot a ramé pendant 2h pour télécharger les updates, mais n'a pas réussi à tout récupérer : sous l'onglet info c'est marqué "erreur de parité"Désinstalle spybot à l'aide du panneau de configuration / ajout suppression de programmes et réinstalle le.Du coup je n'ai pas encore fait tourner HijackThis...Qu'est-ce-que je fais maintenant ???Tu t'occupes de spybot et tu refais un hijackthis !A+MonaPS : pour winamp c'était avant ou après tes manips avec hijackthis ?

moe31 · Answer

salutpour spybot, il faut que tu modifie le serveur dans la liste, choisis en un situé en europe.voir ici:http://cjoint.com/?kkwHL0U4C1a+

Real Mona · Answer

hips... fallait y penser...suis nulle, mais suis nuuuuulle !(un ti bizou O. pour ta perspicacité et ta bienveillance sur mes posts...)

aline · Answer

Je suis de retour...J'ai donc désinstalllé et réinstallé Spybot, et il a viré quelques trucs (dont encore une fois Alexa)Bref, voici le log de Hijack :Logfile of HijackThis v1.99.1Scan saved at 22:51:59, on 10/10/2005Platform: Windows 2000 SP2 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\WINNT\System32\svchost.exeC:\WINNT\system32\regsvc.exeC:\WINNT\System32\expl0rer.exeC:\WINNT\system32\MSTask.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\Explorer.EXEC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINNT\loadqm.exeC:\Program Files\Winamp\winampa.exeC:\WINNT\etb\pokapoka75.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\WINNT\System32\msw32.pifC:\WINNT\system32\cmd.exeC:\WINNT\system32\msw32.pifC:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.seektheglobe.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.seektheglobe.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.seektheglobe.com/sp2.phpR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.seektheglobe.com/sp2.phpR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [Configuration Loadings] expl0rer.exeO4 - HKLM\..\Run: [Win Security] msw32.pifO4 - HKLM\..\Run: [System service75] C:\WINNT\etb\pokapoka75.exeO4 - HKLM\..\RunServices: [Configuration Loadings] expl0rer.exeO4 - HKLM\..\RunServices: [Win Security] msw32.pifO4 - HKCU\..\Run: [Win Security] msw32.pifO4 - HKCU\..\RunServices: [Win Security] msw32.pifO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128422881753O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cabO23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEO23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing)O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)Merci encore pour ton aide !

Real Mona · Answer

Bonjour Aline,Bon ben on va tout recommencer avec une tite variante...Because c'est tenace !Bonjour, Imprime ceci pour ne rien oublier de faire :Download ceci et dézippe le http://users.telenet.be/bluepatchy/miekiemoes/tools/LQfix.zip on l’utilisera plus tardMéthode à suivre dans l'ordre... ---------------------------------------------------------------------------- Démarre en mode sans échec : Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! (Si F8 ne marche pas utilise la touche F5) ---------------------------------------------------------------------------- Affiche tous les fichiers et dossiers : Clique sur démarrer/panneau de configuration/option des dossiers/affichage Coche « afficher les fichiers et dossiers cachés » Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décoche « masquer les extensions dont le type est connu » Puis fais «Ok» pour valider les changements. Et appliquer ! ---------------------------------------------------------------------------- Vide tes fichiers temps et tempory internet file avec cleanUp---------------------------------------------------------------------------- Le fichier que tu as downloadé et dézippé, tu lances lqfix.bat ---------------------------------------------------------------------------- ¤Relance HijackThis, coche les cases devant ces lignes (il est possible que tu ne les trouves pas toutes) et ensuite clique sur fix checked : O4 - HKLM\..\Run: [Configuration Loadings] expl0rer.exeO4 - HKLM\..\Run: [Win Security] msw32.pifO4 - HKLM\..\Run: [System service75] C:\WINNT\etb\pokapoka75.exeO4 - HKLM\..\RunServices: [Configuration Loadings] expl0rer.exeO4 - HKLM\..\RunServices: [Win Security] msw32.pifO4 - HKCU\..\Run: [Win Security] msw32.pifO4 - HKCU\..\RunServices: [Win Security] msw32.pifO23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missingO23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)----------------------------------------------------------------------------Recherche et supprime ceci: attention seulement ce qui est en gras (si tu les trouves)C:\WINNT\System32\expl0rer.exeC:\WINNT\etb\pokapoka75.exe le dossier----------------------------------------------------------------------------¤Arrête ces services :Clique sur Démarrer->exécuter->tape: services.msc Double-clique: Service: Configuration Loadings (sam111)Service: Remote_Procedure_Call (svchost)Règle-les sur "Arrêté" et "Désactivé". ----------------------------------------------------------------------------¤ Passe Ad-Aware et vire tout ce qu’il trouve ----------------------------------------------------------------------------¤ Passe Spybot et vire tout ce qu’il trouve ----------------------------------------------------------------------------> Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis A+Mona

aline · Answer

OK, merciJe m'imprime ca et je le fais ce soirCe matin j'ai du arrêter Zone Alarm pour pouvoir accéder à Internet : il doit y avoir une configuration à modifier, j'imagine ?Sinon, pour répondre à ta question d'hier : Winamp ne marche plus depuis après le premier Hijack (et avant que je fasse toutes les manips que tu m'as indiqué)A plusAline

Real Mona · Answer

Bizarre pour ZoneAlarm...Il faut que tu l'ouvres, que tu ailles dans "contrôle des programmes" onglet "programmes" et que tu vérifies si les deux colonnes "accès" sont en vert. Et sur l'onglet "programmes" le "contrôle des programmes" doit être réglé sur "moyen".Et il vaut mieux ne jamais désactiver ZoneAlarm, dangeureux ca !!Pour Winamp le mieux est que tu postes un message sur le forum "logiciel"... parce que ce n'est pas vraiment mon rayon (et comme je n'ai pas ce logiciel, je peux même pas te donner des pistes...)A ce soir,Mona

aline · Answer

Bonsoir !Voilà le résultat :Logfile of HijackThis v1.99.1Scan saved at 23:26:19, on 11/10/2005Platform: Windows 2000 SP2 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\WINNT\System32\svchost.exeC:\WINNT\system32\regsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\ZoneLabs\vsmon.exeC:\WINNT\Explorer.EXEC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\system32\mobsync.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINNT\loadqm.exeC:\Program Files\Winamp\winampa.exeC:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.seektheglobe.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.seektheglobe.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.seektheglobe.com/sp2.phpR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.seektheglobe.com/sp2.phpR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128422881753O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cabO23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEO23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing)O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exeA plus !

Real Mona · Answer

Bonjour,Au fait, as-tu maintenant réussi à résoudre ton accès à internet ?Il subsiste 2 petites choses, donc encore une tite manip pour toi... ---------------------------------------------------------------------------- Démarre en mode sans échec ---------------------------------------------------------------------------- Affiche tous les fichiers et dossiers ---------------------------------------------------------------------------- Vide tes fichiers temps et tempory internet file avec cleanup---------------------------------------------------------------------------- ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked : O23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing) O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing) ---------------------------------------------------------------------------- Recherche et supprime ceci: attention seulement le fichier (si présent) C:\WINNT\System32\expl0rer.exe et dis moi si tu le trouves---------------------------------------------------------------------------- ¤Arrête ces services : Clique sur Démarrer->exécuter->tape: services.msc Double-clique: Service: Configuration Loadings (sam111)Service: Remote_Procedure_Call (svchost)Règle-les sur "Arrêté" et "Désactivé". ---------------------------------------------------------------------------- ¤ Passe Ad-Aware et vire tout ce qu’il trouve ---------------------------------------------------------------------------- ¤ Passe Spybot et vire tout ce qu’il trouve ---------------------------------------------------------------------------- > Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis A+ M.

aline · Answer

Salut Mona !Me voici de retour après 1 petite semaine de vacances. Je continue donc sur tes instructions. Voici le log :Logfile of HijackThis v1.99.1Scan saved at 00:16:58, on 26/10/2005Platform: Windows 2000 SP2 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\WINNT\System32\svchost.exeC:\WINNT\system32\regsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\ZoneLabs\vsmon.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\Explorer.EXEC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINNT\loadqm.exeC:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeC:\Program Files\WinAmp5.1\Winamp\winampa.exeC:\Program Files\Fichiers communs\Real\Update_OB\realsched.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.seektheglobe.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.seektheglobe.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.seektheglobe.com/sp2.phpR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.seektheglobe.com/sp2.phpR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\WinAmp5.1\Winamp\winampa.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osbootO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128422881753O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cabO23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEO23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing)O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exeD'autre part, je n'ai pas trouvé le fichier expl0rer.exeA +Aline

aline · Answer

En fait, j'ai fait un update de Ad-Aware, qui a retrouvé 2 trucs en plus.Voila donc le Hijack que j'ai fait ensuite :Logfile of HijackThis v1.99.1Scan saved at 00:32:12, on 26/10/2005Platform: Windows 2000 SP2 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\WINNT\System32\svchost.exeC:\WINNT\system32\regsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\ZoneLabs\vsmon.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\Explorer.EXEC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINNT\loadqm.exeC:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeC:\Program Files\WinAmp5.1\Winamp\winampa.exeC:\Program Files\Fichiers communs\Real\Update_OB\realsched.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.seektheglobe.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.seektheglobe.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.seektheglobe.com/sp2.phpR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.seektheglobe.com/sp2.phpR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\WinAmp5.1\Winamp\winampa.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osbootO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128422881753O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cabO23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXEO23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXEO23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing)O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exeUn dernier truc : quand je lance Spybot, j'ai un message d'erreur qui me dit que Spybot a été déplacé et qu'il faut que je vérifie si ce n'est pas du à un virus....-) Ensuite Spybot tourne normalement. T'as une idée ? Je désinstalle et réinstalle ?Aline

Real Mona · Answer

Bonjour, J’espère que tu as passé de bonnes vacances.Il semblerait que tu n’ais pas fait ce que je t’avais demandé au post <15> donc on recommence… (c’est pas grave, tu dois être bien reposée et concentrée, loll)---------------------------------------------------------------------------- Démarre en mode sans échec---------------------------------------------------------------------------- Affiche tous les fichiers et dossiers---------------------------------------------------------------------------- ¤Vide tes fichiers temps et tempory internet file---------------------------------------------------------------------------- ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked : O23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing)O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)----------------------------------------------------------------------------  ¤Arrête ces services: Clique sur Démarrer->exécuter->tape: services.msc Double-clique: Service: Configuration Loadings (sam111)Service: Remote_Procedure_Call (svchost)Règle-les sur "Arrêté" et "Désactivé". ---------------------------------------------------------------------------- ¤ Passe Ad-Aware et vire tout ce qu’il trouve + vide la quarantaine---------------------------------------------------------------------------- ¤ Passe Spybot et vire tout ce qu’il trouve + vide la quarantaine---------------------------------------------------------------------------- > Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis Pour Spybot, c'est bizarre... oui, désinstalle le et réinstalle le et n'oublie pas, quand tu le mets à jour et qu'il te dit "erreur de parité", essaye de changer de serveur dans la liste proposée par Spybot (bouton à coté de "recherche de mises à jour") ? Choisis en un avec (europe) écrit à coté du nom. voir ici: http://cjoint.com/?krukzO8uxl et réessaye.A+ M.

aline · Answer

Salut Mona !Bizarre, pourtant je te jure que j'ai fait exactement ce que tu avais marqué (je n'invente rien, car j'en suis bien incapable...)Je vais recommencer ce que tu me dis et je te tiens au courant.A plus

bernie61 · Answer

salut vous deuxen complément, relances Hijackthis et coche FIX ces lignesR1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.seektheglobe.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.seektheglobe.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.seektheglobe.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.seektheglobe.com/sp2.php vide tes répertoires temporaires et refais un HJa+

Real Mona · Answer

Bonjour,Ouh la, Bernie a tout à fait raison, les R1 m'avaient échappées (merci!!)Je te remets la manip en entier car il faut également utiliser un programme pour se débarrasser définitivement des R1.Télécharge about buster:http://www.majorgeeks.com/download4289.htmlClique "Check for updates". Télécharge les mises à jour referme le on l‘utilisera plus tard.----------------------------------------------------------------------------Démarre en mode sans échec----------------------------------------------------------------------------Affiche tous les fichiers et dossiers----------------------------------------------------------------------------¤Vide tes fichiers temps et tempory internet file----------------------------------------------------------------------------¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.seektheglobe.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.seektheglobe.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.seektheglobe.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.seektheglobe.com/sp2.phpO23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing)O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)----------------------------------------------------------------------------¤Arrête ces services:Clique sur Démarrer->exécuter->tape: services.mscDouble-clique:Service: Configuration Loadings (sam111)Service: Remote_Procedure_Call (svchost)Règle-les sur "Arrêté" et "Désactivé".----------------------------------------------------------------------------Passe about buster autant de fois qu'il trouve quelque chose----------------------------------------------------------------------------¤ Passe Ad-Aware et vire tout ce qu’il trouve + vide la quarantaine----------------------------------------------------------------------------¤ Passe Spybot et vire tout ce qu’il trouve + vide la quarantaine----------------------------------------------------------------------------> Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThisA+M.

aline · Answer

Salut Mona !Voilà le log :Logfile of HijackThis v1.99.1Scan saved at 10:35:13, on 04/11/2005Platform: Windows 2000 SP2 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\WINNT\System32\svchost.exeC:\WINNT\system32\regsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\ZoneLabs\vsmon.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\Explorer.EXEC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINNT\loadqm.exeC:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeC:\Program Files\WinAmp5.1\Winamp\winampa.exeC:\Program Files\Fichiers communs\Real\Update_OB\realsched.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\WinAmp5.1\Winamp\winampa.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osbootO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128422881753O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cabO23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing)O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exeJ'espère que c'est bon maintenant...on a bien galéré en tous casAline

aline · Answer

Hello !Mona semble ne pas être dispo depuis un moment...donc si quelqu'un se sent de m'aider en son absence, ca serait avec grand plaisir...MerciAline

regis59 · Answer

Salut Aline,peux tu remettre un hijack this?mercia+

aline · Answer

Merci pour ta réponse Régis !Revoici un log (bien que je n'ai rien fait de spécial depuis le dernier que j'ai fait...)En tous cas, depuis quelques temps le PC rame franchement sur le Net, et il galère tjs au moment de l'éteindre avec un "Explorer ne réponds pas...bla bla" et du coup arrêt "à l'arrache" avec Active Desktop qui misère.A plus !Logfile of HijackThis v1.99.1Scan saved at 00:19:32, on 10/11/2005Platform: Windows 2000 SP2 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\WINNT\System32\svchost.exeC:\WINNT\system32\regsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\ZoneLabs\vsmon.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\Explorer.EXEC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINNT\loadqm.exeC:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeC:\Program Files\WinAmp5.1\Winamp\winampa.exeC:\Program Files\Fichiers communs\Real\Update_OB\realsched.exeC:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\WinAmp5.1\Winamp\winampa.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osbootO4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorunO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128422881753O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/telechargement/Photoweb_uploader.cabO16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cabO16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cabO16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f001.mail.caramail.lycos.fr/app/uploader/FileUploader.cabO23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing)O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

regis59 · Answer

saluttu n as pas d antivirus ?a+

aline · Answer

Aucune idée. Mona m'a fait installer un tas de trucs, style Zone Alarm, Avast, Ad-Aware, mais pas d'Antivirus je crois...à toi de me dire plutôt ?Comme je ne capte vraiment rien, j'avouerai qu'une petite explication serait la bienvenue, D'autant plus que ca fait plusieurs semaines que je fais des manip en aveugle, et que je commence à avoir l'impression de refaire tjs la même chose et que le même problème revient à chaque fois...En tous cas, merci pour ton aide aussi : ca m'est très très précieux !!!

regis59 · Answer

Bonjour Aline,d accord je comprends...Telecharge avast et installe le stphttp://www.avast.com/eng/down_home.htmlUne fois fait, remet un log hijack this s il te plaitsi tu as besoin, n hesites pas a demandera+

aline · Answer

Salut !Voilà, j'ai chargé Avast avec le lien que tu m'as donné. Puis il s'est exécuté au redémarrage et a trouvé que le PC était entièrement vérolé avec WIN32:parite (en gros, chaque *.exe est infecté.)J'ai commencé à accepté qu'Avast efface certains de ces fichiers qui n'étaient pas utiles (genre : jeux à la con etc...), puis ca a commencé à me demander d'effacer des trucs un peu plus sérieux (genre Word.exe et Excel.exe) donc j'ai fait "ignorer tout".Ensuite au redémarrage j'ai une fenetre qui s'est ouverte pour me prévenir que Zone Alarm n'était pas compatible avec Avast, et qu'il fallait que je le désactive, chose que je n'ai PAS faite pour le moment bien sûr.Résultat : je ne sais pas quoi faire...Voici le Hijack que je viens de faire tourner :Logfile of HijackThis v1.99.1Scan saved at 00:19:17, on 13/11/2005Platform: Windows 2000 SP2 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINNT\System32\svchost.exeC:\WINNT\system32\regsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\ZoneLabs\vsmon.exeC:\WINNT\Explorer.EXEC:\WINNT\System32\WBEM\WinMgmt.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINNT\loadqm.exeC:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeC:\Program Files\WinAmp5.1\Winamp\winampa.exeC:\Program Files\Fichiers communs\Real\Update_OB\realsched.exeC:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\WinAmp5.1\Winamp\winampa.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osbootO4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorunO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128422881753O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/telechargement/Photoweb_uploader.cabO16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cabO16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cabO16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f001.mail.caramail.lycos.fr/app/uploader/FileUploader.cabO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing)O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exeMerci pour ton aide !Aline

balltrap34 · Answer

telecharge ceci et utilise lehttp://216.239.39.104/translate_c?hl=fr&u=http://www.bitdefender.com/site/Download/downloadRemovalTool/136/&prev=/search%3Fq%3DWIN32:parite%2B%26num%3D100%26hl%3Dfr%26lr%3D%26ie%3DUTF-8%26sa%3DGsi le lien ne fonctionne pas utilise celui cihttp://www.bitdefender.com/site/Download/downloadRemovalTool/136/fait le sur toutes les sessions et sur toutes les partitions si tu en a plusieurs

aline · Answer

Bon; alors la c'est la merde...Ce matin en démarrant le PC. je m'apercoit :- mon clavier QWERTY est reconnu commme un AZERTY- j'ai perdu TOUS mes documents perso (tout ce qui se trouvai dans mon dossier "Mes Documents"- plusieurs logiciels ont disparus, comme Emule, Nero...- j'ai perdu tous mes favoris Explorer- j'ai du réinitialiser ma connection Internet, et mon e-mail Outlook ne fonctionne plusBref, maintenant c vraiment la merde...Du coup, je suis un peu refroidie pour continuer à suivre vos manips...à moins que vous soyez vraiment surs de votre coupa plus

balltrap34 · Answer

lol a mon avis il etais deja bien corrompue et le remove tools les a virerregarde dans ta poubelle si il y sont pour voir

aline · Answer

Ah non : ce coups-ci ya pu rien de rien dans la poubelle...Je charge le truc Bitdefender quand meme ?

balltrap34 · Answer

oui lol ont verrat

aline · Answer

Je l'ai fait tourner et voici le Hijack qui suit :Logfile of HijackThis v1.99.1Scan saved at 19:44:45, on 13/11/2005Platform: Windows 2000 SP2 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINNT\System32\svchost.exeC:\WINNT\system32\regsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\ZoneLabs\vsmon.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\Explorer.EXEC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINNT\loadqm.exeC:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeC:\Program Files\WinAmp5.1\Winamp\winampa.exeC:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\WINNT\System32\internat.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\WinAmp5.1\Winamp\winampa.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osbootO4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorunO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKCU\..\Run: [internat.exe] internat.exeO4 - HKCU\..\Run: [Win Security] msw32.pifO4 - HKCU\..\RunServices: [Win Security] msw32.pifO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128422881753O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/telechargement/Photoweb_uploader.cabO16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cabO16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cabO16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f001.mail.caramail.lycos.fr/app/uploader/FileUploader.cabO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing)O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exeMerci

balltrap34 · Answer

salut **************************************************************** ► imprime ceci pour ne rien oublier et tous faire tous faire dans l ordre imperativement **************************************************************** ► tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif ♪ ad-aware (1)version 1.06 (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite voir demo http://pageperso.aol.fr/balltrap34/adwseflash.zip *** ♪ spybot (2)version 1.4 (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite tuto animée d instalation d hijackthis http://pageperso.aol.fr/balltrap34/Hijenr.gif voir demo d utilisation http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm *** et aussi ceci ♪ CleanUp40.exe(3) voir demo http://pageperso.aol.fr/balltrap34/democleanup.htm *** ♪ a2(4) http://www.emsisoft.net/fr/ penser a le metre a jour avant de scanner le pc *** fait analyser ces fichiers internat.exe ici 23 editeur d anti virus http://www.virustotal.com/xhtml/virustotal_en.html clik sur parcourir localise le fichier et clik sur send attend le rapport **************************************************************** ► assure toi de ceci Affiche tous les fichiers et dossiers : cliquer sur démarrer/panneau de configuration/option des dossiers/affichage Cocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décocher masquer les extensions dont le type est connu Puis fais «Ok» pour valider les changements. Et appliquer **************************************************************** ► vide tes fichiers temps et tempory internet file sur tous les utilisateur utilise ceci pour le faire ♪http://pageperso.aol.fr/Balltrap34/CleanUp40.exe **************************************************************** ► relance hijack coche ces lignes et ensuite clik sur fix O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Win Security] msw32.pif O4 - HKCU\..\RunServices: [Win Security] msw32.pif O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/telechargement/Photoweb_uploader.cab O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f001.mail.caramail.lycos.fr/app/uploader/FileUploader.cab O23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing) O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing) **************************************************************** ►clik sur Démarrer->exécuter->tape: services.msc Double-clique: Configuration Loadings (sam111) Règle-le sur "Arrêté" et "Désactivé". fait de meme avec ceci Remote_Procedure_Call (svchost) **************************************************************** ► redemarre en mode sans echec mode sans echec pour cela tu tapote la touche f8 des le debut de l allumage du pc sans t arreter une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5 **************************************************************** ► recherche et suppr ceci internat.exe msw32.pif msw32.pif C:\WINNT\System32\expl0rer.exe <==te trompe pas c est un 0 %windir%\system32\svchost.cmd <==idem c est avec .cmd **************************************************************** ► **************************************************************** ►passe adaware et vire tous se qu il trouve **************************************************************** ►passe spy boot et vire tous se qu il trouvent **************************************************************** ►passe a2 **************************************************************** tu vide ta poubelle et tu redemarre en mode normal et refait un hijack et precise ou en sont tes soucis --

aline · Answer

Voila le log :Logfile of HijackThis v1.99.1Scan saved at 23:30:57, on 13/11/2005Platform: Windows 2000 SP2 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINNT\System32\svchost.exeC:\WINNT\system32\regsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\ZoneLabs\vsmon.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\Explorer.EXEC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\WINNT\System32\MsiExec.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINNT\loadqm.exeC:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeC:\Program Files\WinAmp5.1\Winamp\winampa.exeC:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\WINNT\System32\internat.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\WinAmp5.1\Winamp\winampa.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osbootO4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorunO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKCU\..\Run: [internat.exe] internat.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128422881753O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing)O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exeClavier tjs pas reconnu...

balltrap34 · Answer

a tu fait ceci&#9658;clik sur Démarrer->exécuter->tape: services.msc Double-clique: Configuration Loadings (sam111) Règle-le sur "Arrêté" et "Désactivé". fait de meme avec ceci Remote_Procedure_Call (svchost)

aline · Answer

Oui, je l'avais bien fait...et da'ailleurs tout était déjà arrété/désactivé.Sinon, j'ai retrouvé tous "mes documents" : en fait, le PC s'ouvrait avec une autre session (mais sans demander de login ou quoi que ce soit). J'ai donc finalement tout récupéré (docs, favoris...etc), y compris les soft qui ne fonctionnaient plus. Pourquoi, ca restera un mystère...Meme le clavier est à nouveau reconnu.Sinon, ca serait sympa si tu pouvais m'expliquer vite fait ce qui déconne sur mon PC (explOrer.exe, d'aprés ce que je crois comprendre...mais c'est quoi ???)Merci pour le coup de main... (et au fait, qu'Est-ce qui arrive à Mona ?)

aline · Answer

Voila le dernier log :Logfile of HijackThis v1.99.1Scan saved at 23:45:35, on 15/11/2005Platform: Windows 2000 SP2 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINNT\System32\svchost.exeC:\WINNT\system32\regsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\ZoneLabs\vsmon.exeC:\WINNT\Explorer.EXEC:\WINNT\System32\WBEM\WinMgmt.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINNT\loadqm.exeC:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeC:\Program Files\WinAmp5.1\Winamp\winampa.exeC:\Program Files\Fichiers communs\Real\Update_OB\realsched.exeC:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\eMule\emule.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\WinAmp5.1\Winamp\winampa.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osbootO4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorunO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128422881753O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: Configuration Loadings (sam111) - Unknown owner - C:\WINNT\System32\expl0rer.exe" -service (file missing)O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exeC'est toujours pas clean, je crois ???

balltrap34 · Answer

dans le bloc note copie colle ceci respecte la ligne vide a la fin
**

REGEDIT4

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"expl0rer.exe"=-
"svchost.cmd "=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sam111]
"start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sam111]
"start"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sam111]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sam111]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sam111]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sam111]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost]
"start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost]
"start"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\svchost]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\svchost]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\svchost]

***
enregistre le et donne lui comme nom
fixspy.reg et met tous fichiers dans type

double clik dessus et confirme

REDEMARRE REFAIT UN HIJACK

aline · Answer

Et voilà :

Logfile of HijackThis v1.99.1
Scan saved at 23:26:48, on 16/11/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\loadqm.exe
C:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exe
C:\Program Files\WinAmp5.1\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\WinAmp5.1\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128422881753
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Merci...

aline · Answer

Salut !
Quelqu'un veut bien prendre le relais ?

Voici un log plus récent :

Logfile of HijackThis v1.99.1
Scan saved at 21:03:15, on 21/11/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\loadqm.exe
C:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exe
C:\Program Files\WinAmp5.1\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\CASIO\Photo Loader\Plauto.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Alarm\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\WinAmp5.1\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Global Startup: Supervision de Photo Loader.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128422881753
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/telechargement/Photoweb_uploader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Merci

balltrap34 · Answer

salut ton log est bon ou en sont tes soucis

aline · Answer

Merci c'est cool. Tout va bien maintenant, plus de problèmes de ce côté là...

Encore merci à tous pour votre aide : Moe, Mona, Regis et Balltrap.

Je répète encore que je veux bien qu'on m'explique ce qu'il y avait, histoire que je ne répète pas tjs les mêmes conneries !

Sinon, dernière question : est-ce-que je peu virer le fichier fixspy.reg maintenant ?

Aline

balltrap34 · Answer

salut oui tu peut le suppr

linnette · Answer

Hello,
J'ai aussi ce foutu problème du "zlip" qui s'est incrusté sur mon bureau et qui apparaît aussi régulièrement sur une petite fenêtre au milieu de mon écran. grrrr. ça m'énerve. 
Je me demandais si les instructions que Real Mona avait données à l'époque ont été efficaces ?? 
Mais en tous les cas je remercie vivement celui ou celle qui pourra m'aider à m'enlever ça..

Zlip.exe ? (suite discussion avec Moe31) - Page 3

Discussions similaires

Newsletters